Il fallait s’y attendre : maintenant que le HTTPS est devenu une option standard sur tous les sites, les gouvernements veulent le contrer.
Mozilla fait bien de faire ce qu’ils font, mais je reste d’accord avec le premier commentaires : ce n’est pas parce que dans les autres autres pays la loi ne le dit pas explicitement que les services de renseignements ne font pas sauter la barrière chiffrée.

Me semble que la NSA et la CIA (entre autres) savent déjà faire sauter tout le HTTPS qu’ils veulent.

Oops.

Oui, c'est une question politique.

Après si comme il dit, ils foncent quand-même quand on leur dit non [interdire le chiffrement ne changera rien], s'ils veulent paraître occupé à résoudre les problèmes pour justifier leur poste auprès du public, ou s'ils font ça par simple intérêt personnel... Ce n'est pas de l'incompétence technique, mais de l'incompétence en démocratie :p.

ÉDIT : Je suis plutôt de cet analyse ici : https://n.survol.fr/n/commentaire-limiter-le-chiffrement qui explique bien plus simplement beaucoup plus de choses.
Ils sont déjà déconnectés du monde, et ils s’en fichent déjà du monde. La seule chose qui les motive, c’est leur carrière et leur image (vu que pour le moment c’est quand même nous qui votons pour eux).

Bref, ne pas savoir écouter les conseilles, ne pas savoir être là pour le peuple et à son service, ça résume se résume bien en « incompétence en démocratie ».

Heu… Ce n’est pas nouveau du tout : l’URL est partagée en clair sur le réseau, avec ou sans HTTPS. Ça a toujours été le cas. Le HTTPS ne chiffre que le contenu des pages.

Ici le problème ne vient pas du HTTPS, mais d’un réseau Wifi ouvert : toutes les URL sont alors visibles. Et ça n’est pas spécifique au Web, mais aussi au reste : emails, tchat…

Et même si on avait un Wifi chiffré, les URL seraient chiffrés, mais uniquement entre votre ordinateur/téléphone et la box-wifi. Entre la box et le reste du réseau, l’URL transite à nouveau en clair (pas le contenu des pages, car on est toujours en HTTPS).

En fait, je ne pense pas qu’on puisse avoir un chiffrement de bout en bout total (URL comprise). Tor ou un VPN ne sont pas du chiffrement de bout en bout : à un moment on sort du tunnel VPN/Tor pour récupérer la page demandée.

ÉDIT : On me signale que seul le host est en clair avec TLS. Le reste, GET et POST sont dans le bloc chiffré. C’est bien.

Et voir ça aussi ;)

Ouais, bordel.

Roundcube (webmail à héberger) prend maintenant en charge PGP de façon native.

Ça ferait chier que Google rachète ça.
Mais je pense qu’il est temps qu’on invente non pas une application sécurisée, mais un protocole (ou un algo).

Parce que bon, une application ça se vend, s’achète…

Alors que l’email, ben… personne ne privatise l’email. Idem pour PGP/GPG : ce sont des moyens. On peut toujours privatiser des implémentations dans des logiciels, mais pas le protocole lui-même.
Tor non plus n’est pas la propriété de quelqu’un.

Le « S » dans « RSA » donne son avis.

« condamner à 1 million d’euros d’amende les concepteurs de matériels électroniques qui refusent de coopérer avec la justice pour donner accès à des données stockées sur ces matériels »

« faire bloquer des sites d’apologie du terrorisme sans aucun délai ni aucun contrôle sur leur illégalité »


De mieux en mieux…

Un terroriste utilise une arme à feu pour un massacre et un téléphone chiffré pour communiquer. Du coup, les autorités s'attaquent au chiffrement des téléphones.

Heureusement qu'ils sont là pour notre sécurité, hein. J'ai tellement peur de recevoir un message chiffré de type 7.62 mm Otan dans la tête. Vraiment avec eux, je me sens protégé.

Que faire quand on est un télécom tout-puissant et qu’une application gratuite propose la même chose que vous ? Demander à la justice de la bloquer pour vous.

Corollaire : comment faire pour pousser massivement tout le monde sur des messageries chiffrées ? Profiter du blocage d’un service de messagerie traditionnel (non chiffré).

Ceci rendra les outils comme Zerobin illégaux au Royaume-Uni.
D’où l’intérêt de les héberger dans des pays libres.

J’ai bien peur qu’en France, ils finiront par faire la même chose.

Comme c’est charmant. Comme si le HTTPS n’existait pas.

Continuons plutôt d’utiliser GPG : au moins la clé de chiffrement appartiendra à vous, pas à votre FAI (et surtout, les données et la clé seront stockés sur des ordinateurs différents)…