Washington se façonne un avenir tout en HTTPS

D’ici au 31 décembre 2016, tous les sites Web du gouvernement des Etats-Unis auront adopté le protocole de transfert hypertexte sécurisé HTTPS.

Cette résolution, l’administration Obama l’a officialisée en réaction aux cyber-attaques dont elle a dernièrement été victime. Illustration avec le piratage des données de 4 millions de fonctionnaires fédéraux (la Chine est accusée), mais aussi la mise hors service, pendant quelques heures, du site de l’armée de terre (assaut revendiqué par un collectif hacktiviste proche du pouvoir syrien).

Dans sa directive du 8 juin 2015 (document PDF, 5 pages), le Bureau de gestion et du budget (OMB) de la Maison Blanche indique que « tous les sites et services Web fédéraux accessibles au public le seront par le biais d’une connexion sécurisée ».

Cette démarche s’inscrit aussi dans la lignée d’une consultation publique relative à la stratégie « HTTPS-Only Standard » présentée au mois de mars. Une initiative sujette à de nombreux commentaires, deux ans après les premières révélations d’Edward Snowden sur les pratiques du renseignement américain, la NSA en particulier.

Utilisé depuis des années par les établissements bancaires et financiers, le HTTPS est désormais privilégié par de grand noms du numérique comme Google et Mozilla. Il est proposé aux internautes sous la forme d’une extension de navigateurs – HTTPS Everywhere – née d’une collaboration entre le projet Tor et l’Electronic Frontier Foundation.

Pour le gouvernement U.S., il s’agit surtout de rendre plus difficile l’interception de communications par des tiers, tout en conservant la confiance des usagers parallèlement à la modernisation de ses services en ligne.

Cette migration sera suivie grâce à un tableau de bord des déploiements, assorti d’une guide de bonnes pratiques ouvert aux contributions techniques internationales.

Dans ce document, on lit notamment que « toute activité de navigation doit être considérée comme privée et sensible ». Doit-on y entrevoir un double discours à l’heure où la NSA, dont les pouvoirs de collecte viennent d’être limités outre-Atlantique, réaffirme la nécessité d’un cadre légal permettant de contourner le chiffrement ?

Comme le note Silicon.fr, HTTPS ne garantit que l’intégrité de la connexion entre deux systèmes ; pas l’intégrité des systèmes eux-mêmes. Même son de cloche chez Tony Scott. Le DSI de la Maison Blanche reconnaît que « HTTPS n’a pas été conçu pour protéger un serveur Web du piratage ou pour empêcher le service Web d’exposer des informations de l’utilisateur pendant le fonctionnement normal du service ».

Malgré tout, l’initiative HTTPS-Only « permettra d’éliminer des décisions incohérentes et subjectives concernant les contenus ou les activités de navigation qui sont sensibles par nature, et de créer un standard de confidentialité plus élevé à l’échelle gouvernementale ». Un pas que n’a pas encore franchi la France.

Crédit photo : seanbear – Shutterstock.com