Accueil » Actualité » Ils veulent chiffrer tout internet

Ils veulent chiffrer tout internet

Image 1 : Ils veulent chiffrer tout internet

Les répercussions des révélations d’Edward Snowden se font encore sentir. Le groupe de travail HTTPbis, qui prépare le futur standard HTTP 2.0, envisage ainsi de rendre la totalité du trafic chiffré afin de compliquer la tâche aux espions voulant écouter les communications sur le réseau. Mais le débat est encore ouvert à propos des moyens d’implémenter ce chiffrement par défaut. Trois options sont sur la table aujourd’hui :

  • Forcer l’usage du chiffrement sur l’ensemble des URL http:// sans forcer l’authentification du serveur (TLS)
  • Forcer l’usage du chiffrement sur l’ensemble des URL http:// et de l’authentification TLS
  • Limiter l’usage du chiffrement et du HTTP/2 aux seules URL https://, les adresses http:// restant en HTTP/1

La balance semble pencher pour le moment en faveur de l’option 3. La première donnerait en effet un faux sentiment de sécurité, les pirates éventuels pouvant facilement contrefaire un certificat pour se faire passer pour un serveur légitime et ainsi récupérer le trafic. La seconde serait réellement sûre mais trop contraignante, obligeant tous les sites même les plus mineurs à obtenir un certificat authentique. La troisième option permet favoriser une transition douce entre le système actuel et le futur web à la fois chiffré et passant par des serveurs authentifier.

Bien sûr, cela ne mettra pas le web à l’abri des pirates ou espions : on a vu par le passer des vols de certificats authentiques. Mais il ferait un pas dans la bonne direction. Outre ces améliorations relatives à la sécurité, le HTTP/2 vise également à rendre le HTTP plus efficace et plus rapide. La spécification est ainsi basée sur SPDY, développé par Google. Encore à l’état de brouillon, la spécification HTTP/2.0 commencera à être implémentée et testée au début de l’année prochaine.