Pour gérer vos consentements :

Washington se façonne un avenir tout en HTTPS

D’ici au 31 décembre 2016, tous les sites Web du gouvernement des Etats-Unis auront adopté le protocole de transfert hypertexte sécurisé HTTPS.

Cette résolution, l’administration Obama l’a officialisée en réaction aux cyber-attaques dont elle a dernièrement été victime. Illustration avec le piratage des données de 4 millions de fonctionnaires fédéraux (la Chine est accusée), mais aussi la mise hors service, pendant quelques heures, du site de l’armée de terre (assaut revendiqué par un collectif hacktiviste proche du pouvoir syrien).

Dans sa directive du 8 juin 2015 (document PDF, 5 pages), le Bureau de gestion et du budget (OMB) de la Maison Blanche indique que « tous les sites et services Web fédéraux accessibles au public le seront par le biais d’une connexion sécurisée ».

Cette démarche s’inscrit aussi dans la lignée d’une consultation publique relative à la stratégie « HTTPS-Only Standard » présentée au mois de mars. Une initiative sujette à de nombreux commentaires, deux ans après les premières révélations d’Edward Snowden sur les pratiques du renseignement américain, la NSA en particulier.

Utilisé depuis des années par les établissements bancaires et financiers, le HTTPS est désormais privilégié par de grand noms du numérique comme Google et Mozilla. Il est proposé aux internautes sous la forme d’une extension de navigateurs – HTTPS Everywhere – née d’une collaboration entre le projet Tor et l’Electronic Frontier Foundation.

Pour le gouvernement U.S., il s’agit surtout de rendre plus difficile l’interception de communications par des tiers, tout en conservant la confiance des usagers parallèlement à la modernisation de ses services en ligne.

Cette migration sera suivie grâce à un tableau de bord des déploiements, assorti d’une guide de bonnes pratiques ouvert aux contributions techniques internationales.

Dans ce document, on lit notamment que « toute activité de navigation doit être considérée comme privée et sensible ». Doit-on y entrevoir un double discours à l’heure où la NSA, dont les pouvoirs de collecte viennent d’être limités outre-Atlantique, réaffirme la nécessité d’un cadre légal permettant de contourner le chiffrement ?

Comme le note Silicon.fr, HTTPS ne garantit que l’intégrité de la connexion entre deux systèmes ; pas l’intégrité des systèmes eux-mêmes. Même son de cloche chez Tony Scott. Le DSI de la Maison Blanche reconnaît que « HTTPS n’a pas été conçu pour protéger un serveur Web du piratage ou pour empêcher le service Web d’exposer des informations de l’utilisateur pendant le fonctionnement normal du service ».

Malgré tout, l’initiative HTTPS-Only « permettra d’éliminer des décisions incohérentes et subjectives concernant les contenus ou les activités de navigation qui sont sensibles par nature, et de créer un standard de confidentialité plus élevé à l’échelle gouvernementale ». Un pas que n’a pas encore franchi la France.

Crédit photo : seanbear – Shutterstock.com

Recent Posts

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

1 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

1 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

2 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago

PC Copilot+ : Microsoft passe Recall en opt-in

Microsoft modifie la fonctionnalité de Recall sur les PC Copilot+ qui passe en opt-in. Reste…

4 mois ago