Une traduction de l'article :

Sécurisation de l'accès à des sites Wikimedia avec HTTPS par défaut
Le 12 juin 2015


Pour assurer que les utilisateurs peuvent partager la connaissance du monde de Wikipédia de manière plus sécurisée, la fondation Wikimedia met en œuvre le protocole HTTPS par défaut, pour chiffrer tout le trafic des sites Wikimedia.
Image crée par Hugh D'Andrade, de l'Electronic Frontier Foundation, librement diffusable, sous la licence CC BY-SA 3.0.


Pour être vraiment libre, l'accès à la connaissance doit être sécurisé et non censurée. À la Fondation Wikimedia, nous pensons que vous devriez être en mesure d'utiliser Wikipedia et les sites Wikimedia sans sacrifier la vie privée ou à la sécurité.

Aujourd'hui, nous sommes heureux d'annoncer que nous sommes en train de mettre en œuvre le protocole HTTPS par défaut pour chiffrer tout le trafic Wikimedia. Nous allons également utiliser HTTP Strict Transport Security (HSTS) pour se protéger contre les tentatives visant à «casser» le trafic HTTPS et réaliser une interception. Avec ce changement, ce sont près d'un demi-milliard de personnes qui utilisent ​​Wikipédia et ses projets-frères chaque mois, qui seront en mesure de partager la connaissance du monde de manière plus sécurisée.

Le protocole HTTPS crée une connexion chiffrée entre votre ordinateur et les sites Wikimedia pour assurer la sécurité et l'intégrité des données que vous transmettez. Le chiffrement rend plus difficile pour les gouvernements et d'autres tiers de surveiller votre trafic. Il rend également plus difficile pour les fournisseurs d’accès à Internet (FAI) de censurer l'accès à des articles spécifiques Wikipédia et d'autres informations.

HTTPS est pas nouveau pour les sites Wikimedia. Depuis 2011, nous avons travaillé sur les besoins en infrastructure et pré-requis techniques, afin de comprendre les implications politiques et communautaires de l'activation de HTTPS par défaut, dans le but ultime de le rendre disponible à tous les utilisateurs. En fait, depuis 4 années, les utilisateurs Wikimedia pourraient accéder à nos sites avec HTTPS manuellement, à travers HTTPS Everywhere, et quand ils arrivent vers nos sites depuis les moteurs de recherche majeurs. En outre, tous les utilisateurs connectés accèdent via HTTPS par défaut depuis 2013.

Au cours des dernières années, les préoccupations croissantes concernant la surveillance des gouvernements a incité les membres de la communauté Wikimedia à proposer une protection HTTPS par défaut. Nous avons fait de cette transition une priorité pour nos équipes d'ingénierie.

Nous croyons que le chiffrement rend le Web plus fort pour tout le monde. Dans un monde où la surveillance de masse est devenue une menace sérieuse à la liberté intellectuelle, des connexions sécurisées sont essentielles pour protéger les utilisateurs dans le monde entier. Sans chiffrement, les gouvernements peuvent plus facilement surveiller les informations sensibles, créant un effet dissuasif, et décourageant la participation. Dans les cas extrêmes, les gouvernements peuvent isoler ou de discipliner les citoyens. Les comptes peuvent aussi être détournés, les pages peuvent être censurés, d'autres failles de sécurité pourraient exposer des informations sensibles de l'utilisateur. En raison de ces circonstances, nous pensons que c'est le moment d'activer HTTPS par défaut. Nous encourageons les autres à se joindre à nous alors que nous allons de l'avant avec cet engagement.

Les défis techniques de la migration vers le protocole HTTPS par défaut.

La migration en HTTPS par défaut pour l'un des sites les plus populaires du monde peut être compliqué. Pour nous, ce processus a commencé il y a des années et a impliqué toutes les équipes concernées de la fondation Wikimedia. Notre équipe d'ingénierie a été le moteur de cette transition, travaillant dur pour améliorer la performance de nos sites en HTTPS, préparer notre infrastructure pour gérer la transition, et gérer la mise en œuvre.

Les premières étapes ont été d'améliorer notre infrastructure et le code afin que nous puissions prendre en charge HTTPS. Nous avons également considérablement augmenté et mis à jour matériellement nos serveurs. Puisque nous ne employons pas de contenu de tiers, nous avons eu à gérer ce processus pour notre infrastructure en interne.

HTTPS peut avoir des conséquences sur les performances pour les utilisateurs, en particulier nos nombreux utilisateurs accédant à des sites Wikimedia en provenance de pays où l'infrastructure réseau est défaillante. Nous avons calibré soigneusement notre configuration de HTTPS pour minimiser les impacts négatifs liés à la latence, le temps de chargement de page, et l'expérience utilisateur. Ce fut un processus itératif qui reposait sur les normes de l'industrie, un grand nombre de tests, et notre propre expérience de la gestion des sites Wikimedia.

Tout au long de ce processus, nous avons soigneusement étudié comment HTTPS affecte tous nos utilisateurs. Les gens à travers le monde accèdent à Wikimedia avec une diversité de dispositifs, de niveaux de connectivité et de liberté d'information. Bien que nous avons optimisé l'expérience autant que possible en gardant ce défi à l'esprit, ce changement pourrait affecter l'accès pour une partie du trafic Wikimedia dans certaines parties du monde.

Dans la dernière année menant à cette activation de HTTPS par défaut, nous avons augmentés nos tests et efforts d'optimisation pour nous assurer que nos sites et des infrastructures peuvent soutenir cette migration. Notre objectif est maintenant de terminer la mise en œuvre du protocole HTTPS et HSTS pour tous les sites Wikimedia. Nous sommes impatients de partager un compte rendu détaillé de cette réalisation unique d'ingénierie une fois que nous auront terminés la transition.

Aujourd'hui, nous sommes heureux de commencer les étapes finales de cette transition, et nous nous attendons l'achèvement d'ici quelques semaines.

Yana Welinder, conseiller juridique principal, Fondation Wikimedia
Victoria Baranetsky, conseiller juridique de la Fondation Wikimedia
Brandon Black, ingénieur des opérations, Fondation Wikimedia

Traduit (rapidement) de l'Anglais par Vivien Guéant (CC BY-SA 3.0)

Je tiens à remercier la NSA et le gouvernement Chinois dans leurs efforts soutenus pour intercepter massivement le trafic et avoir ainsi accéléré fortement les projet de passage en HTTPS par défaut de nombreux site. Je n’oublie pas les sociétés Françaises*, Italiennes* et Allemandes* qui ont été installées du matériel pour d'écoute dans les dictatures d’Afrique du nord.

* Amesys, société française de sécurité informatique, a vendu son produit phare, le système EAGLE, à la Libye de Kadhafi. Cette technologie a été utilisée pour surveiller des journalistes et des militants des droits de l’homme. L’entreprise est poursuivie devant la justice française par la Fédération Internationale des Droits de l’Homme (FIDH) pour complicité de torture. Une instruction est en cours. Source : Reporters sans frontières

* L’entreprise italienne Hacking Team décrit elle même ses technologies comme étant “offensives”. La société a été mise en cause pour des ventes au Maroc et aux Émirats arabes unis. Selon la société Hacking Team, le “Remote Control System” qu’elle a développé, dénommé avec modestie DaVinci, est capable de casser le chiffrement utilisé pour les emails, les fichiers et les protocoles VoIP. Source : Reporters sans frontières

* Trovicor est l’un des plus gros fournisseur de solutions légales d’interception dans le monde et prétend équiper plus de 100 pays. La société a été interrogée, notamment lors d’une audience au Parlement européen en 2010, sur son implication en Iran, au Bahreïn ou en Syrie notamment, où des journalistes et des net-citoyens sont régulièrement emprisonnés et torturés grâce à l’utilisation de technologies vendues par des sociétés occidentales. Source : Reporters sans frontières

Pour faire de même sur vos sites perso hébergés sur un serveur Linux : Tutoriel pour chiffrer un site web gratuitement en 14 étapes simples

Si vous vous dépêchez, le projet de loi sur le renseignement pourrait revenir sur l'installation de boîtes noires chez les opérateurs internet afin de scruter les internautes : outre le fait que analyser 10 Tb/s de trafic sur des centaines de sites coûte horriblement cher, si le trafic est chiffré, on récupère peu d'informations intéressantes (ce qui reste en clair, c'est les requêtes DNS, l'IP source et l'IP destination).

"connexion cryptée"

non, chiffrées!
    

Oui il n'y a pas que l'authentification qui mérite d'être sécurisée. Un site qui reflète un de mes intérêts, opinions, etc, même s'il ne demande pas d'authentification, je serai bien content qu'il soit chiffré.

Pour faire de même sur vos sites perso hébergés sur un serveur Linux : Tutoriel pour chiffrer un site web gratuitement en 14 étapes simples

Si vous vous dépêchez, le projet de loi sur le renseignement pourrait revenir sur l'installation de boîtes noires chez les opérateurs internet afin de scruter les internautes : outre le fait que analyser 10 Tb/s de trafic sur des centaines de sites coûte horriblement cher, si le trafic est chiffré, on récupère peu d'informations intéressantes (ce qui reste en clair, c'est les requêtes DNS, l'IP source et l'IP destination).

Oui et aussi le nombre et la taille des messages qui donne une idée du type de trafic, et qui pourrait peut être être utilisé pour retrouver la page Web consultée!