Sous la pression de Google, Facebook et d'autres grands fournisseurs tels que Yahoo et Apple, le Web devient de plus en plus sécurisé, les services Web utilisant HTTPS pour chiffrer le trafic Web par défaut. Cependant, l'arrivée du projet d'enquête Powers Bill soulève des questions au sujet de qui peut potentiellement avoir accès à ce que - voici quelques réponses.
Quelqu'un peut-il voir toutes mes demandes Web?
Oui. Chaque fois que vous voyez HTTP dans la barre d'adresse du navigateur, les données envoyées sur le lien ne seront pas cryptées. Cela signifie l'adresse de la page et du domaine que vous parcourez, ainsi que toutes les données que vous envoyez, comme dans un formulaire, et toutes les données renvoyées.
Quelqu'un peut-il voir mes requêtes web si j'utilise HTTPS?
Non. Si vous voyez HTTPS dans la barre d'adresse du navigateur, la connexion est cryptée en utilisant SSL / TLS. Seule l'adresse IP de la destination (et le port utilisé, généralement 443) peut être déterminée. Aucun détail sur les pages ou les ressources auxquelles vous avez accédé, ni aucune autre donnée envoyée via la connexion ne sera accessible. Google, Facebook et de nombreux autres services en ligne importants utilisent désormais HTTPS par défaut. Par exemple, toutes vos demandes de recherche Google sont protégées et votre FAI ne peut pas voir l'URL et les résultats de la demande.
Si j'utilise HTTPS, sera toute personne en mesure d'accéder à mes informations à partir des journaux de serveur Web distant?
Oui. Les tunnels HTTPS cryptent les données sur Internet pour empêcher l'écoute, mais le trafic est déchiffré à chaque extrémité de sorte que le journal du serveur affiche les détails de quelle adresse IP a accédé à quelle ressource et quand. Comme le SSL / TLS utilisé par HTTPS utilise un modèle client-serveur, la clé requise pour déchiffrer la connexion est disponible sur le serveur - contrairement aux services de chiffrement de bout en bout où seules les parties impliquées ont la clé de déchiffrement. Cela signifie que les espions et les enquêteurs pourraient signifier un mandat et demander au fournisseur de services de lui remettre sa copie de la clé de déchiffrement et d'accéder à vos communications. HTTPS ne protège que la transmission des données sur Internet, et tous les détails de la demande et de la réponse peuvent être enregistrés sur le serveur.
Est-ce que mes requêtes DNS peuvent être enregistrées?
Oui. DNS - Domain Name System, qui traduit les noms de domaine humain respectueux dans les adresses IP des serveurs Web où se trouvent les pages Web - utilise UDP en clair sur le port 53. Votre FAI sera en mesure de se connecter à vos requêtes DNS, et tous les espions ou les enquêteurs seront en mesure de demander que les données.
Mon FAI peut-il déterminer lequel d'entre nous à la maison accède à un certain site?
Non. Généralement, les connexions haut débit à la maison partagent une seule adresse IP publique traçable entre de nombreux ordinateurs et smartphones utilisant ce que l'on appelle Traduction d'adresse réseau (NAT). Votre FAI enregistre uniquement l'adresse IP publique affectée à votre routeur, pas quel dispositif individuel à la maison utilisait à l'époque.
Si je me connecte à un site Web en utilisant un VPN, mes demandes sont enregistrées?
Peut être. A réseau privé virtuel (VPN) est un tunnel crypté point à point d'un ordinateur à un autre via l'Internet public. Votre FAI ne peut pas voir les détails des paquets de données qui traversent le tunnel. Exactement ce que le trafic réseau traverse le tunnel crypté et ce qui ne dépend pas de la façon dont le VPN a été mis en place. Par exemple, il est également possible de passer le DNS via un tunnel crypté s'il est routé vers le serveur VPN de l'entreprise. Les entreprises utilisent également souvent des systèmes appelés serveurs proxy, où les détails de l'ordinateur du réseau ne seront pas révélés aux journaux externes.
Si j'utilise un navigateur Tor, mon FAI pourra-t-il enregistrer mes requêtes Web?
Non. Utilisation d'un navigateur Tor activé, il est possible de naviguer sur Internet en utilisant la population réseau anonymisation Tor. Votre FAI ne pourra voir aucune des données transmises, et le journal du serveur Web n'enregistrera que l'adresse du noeud passerelle - le point d'entrée dans le réseau Tor, pas l'origine (votre navigateur) ou la destination finale (le web serveur).
Comment les FAI peuvent tracer moi?
Normalement, un cookie de session est utilisé pour la session de navigation Web de chaque utilisateur. Ceux-ci sont non chiffrés, des éléments de texte clair qui peut être récoltés lors de la communication sur HTTP et extrait pour des informations qui révèlent souvent des détails d'identification sur l'utilisateur.
Mes emails être numérisés pour plus de détails?
Improbable. De nombreux fournisseurs de messagerie chiffrent maintenant le trafic de messagerie à travers l'Internet, par exemple une messagerie Web tels que Gmail ou Yahoo Mail (en utilisant le protocole HTTPS), ou des versions cryptées de la protocoles de messagerie communs, tels que POP, SMTP ou IMAP. Donc, votre FAI ne peut pas lire vos e-mails, mais sachez que vous avez accédé à un service de messagerie. Cela signifie que le fournisseur de services Internet aura pas de détails pour passer à des espions ou des enquêteurs.
Les enquêteurs auront-ils le pouvoir d'examiner les journaux du serveur Web?
Oui, pour ceux basés en Grande-Bretagne. Mais les serveurs des services Web les plus utilisés sont basés en dehors du Royaume-Uni et ne sont donc pas soumis aux lois britanniques. La crédibilité des preuves obtenues à partir des journaux du serveur Web est également discutable car elles peuvent souvent être falsifiées, tandis que les adresses IP peuvent être usurpées (falsifiées).
Pourrait-il y avoir un "homme-dans-le-milieu"?
Peut être. Le projet de loi sur les pouvoirs d'investigation fournit aux enquêteurs et aux espions le droit d'altérer le matériel et les logiciels afin d'accéder aux données, par exemple afin de contourner le cryptage. Bien que cela puisse être d'une utilité limitée pour les sites Web hébergés à l'extérieur du Royaume-Uni, il existe de nombreux équipements au Royaume-Uni entre votre navigateur Web et ces serveurs. Il existe également d'autres moyens de tromper les navigateurs Web et d'autres logiciels utilisant le protocole HTTPS - comme en témoigne l'attaque «man-in-the-middle» utilisée par logiciel Superfish installé sur les ordinateurs Lenovo.
Un enquêteur verra-t-il mes mots de passe?
Non. Tout système de connexion de site Web correctement conçu utilise HTTPS. Si ce n'est pas le cas, et que vous traitez des informations sensibles, ne l'utilisez pas. Toutes les données, y compris les mots de passe envoyés via HTTPS, sont cryptées et sécurisées.
Alors, qui sait vraiment ce que j'accède?
Google. Vous pouvez même télécharger votre historique complet de toutes les recherches que vous avez faites.
A propos de l'auteur
Bill Buchanan, directeur, Centre pour l'informatique distribuée, les réseaux et la sécurité, Université Napier d'Édimbourg. Il dirige actuellement le Center for Distributed Computing, Networks, and Security, et travaille dans les domaines de la sécurité, des interfaces utilisateur de nouvelle génération, des infrastructures Web, de la cybercriminalité, des systèmes de détection d'intrusion, de la criminalistique numérique, de la santé en ligne, de l'informatique mobile systèmes basés sur des agents et simulation
Cet article a été publié initialement le The Conversation. Lis le article original.
Note du rédacteur: Tous les sites Web InnerSelf sont disponibles avec https: // security. Si vous arrivez sur le site via http: // changez simplement en https: //. Vous pouvez changer vos signets en https: // et éviter d'avoir à changer dans le futur. Changer maintenant.
Livre connexe:
at
Voici à quoi pourrait ressembler une cyber-guerre
Imaginez que vous vous réveilliez pour découvrir une cyberattaque massive sur votre pays. Toutes les données du gouvernement ont été détruites, supprimant les soins de santé…
Merci de votre visite InnerSelf.com, où il y a 20,000+ des articles qui changent la vie et qui font la promotion de « Nouvelles attitudes et de nouvelles possibilités ». Tous les articles sont traduits en Plus de 30 langues. S'abonner au magazine InnerSelf, publié chaque semaine, et au Daily Inspiration de Marie T Russell. Magazine InnerSelf est publié depuis 1985.
Voici à quoi pourrait ressembler une cyber-guerre
Merci de votre visite InnerSelf.com, où il y a 20,000+ des articles qui changent la vie et qui font la promotion de « Nouvelles attitudes et de nouvelles possibilités ». Tous les articles sont traduits en Plus de 30 langues. S'abonner au magazine InnerSelf, publié chaque semaine, et au Daily Inspiration de Marie T Russell. Magazine InnerSelf est publié depuis 1985.
