Le HTTPS est‑il une lubie ou une nécessité justifiée ?

Le HTTPS repose sur la cryptographie, qui est complexe et gourmande en calcul. Ce n’est pas la seule chose qui soit gourmande et ce n’est pas la seule chose complexe dans le numérique ou l’informatique, mais HTTP est à la base simple et peu gourmand ; il était déjà utilisé dans les années 1990, même si deux nouvelles versions sont apparues dans la seconde décennies des années 2000.

À lire les discours à son sujet, il améliore la sécurité. On a l’habitude des discours sur la sécurité, et ils sont généralement mensongers, sèment plus la peur qu’ils ne représentent la réalité. Quand on entend ce genre de discours, il faudrait toujours connaître la nature du risque et la mesure de ce risque et si ça n’est pas indiqué, pouvoir s’en enquérir.

En me renseignant sur les raisons de passer à HTTPS, ce que j’ai lu, a peu à voir avec la sécurité, et ce n’est mentionnée que comme un argument creux sans jamais donner de sources justifiant la dimension donnée à ce risque. Dans le même temps, il est souvent mentionné que ne pas passer à HTTPS, empêche les sites d’être bien placés sur Google (le moteur de recherche en situation de monopole, surtout en Europe), ce qui n’a rien à voir avec la sécurité et que si on ne le fait pas, tous les navigateurs vont signaler le site comme peu fiable. Ce dernier point est exagéré, une indication de risque n’étant vraiment affichée et sans trop insister, que au moment de remplir un formulaire. Ne reste donc que la référencement sur Google, qui n’est pas une question de sécurité, mais de visibilité et la cryptographie ne devrait rien avoir à faire là‑dedans.

Pourtant, HTTPS, c’est une complexité et un coût énergétique supplémentaire. C’est tellement complexe, que très peu de gens se sont lancé dans une mise en œuvre et on se trouve de fait avec une seule option qui monopolise presque tous les serveurs web, qui est OpenSSL (qui devrait en réalité, s’appeler OpenTLS) et deux autres options beaucoup moins célèbres, sur Windows et avec Apple. OpenSSL n’est pas dénué de bugs, l’un d’eux est à l’origine de ce qui a permis à des pirates de voler une importante quantité de mots de passe YahooMail il y a plusieurs années. La cause était un « malheureux » étudiant qui n’avait pas demandé à faire cette gaffe avec des modifications qui se sont avérés partiellement incorrectes (mauvaise gestion de la mémoire, un grand classique avec les langage comme le C/C++, Pascal, etc). Comme tout ce qui est complexe, ça consomme plus d’énergie, au minimum deux fois plus avec HTTPS (une source sera postée plus tard) que avec HTTP/1.1, le classique et assez bien maîtrisé.

Pourquoi accepter cette complexité, ce coût énergétique supplémentaire et parfois ce risque (quand il y a des bugs), sans raisons argumentées ?

Si sur le web, on cherche à se renseigner sur la prévalence du risque qu’il y a à ne pas utiliser HTTPS, on ne trouve rien. On trouve certes des pages et des pages qui expliquent que c’est courir le risque d’être espionné‑e, de voir ses communication interceptées ou modifiées en cours de route, mais rien à propos de la mesure de ces risques. Une malchance sur deux ? Une malchance sur mille ? Une malchance sur cent mille milliards ? Ça n’est pas du tout la même chose …

Le principe du HTTPS lui‑même est autant défendable que sujet à des questionnements, ce qui sera l’objet de messages ultérieurs. Reste que ce discours qui cultive la peur, n’est pas plus fondé que celui qu’on trouve habituellement en politique, et même encore moins, parce que au moins les parties populistes donnent des faux chiffres, là on en a aucun, comme s’il n’était même pas prévu que la question soit posée.

Les risques les plus courants sur le web, sont (à mon avis) :

• le phishing, mais HTTPS n’y peut rien, puisque n’importe qui peut avoir un certificat TLS (ce forum en a un) qui fait présenter le site comme sûr dans la barre d’adresse du navigateur.
• La tromperie, et clairement, HTTPS n’y peut strictement rien. Avec la première cause, c’est déjà l’essentiel des risques sur le web, en nombre au moins.
• Le vol de données bancaires ou de carte de paiement, qui sera re‑mentionné plus tard, mais qui ne concerne que les sites commerciaux et même pas l’entièreté de ces sites, mais le scam est peut‑être un risque encore plus important et HTTPS ne peut rien y changer.
• L’usurpation d’identité, HTTPS n’y peut rien, puisqu’il ne fait que « garantir » que le serveur d’un site est bien « qui il prétend », mais ne garanti rien sur les gens qui visitent un site (il faudra revenir sur point qui trahis une incohérence dans la culture web) et en pratique, ça ne garanti souvent rien d’autre que d’être l’adresse qu’on voit déjà dans la barre d’adresse du navigateur.
• Les écoutes (autres que le cas spécifique à fin de de vols de données bancaires), indétectables, mais elles ne ciblent que certaines gens, et les cas dont on a entendu parler était plutôt des écoutes téléphoniques d’abord, de mails ensuite. C’est probablement le risque le plus faible qui existe sur le web, excepté pour certaines gens très célèbres ou impliquées dans des choses sensibles et comme actrices, pas seulement comme spectatrices. Ou si c’est vraiment un risque pour les internautes ordinaires, je n’ai jamais lu des gens s’en plaindre, alors que le phishing, le scam et compagnie, c’est un risque d’une dimension bien pertinente pour tout le monde.

Le forum est pour le moment en HTTPS, mais ne l’a pas toujours été. Il a été mis en HTTPS il y a quelques années, pour tester, puis ça a été oublié, pour cause d’être occupé à d’autres choses. Il avait été laissé accessible, à la fois en HTTP et en HTTPS, sans penser que ça poserait un problème. Mais pour Google, une URL avec « http:// » et une URL avec « https:// », ne désignent pas la même page, alors que tout le monde sait très bien que si (les navigateurs eux‑mêmes, n’affichent pas le protocole dans la barre d’adresse, parce qu’elle ne fait pas partie de l’adresse, mais du mode d’accès, qui n’est pas la même chose). Même le préfixe « www » est plus sujet à débat, parce que même si souvent « www.mon-site.fr » est la même chose que « mon-site.fr », ça n’est pas toujours le cas, le second nom de domaine pouvant quelques fois être réservé à un autre service. Il se trouve que justement, cette erreur avait été faite, de ne pas rediriger automatiquement  www.bulleforum.net vers bulleforum.net, alors au total, que Google (et les autres) a vu toutes les pages comme en quadruple exemplaires (en http, en https, avec www et sans www), ce qui n’aide pas du tout à rendre un site trouvable (et il est compréhensible que pour un moteur de recherche, les doublons exactes, soit une source de dilemme et parfois de suspicions de flood). Avant d’éventuellement revenir à HTTP, d’après les conclusions d’investigations, sommaires au moins pour le moment, faute de ressources pertinentes sur le question, si la conclusion est que en effet HTTPS ne présente pas d’avantages (le cas du forum sera abordé dans un message ultérieur), il faudra attendre au moins plusieurs mois, le temps que les moteurs de recherche aient assez oublié qu’ils ont tous vu quadruple (ou double au minimum) pendant trop longtemps en scrutant le forum.

« La sécurité informatique, c’est un processus, pas un produit »
— Bruce Schneier, spécialiste en cryptographie et sécurité informatique

Encore une autre raison insensée d’utiliser HTTPS.

Certaines fonctions des pages, comme l’accès au presse‑papier, ne fonctionnent que avec HTTPS. C’est insensé, parce que ça ne concerne pas du tout la communication entre deux hôtes du réseau. On pourrait imaginer un prétexte du genre qu’on ne peut pas faire confiance un site pour copier quelque chose dans le presse papier ou y lire, ce qui est plus délicat, s’il n’est pas digne de confiance. Mais la connexion en HTTPS n’est pas une garantie de confiance. Une preuve simple est que s’il est imposé partout, même les sites non‑dignes de confiance sont en HTTPS où ils le font pour avoir l’air digne de confiance, même s’ils ne le sont pas. Cette limitation s’applique même sur l’hôte local, au moins avec Firefox, ce qui est insensé, puisque quand on est sur l’hôte local, on est même pas sur un réseau (même si un domaine se résous en 127.0.0.1 ou similaire, si le nom de l’hôte n’est pas de la forme xyz.localhost, Firefox refuse de le considérer comme fiable).

Il y a aussi le cas de HTTP/2, une nouvelle version après HTTP/1.1 et incompatible avec. Cette nouvelle version qui est sensée être plus économe en ressources, ne doit être disponible, d’après le standard, que si la connexion est en HTTPS et refusée dans le cas contraire. Mais HTTPS fait consommer plus de ressources que HTTP. C’est peut‑être le cas de HTTP/3 aussi, mais à vérifier. Il n’y a pourtant aucun rapport entre le format des échanges sur une connexion et le fait qu’elle soit en HTTP ou HTTPS, ce qui tend à faire penser qu’il s’agit plus d’une lubie ou d’un dogme.

Et si l’intention n’était que de créer une illusion de sécurité ?

Quelle est l’intérêt d’être en HTTPS sur un site qui vous hameçonne ? À la limite, ça lui permet même de le faire sans être surveillé …

Ça me fait penser à TOR, et tous ces gens qui voulaient le banaliser (ce qui a échoué). Leur raison, que certain‑es ne cachaient même pas, était que plus ce serait banalisé, plus les gens qui l’utilisent ne se feraient plus remarquer et il est essentiellement utilisé pour le piratage.

Sur la consommation d’énergie supplémentaire occasionnée par HTTPS : Power consumption of TLS : How the additional "S" in HTTPS impacts the power consumption […] (tuwien.at). Il faut cliquer sur un lien vers le bas de la page, pour consulter le document qui est un PDF. Le chapitre 4 résume le résultat en détails.



Dans le meilleur des cas, HTTPS consomme 3 fois plus de ressources que HTTP et dans le pire des cas, 10 fois plus. Le meilleur des cas est obtenu avec une combinaison d’option appelée CS2 (ECDHE-ECDSA-AES256-GCM-SHA384 pour la suite cryptographique, ECDSA pour l’authentification et ECDHE pour l’échange de clé). Il se peut que cette combinaison d’option soit une des plus répandue, heureusement, mais ce n’est pas fameux quand‑même.


Note : il y a faute d’écriture dans le PDF, qui écrit HTTPS au lieu de HTTP vers la fin de la phrase.

Une idée fausse selon laquelle HTTPS serait imposé par Google, pour empêcher les sites de savoir après quelle requête des internautes sont arrivés sur leur site, tandis que Google se réserve le droit de le savoir. L’argument serait que HTTPS ne permettrait pas d’utiliser le champs Referer (avec un seul R, c’est la faute d’orthographe la plus célèbre de l’histoire). Oui, Google fait bien ça, mais ça n’est pas une conséquence de HTTPS. Le champs Referer fonctionne toujours. Le lien est volontairement désactivé : --https://www.pyrat.net/Avec-HTTPS-Google-devient-le-maitre-du-monde-SEO.html

Une autre croyance erronée, est que HTTPS n‘empêche pas quelqu’un‑e qui écouterait la ligne, de connaitres les URL des pages sur lesquelles on va. Ça n’est pas le cas, puisque les URLs font partie des requêtes HTTP et sont donc cryptées. Mais HTTPS n’empêche pas de connaître les adresses IP des sites sur lesquels on va, même si c’est bien plus vague que de connaître les URLs exactes ; avec les hébergement mutualisés, une adresse IP peut même correspondre à plusieurs sites et alors l’IP ne permet même pas de connaître le site exacte.

Dans la conférence ci‑dessous, on apprends que Google, qui a participé à imposé le HTTPS partout, accepte de participer volontairement à des fuites de données à la demande. Comme c’est une entreprise États‑Unienne, elle est soumise au Patriot Act, qui permet d’écouter les communication internet de n’importe qui, sans condition si la cible n’est pas de nationalité Américaine, et sous condition de mandat, seulement si la cible est de nationalité Américaine.

Il donne en exemple, parmi d’autres, le service GMail, qui ne garanti pas la confidentialité, même s’il est en HTTPS. Malheureusement, les boites mails les plus utilisées sont aussi aux États‑Unix, même Yahoo.fr , le .fr ne signifiant pas que le site est hébergé en france.

Ne pas croire que la france vaut mieux, même s’il n’existe rien ici, qui ressemble au Patriot Act, des gens semblent l’avoir demandé.

Ça relativise les prétendues préoccupations pour la confidentialité, mais peut‑être que le but, est seulement d’en donner l’illusion, justement.

Utiliser TLS sans se tromper — Parleys — 4 Janvier 2016

Dans le cours en vidéo ci‑dessous, on apprend que les services secrets États‑Uniens, on fait pression pour que le cryptage RSA soit volontairement limité d’une manière qui leur permettrait de déchiffrer les messages tout en rendant le déchiffrement assez inaccessibles aux gens ordinaires. Ça ne concerne pas HTTPS, parce que c’est bien plus ancien, mais ça montre bien le double‑jeu qu’il peut y avoir.

Sécurité 2 : Cryptographie Symétrique — L’informateur — 11 Mai 2018

Il ne faut pas oublier que HTTPS ne fait pas d’un site, un site digne de confiance, aucune vérification n’est jamais faite à cette fin, c’est une illusion de confiance, la seule chose que ça garanti, est que la communication ne peut pas être écouté par quelqu’un qui aurait mis une connexion sur écoute. Et la seule chose qui soit vraiment cherché, c’est le vol, c’est à dire les informations bancaires. Pour être victime d’un vol, pas besoin d’être une célébrité ou d’avoir du pouvoir, mais pour que quelqu’un chercher à vous écouter, il faut bien plus que ça, justifiable ou pas, ça ne peut que être bien plus rare.

HTTPS ne permet pas d’éviter qu’un site douteux fasse n’importe quoi des éventuelles informations que vous lui fournissez, non‑plus, ça ne fait qu’empêcher que ces informations puissent être écoutées par quelqu’un d’autre que le site lui‑même, qui ne peut que tout recevoir en clair. La preuve est que quand un message est écrit sur ce forum, par exemple, il arrive en clair et peut être ensuite lu par n’importe qui, en clair ; mais pour la page de connexion au moins, le HTTPS, serait en effet plus indiscutablement une attente légitime, sans alourdir tout le reste.