HTTPS Everywhere

Informations
Développé par	Electronic Frontier Foundation
Première version	2010
Dernière version	5.2.21 (18 juillet 2017); 2022.5.24 (24 mai 2022)
Dépôt	github.com/EFForg/https-everywhere
Assurance qualité	Intégration continue
État du projet	En arrêt
Écrit en	JavaScript et Python
Environnement	Navigateur web :; 1. Mozilla Firefox; 2. Google Chrome; 3. Opera; Plateforme mobile :; 1. Firefox sous Android
Langues	Multilingue
Type	Plugin qui force le chiffrement de la connexion par HTTPS
Politique de distribution	Gratuit
Licence	Licence publique générale GNU version 3 ou ultérieure
Site web	www.eff.org/https-everywhere

HTTPS Everywhere est une extension libre de sécurité informatique pour navigateurs web éditée par l'Electronic Frontier Foundation (EFF) et Tor Project.

Description

Si le serveur web autorise une connexion HTTPS, l'extension bascule le navigateur dans ce protocole de communication^[3]. Une version stable est disponible pour Mozilla Firefox (ordinateurs et mobiles), ainsi que pour les navigateurs Google Chrome, Chromium, Microsoft Edge et Opera^[4].

Inspirée par l'usage croissant du protocole HTTPS par Google^[5], son code reprend en partie l'implémentation de HTTP Strict Transport Security de NoScript, mais HTTPS Everywhere se veut plus simple à utiliser^[4]. L'EFF fournit un mode d'emploi sur les jeux de règles^[6], ainsi que des informations sur les sites reconnus^[7].

En 2011, deux chercheurs pointent des inconvénients de HTTPS Everywhere, mentionnant que certains services ne sont encore disponibles qu'en HTTP, que les services qui prennent en charge HTTPS ont besoin d'être maintenus et que certains services sont redirigés vers HTTPS (même s'il ne sont pas encore disponibles pour ce protocole), ne permettant pas à son utilisateur l'accès aux services^[8]. En 2012, Eric Phetteplace le décrit comme « peut-être la meilleure réponse aux attaques de type Firesheep disponible sur l'ensemble des plateformes^[9] ». Deux études, une en 2012 et l'autre en 2013, recommandent d'incorporer la fonctionnalité d'HTTPS Everywhere dans les navigateurs Android^[10]^,^[11]. En 2014, une version a été publiée pour les téléphones Android^[12].

Versions

Le 8 août 2011 ; la version 1 de HTTPS Everywhere appelait 1 000 sites en HTTPS (nombre ayant vocation à être croissant^[13]^,^[14]) assurant ainsi un chiffrement des données lors du transfert entre l'internaute et le serveur^[15].

Le 13 juin 2015, il y a 18 121 sites dans la base de données de la version 5.0.5 de HTTPS Everywhere^[16].

Fin d'exploitation

L'extension est désactivée en 2022 car internet est déjà quasiment complètement chiffré, ce qui rend obsolète l'objectif initial de l'extension^[17].

Notes et références

↑ « Release 5.2.21 », 18 juillet 2017 (consulté le 22 octobre 2020)
↑ « https://www.eff.org/files/Changelog.txt »
↑ (en) Kate Murphy, « New Hacking Tools Pose Bigger Threats to Wi-Fi Users », 16 février 2011 (consulté le 24 septembre 2014).
↑ ^{a et b} « HTTPS Everywhere », sur Electronic Frontier Foundation, 7 octobre 2011 (consulté le 30 août 2020).
↑ (en) « Automatic web encryption (almost) everywhere », sur archive.org (consulté le 10 avril 2023).
↑ « HTTPS Everywhere Rulesets », sur Electronic Frontier Foundation, 10 juin 2010 (consulté le 30 août 2020).
↑ « HTTPS Everywhere Atlas », sur eff.org (consulté le 10 avril 2023).
↑ Toubiana, Vincent; Verdot, Vincent (2011). "Show Me Your Cookie And I Will Tell You Who You Are" (PDF). arXiv:1108.5864 [cs.CR]
↑ Kern, M. Kathleen, and Eric Phetteplace. "Hardening the browser." Reference & User Services Quarterly 51.3 (2012): 210-214. http://eprints.rclis.org/16837/ "perhaps the best response to Firesheep-style attacks available for any platform"
↑ Fahl, Sascha, et al. "Why Eve and Mallory love Android: An analysis of Android SSL (in) security." Proceedings of the 2012 ACM conference on Computer and communications security. ACM, 2012.
↑ Davis, B.; Chen, H. (2013). "Retro Skeleton". Proceeding of the 11th annual international conference on Mobile systems, applications, and services - Mobi Sys '13. p. 181. doi:10.1145/2462456.2464462. (ISBN 9781450316729).
↑ (en) Matt Brian, « Browsing on your Android phone just got safer, thanks to the EFF », sur engadget.com, 5 février 2014 (consulté le 30 août 2020).
↑ HTTPS Everywhere 1.0 sécurise +1000 sites web populaires, Guillaume Belfiore, 09/08/2011, consulté sur site www.clubic.com le 14 décembre 2011
↑ HTTPS now, consulté sur site www.httpsnow.org le 14 décembre 2011
↑ HTTPS Everywhere gère la connexion sécurisée d'un millier de sites web, Julien L, 09/08/2011, consulté sur site www.numerama.com le 14 décembre 2011
↑ HTTPS Everywhere : chiffrer (encrypter) le Web ! Force les sites qui savent utiliser le protocole de communication sécurisé HTTPS à utiliser HTTPS au lieu du protocole non sécurisé HTTP, consulté sur site assiste.com, le 13 juin 2015.
↑ Julien Lausson, « L'extension qui voulait chiffrer le web va s'arrêter, car le web est chiffré », sur Numerama, 29 septembre 2021 (consulté le 16 mars 2024)

Annexes

Sur les autres projets Wikimedia :

HTTPS Everywhere, sur Wikimedia Commons

Article connexe

Liste de moteurs de recherche (dont ceux en mode sécurisé https)
Privacy Badger, une autre extension de navigateur de l'EFF.

Lien externe

(en) Site officiel

[wikidata-e031d77b1a5fadb54ac7891148f78e683f9b7104-1] « Release 5.2.21 », 18 juillet 2017 (consulté le 22 octobre 2020)

[wikidata-4d1605a00158d7e364eec4e8e4a7d1a44d45c90d-2] « https://www.eff.org/files/Changelog.txt »

[3] (en) Kate Murphy, « New Hacking Tools Pose Bigger Threats to Wi-Fi Users », 16 février 2011 (consulté le 24 septembre 2014).

[:0-4] {a et b} « HTTPS Everywhere », sur Electronic Frontier Foundation, 7 octobre 2011 (consulté le 30 août 2020).

[5] (en) « Automatic web encryption (almost) everywhere », sur archive.org (consulté le 10 avril 2023).

[6] « HTTPS Everywhere Rulesets », sur Electronic Frontier Foundation, 10 juin 2010 (consulté le 30 août 2020).

[7] « HTTPS Everywhere Atlas », sur eff.org (consulté le 10 avril 2023).

[8] Toubiana, Vincent; Verdot, Vincent (2011). "Show Me Your Cookie And I Will Tell You Who You Are" (PDF). arXiv:1108.5864 [cs.CR]

[9] Kern, M. Kathleen, and Eric Phetteplace. "Hardening the browser." Reference & User Services Quarterly 51.3 (2012): 210-214. http://eprints.rclis.org/16837/ "perhaps the best response to Firesheep-style attacks available for any platform"

[10] Fahl, Sascha, et al. "Why Eve and Mallory love Android: An analysis of Android SSL (in) security." Proceedings of the 2012 ACM conference on Computer and communications security. ACM, 2012.

[11] Davis, B.; Chen, H. (2013). "Retro Skeleton". Proceeding of the 11th annual international conference on Mobile systems, applications, and services - Mobi Sys '13. p. 181. doi:10.1145/2462456.2464462. (ISBN 9781450316729).

[12] (en) Matt Brian, « Browsing on your Android phone just got safer, thanks to the EFF », sur engadget.com, 5 février 2014 (consulté le 30 août 2020).

[13] HTTPS Everywhere 1.0 sécurise +1000 sites web populaires, Guillaume Belfiore, 09/08/2011, consulté sur site www.clubic.com le 14 décembre 2011

[14] HTTPS now, consulté sur site www.httpsnow.org le 14 décembre 2011

[numerama-19535-15] HTTPS Everywhere gère la connexion sécurisée d'un millier de sites web, Julien L, 09/08/2011, consulté sur site www.numerama.com le 14 décembre 2011

[16] HTTPS Everywhere : chiffrer (encrypter) le Web ! Force les sites qui savent utiliser le protocole de communication sécurisé HTTPS à utiliser HTTPS au lieu du protocole non sécurisé HTTP, consulté sur site assiste.com, le 13 juin 2015.

[17] Julien Lausson, « L'extension qui voulait chiffrer le web va s'arrêter, car le web est chiffré », sur Numerama, 29 septembre 2021 (consulté le 16 mars 2024)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]