Pour gérer vos consentements :

Washington se façonne un avenir tout en HTTPS

D’ici au 31 décembre 2016, tous les sites Web du gouvernement des Etats-Unis auront adopté le protocole de transfert hypertexte sécurisé HTTPS.

Cette résolution, l’administration Obama l’a officialisée en réaction aux cyber-attaques dont elle a dernièrement été victime. Illustration avec le piratage des données de 4 millions de fonctionnaires fédéraux (la Chine est accusée), mais aussi la mise hors service, pendant quelques heures, du site de l’armée de terre (assaut revendiqué par un collectif hacktiviste proche du pouvoir syrien).

Dans sa directive du 8 juin 2015 (document PDF, 5 pages), le Bureau de gestion et du budget (OMB) de la Maison Blanche indique que « tous les sites et services Web fédéraux accessibles au public le seront par le biais d’une connexion sécurisée ».

Cette démarche s’inscrit aussi dans la lignée d’une consultation publique relative à la stratégie « HTTPS-Only Standard » présentée au mois de mars. Une initiative sujette à de nombreux commentaires, deux ans après les premières révélations d’Edward Snowden sur les pratiques du renseignement américain, la NSA en particulier.

Utilisé depuis des années par les établissements bancaires et financiers, le HTTPS est désormais privilégié par de grand noms du numérique comme Google et Mozilla. Il est proposé aux internautes sous la forme d’une extension de navigateurs – HTTPS Everywhere – née d’une collaboration entre le projet Tor et l’Electronic Frontier Foundation.

Pour le gouvernement U.S., il s’agit surtout de rendre plus difficile l’interception de communications par des tiers, tout en conservant la confiance des usagers parallèlement à la modernisation de ses services en ligne.

Cette migration sera suivie grâce à un tableau de bord des déploiements, assorti d’une guide de bonnes pratiques ouvert aux contributions techniques internationales.

Dans ce document, on lit notamment que « toute activité de navigation doit être considérée comme privée et sensible ». Doit-on y entrevoir un double discours à l’heure où la NSA, dont les pouvoirs de collecte viennent d’être limités outre-Atlantique, réaffirme la nécessité d’un cadre légal permettant de contourner le chiffrement ?

Comme le note Silicon.fr, HTTPS ne garantit que l’intégrité de la connexion entre deux systèmes ; pas l’intégrité des systèmes eux-mêmes. Même son de cloche chez Tony Scott. Le DSI de la Maison Blanche reconnaît que « HTTPS n’a pas été conçu pour protéger un serveur Web du piratage ou pour empêcher le service Web d’exposer des informations de l’utilisateur pendant le fonctionnement normal du service ».

Malgré tout, l’initiative HTTPS-Only « permettra d’éliminer des décisions incohérentes et subjectives concernant les contenus ou les activités de navigation qui sont sensibles par nature, et de créer un standard de confidentialité plus élevé à l’échelle gouvernementale ». Un pas que n’a pas encore franchi la France.

Crédit photo : seanbear – Shutterstock.com

Recent Posts

IA et RGPD : sont-ils compatibles ?

Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…

2 semaines ago

Windows 10 : quel coût pour le support étendu ?

Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…

3 semaines ago

Cybersécurité : la plan de Docaposte pour convaincre les PME

Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…

4 semaines ago

Surface Pro 10 : plus autonome et un peu plus réparable

La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…

1 mois ago

Office 2024 : ce qu’on sait de la prochaine version

Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…

1 mois ago

Microsoft Teams : comment fonctionne le double usage « pro-perso »

Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…

1 mois ago