web-dev-qa-db-fra.com

Pourquoi devrais-je me soucier si un site utilise le cryptage ou non si je n'échange aucune donnée sensible?

De nos jours, de nombreux sites qui ne traitent pas de données sensibles permettent le cryptage. Je pense que c'est surtout pour que les utilisateurs (paranoïaques?) Se sentent plus en sécurité. Dans les cas où un compte d'utilisateur est connecté, ses données personnelles sont consultées, je vois comment cela peut être utile.

Et si je lis juste un site d'actualités? Tout le monde y a accès, c'est partout dans les journaux même. Quel est l'intérêt de crypter ces informations facilement accessibles?

De nombreux utilisateurs ont des profils de réseaux sociaux publics avec leurs intérêts répertoriés, leurs convictions politiques et religieuses, ou que les informations peuvent être facilement trouvées à partir de leurs blogs et sites Web personnels. Ils ne voient pas cela comme une menace pour leur vie personnelle, alors ils choisissent de ne pas le cacher. Comment le visionnement de contenu public populaire non chiffré peut-il leur nuire? Et comment le cryptage de ces pages protège-t-il leur vie privée?

47
user1306322

Le problème auquel vous êtes confronté, ici, est que si vous décidez de ne pas crypter une connexion, vous faites des hypothèses concernant la sensibilité des données qui transitent par cette connexion.

Malheureusement, il est impossible de formuler correctement cette hypothèse car:

  • Vous n'avez peut-être pas bien compris toutes les implications des données (par exemple, si Twitter n'a pas chiffré les données, elles pourraient être utilisées par les agences gouvernementales pour repérer les dissidents et les opposants).
  • Les données peuvent devenir sensibles après leur transmission (par exemple, répondre "qui était votre professeur de première année" dans un chat Web avec des copains de la vieille école pourrait conduire à un compromis de votre compte iTunes plus tard).

En fin de compte, c'est la même chose que pour les documents papier sensibles: vous pouvez décider de déchiqueter uniquement ce qui est sensible, mais tout ce qu'il faut pour que ce modèle s'effrite est une seule erreur. Il est beaucoup plus facile de simplement détruire TOUS les documents en toute sécurité et de ne pas vous soucier du tri.

Étant donné le coût relativement faible et l'utilisation de la sécurité des connexions et le fait que cela vous protège contre tous les problèmes ci-dessus (principalement), il est beaucoup plus logique de chiffrer tout ce que pour essayer de choisir le "bon" contenu à chiffrer .

75
Stephane

Le chiffrement ne consiste pas seulement à empêcher les écoutes indiscrètes de lire les données, il les empêche également de les modifier.

Retourner des images sur des pages Web à l'envers est une farce amusante à jouer sur les colocataires, mais une personne malveillante pourrait injecter des publicités ou du code nuisible (Java, Javascript, Flash, etc.) dans vos pages Web sans que vous vous en rendiez compte.

http://www.ex-parrot.com/pete/upside-down-ternet.html

58
user2675345

En plus des autres bonnes réponses, j'ajouterais que HTTPS garantit que lorsque je pense que je lis bbc.com, J'ai vraiment am lire le contenu fourni par bbc.com, pas un tiers hostile qui veut me tromper.

Certains sites d'actualités présentent encore des faits. Les gens prennent des décisions en fonction de ces faits - des décisions qui ont des conséquences réelles.

34
Eric Lippert

Une raison en général, je voudrais ajouter aux réponses ci-dessus est que même si vous ne faites pas quelque chose de très illégal dans un pays occidental, vous ne devez pas supposer que le gouvernement n'est pas intéressé par ce que vous lisez. La lecture de ce qui suit pourrait vous mettre sur une liste:

  • Des documents classifiés divulgués par des dénonciateurs techniquement illégaux
  • Un site ou un magazine d'actualités dans un pays musulman (si vous vivez aux États-Unis)
  • Un site ou un magazine d'actualités, etc. basé aux États-Unis si vous vivez en Chine ou dans un pays musulman

En général, nous savons que de nombreux gouvernements créent des profils de personnes qui visitent certains sites et vous souhaiterez peut-être garder vos intérêts politiques privés. Pour votre exemple de toute source de nouvelles, même en considérant uniquement la Chine et aucune des raisons ci-dessus n'est une raison suffisante.

Edit: Steve ci-dessous m'a rappelé, dans cette situation, la page que vous visitez est privée, mais pas le site Web. Vous devez donc en être conscient.

11
user40513

En règle générale, il est recommandé de chiffrer fortement toutes les données transitant sur les réseaux publics.

La raison en est que si seules les données "sensibles" sont cryptées, il est très facile pour les écoutes de cibler des données potentiellement utiles simplement en recherchant tout ce qui est crypté.

Cependant, si tout est crypté par défaut, ils n'ont aucune idée des informations utiles jusqu'à ce qu'ils les aient déjà décryptés.

Étant donné que le décryptage (sans la clé) est relativement coûteux en termes de puissance de traitement alors que le cryptage est assez bon marché, et qu'aucun système de cryptage n'est entièrement sécurisé, la meilleure façon de garantir la sécurité de vos données est si absolument tout est crypté avec une forte cryptage, même des informations banales ou déjà dans le domaine public.

10
Mark Micallef

Je pense que cela dépend vraiment de l'étendue de la définition des "données sensibles". Les mots de passe et les numéros de carte de crédit en sont certainement un, mais peut-être que la recherche d'informations WebMD sur une éruption cutanée, bien qu'une information généralement publique, peut être quelque chose qui vous tient à cœur et que vous ne voulez pas que l'employeur ou votre FAI sache (employeurs). nonobstant les arguments relatifs aux droits et à l'utilisation des équipements de travail). Ou peut-être suite aux nouvelles et aux élections, et ne voulant pas nécessairement divulguer votre affiliation. Les nouvelles électorales sont publiques, mais celles que vous lisez ne sont peut-être pas quelque chose que vous souhaitez divulguer. Donc, en général, les informations elles-mêmes peuvent être du domaine public. Qui accède à quelles informations et à ce qui peut être profilé ne doit pas nécessairement l'être. C'est là que le cryptage peut être utile (et bien sûr d'autres technologies rendant ces informations disponibles à nouveau nonobstant - donnant simplement un argument strictement concernant le cryptage).

9
LB2

Quelques informations avant d'arriver à ma réponse:

Je trouve les téléphones fascinants et l'un des téléphones les plus intéressants que j'ai rencontrés était le STU ou Secure Telephony Unit qui consistait essentiellement en un/dd/quelques codecs audio, un module de cryptage numérique et un modem et un circuit de contournement tous remplis à l'intérieur d'un téléphone et était pour la plupart connecté aux lignes téléphoniques ordinaires et au réseau téléphonique public. Ils étaient très populaires pendant la guerre froide. La façon fondamentale dont ils ont été utilisés est de décrocher le combiné, de vérifier la tonalité, de passer l'appel, de vérifier que vous avez atteint le bon numéro, d'accepter de lancer le mode sécurisé, les deux parités tourneraient la clé pour lancer le mode sécurisé, attendraient que la crypto se synchronise , avoir une conversation sécurisée, accepter de mettre fin au mode sécurisé, tourner la clé sur non sécurisé, mettre fin à l'appel.

Dans mes recherches sur les STU, je suis tombé sur un compte-rendu de quelques espions russes discutant des appels interceptés entre les STU. Bien que ces agents de terrain n'aient pas pu apprendre le contenu de la conversation cryptée, ils ont fait un effort particulier pour écouter tous les appels sur une ligne qui était connectée à une STU en plus d'enregistrer la conversation cryptée pour analyse, ils ont dit qu'ils avaient appris toutes sortes de choses intéressantes et précieuses de la partie non chiffrée des appels, bien au-delà de l'identité des parties à l'appel.

La morale de l'histoire: même si vous ne pensez pas que les informations sont précieuses, l'ennemi le pourrait. (peu importe qui nous pensons que l'ennemi est)

3
hildred

Parce que vous ne savez pas vraiment ce qui peut être déduit des données que vous émettez. Étant donné que tout le NSA remue-ménage a fait surface dans les actualités, beaucoup de gens pensent: "oui, c'est vrai, le NSA connaît les e-mails que j'envoie à mon petit cousin et mes habitudes d'achat? Et alors? ".

Malheureusement, nous sommes entrés dans l'ère du BigData et de l'apprentissage automatique. Il ne s'agit pas seulement de créer d'énormes bases de données pour obtenir des modèles et des prévisions. Personnellement, je pense que l'apprentissage automatique représente un énorme pas en avant pour les sciences en général. Cela représente un passage de l'analyse à ce que j'appellerais des méthodes méta-analytiques. "Retour dans le temps", vous commenceriez avec des données provenant d'un domaine (par exemple, les données démographiques), l'analyseriez avec un cadre analytique qui correspond au domaine, et obtiendriez un résultat dans les termes de ce domaine (par exemple un modèle pour prédire la croissance) d'une population donnée).

L'apprentissage automatique fonctionne au niveau supérieur: il possède son propre ensemble d'outils et de méthodes analytiques, mais il est utilisé pour construire des "cerveaux électroniques" qui effectueront l'analyse proprement dite. La conséquence directe de cela est qu'il est plus facile de lier des domaines et d'effectuer des inférences croisées entre eux. Par exemple, il est possible de prédire où vous serez dans 24 heures à partir de certaines de vos données Facebook.

Ou dites si une femme est enceinte en regardant ce qu'elle achète.

Target prédit la grossesse avec le Big Data.

Après avoir magasiné chez Target, la jeune fille a commencé à recevoir du courrier chez son père pour faire la publicité d'articles pour bébés: couches, vêtements, berceaux et autres produits spécifiques au bébé. Son père a été exaspéré par les tentatives de l’entreprise d’encourager la grossesse chez les adolescentes et s’est plaint à la direction. Quelques jours plus tard, un père honteux a appelé le directeur pour s'excuser; il est apparu que sa fille était enceinte. Ce n'est pas inhabituel avec les collectes de données assistées par ordinateur d'aujourd'hui de la part des magasins de détail. Target attribue aux clients un numéro d'identification d'invité lié à leur nom, leur carte de crédit, leur adresse e-mail et toutes les autres informations que la boutique peut collecter. En utilisant les informations sur les achats passés, Target est en mesure de créer un profil incroyablement précis à utiliser dans la publicité spécifique au client.

Bien sûr, j'exagère la puissance de l'apprentissage automatique (et je sous-estime l'importance des connaissances/experts spécifiques au domaine). Pourtant, les perspectives sont de plus en plus inquiétantes: l'identification de personnes homosexuelles ou d'opposants politiques à une activité apparemment sans rapport pourrait être réalisée par des gouvernements ou des organisations mal intentionnés semble plausible. Ils pourraient même réprimer les révolutions avant même que les gens aient la chance de manifester dans les rues. Etc...

Je pense que c'est une question très importante pour nos sociétés modernes, d'autant plus qu'elle n'a pas été identifiée comme l'un des grands défis éthiques de ce siècle, contrairement à l'ingénierie génétique humaine.

3
Bernhardt

De nombreux sites d'actualités/sites de journaux fournissent des comptes pour des fonctionnalités supplémentaires, des abonnements, etc. Forcer tout le trafic Web via SSL réduit les risques en s'assurant que personne ne peut jamais se connecter sur une connexion non cryptée.

En général, il vaut mieux prévenir que guérir. De nos jours, le HTTPS n'est plus autant un surcoût qu'avant, alors pourquoi ne pas crypter toutes les connexions pour en être sûr?

3
Tim Lamballais

Un point qui est souvent oublié dans cette discussion est le fait que SSL crypte également l'URL de la page que vous utilisez lorsque vous accédez à un site Web.

Si quelqu'un écoutait votre connexion (NSA?) Et que vous visitiez un site qui n'était pas fourni via SSL, quelqu'un pourrait voir à quelles pages vous accédez et créer un profil autour de vous en fonction de vos habitudes de navigation.

Si vous visitez des sites avec SSL activé, ce n'est pas seulement le contenu de la page qui est crypté, mais l'URL de la page réelle (le chemin sur le serveur) qui est également cryptée.

Donc, si quelqu'un écoute, il ne sait que les domaines que vous visitez. Ils ne peuvent pas savoir à quelles pages vous accédez.

2
user42684

Tous les points principaux ont été abordés mais j'ai pensé qu'il valait la peine de couvrir ce scénario particulier:

Il était/est courant de crypter une page de connexion, puis de permettre à l'utilisateur authentifié de continuer à naviguer sur le site sur une connexion non cryptée (pour économiser les cycles CPU sur le serveur). Cette utilisation apparemment efficace et parcimonieuse du chiffrement est en fait presque inutile.

Il permet à un utilisateur de capturer vos cookies de session, puis de vous faire passer complètement pour vous sur le site en question. Peut-être en leur permettant de modifier vos informations de connexion ou même de récupérer votre mot de passe en texte brut.

1
aidan

L'ÉCRITURE DU DÉBUTANT: Mais que se passe-t-il si je ne fais que lire un site d'actualités? Tout le monde y a accès, c'est partout dans les journaux même. Quel est l'intérêt de crypter ces informations facilement accessibles?

MA RÉPONSE: Oui, tout sur le site d'actualités est public; mais vous sentiriez-vous à l'aise avec quelqu'un debout par-dessus votre épaule pendant que vous êtes avec votre ordinateur dans un café, en utilisant son WI-FI, par exemple pour voir quels articles vous choisissez de lire? Et que se passe-t-il si le site d'actualités dispose néanmoins d'un identifiant pour que les lecteurs puissent personnaliser le flux? Est-ce que ça une partie de ce que vous faites là-bas n'a pas besoin d'être chiffrée? Entre les deux choses, il est plus facile pour le propriétaire du site de tout chiffrer.

L'ÉCRITURE DU DÉBUTANT DE FILS: De nombreux utilisateurs ont des profils de réseaux sociaux publics avec leurs intérêts énumérés, des convictions politiques et religieuses, ou que des informations peuvent être facilement trouvées à partir de leurs blogs et sites Web personnels. Ils ne voient pas cela comme une menace pour leur vie personnelle, alors ils choisissent de ne pas le cacher. Comment le visionnement de contenu public populaire non chiffré peut-il leur nuire? Et comment le cryptage de ces pages protège-t-il leur vie privée?

MA RÉPONSE: Certains d'entre eux ne se soucient pas de leur vie privée. Ils ont, comme le dit la psychologue Sherry Turkle, une sorte de mentalité " je partage donc je suis ". Dans tous les cas, comme dans l'exemple précédent, même ceux qui partagent si librement doivent se connecter auxdites pages pour changer les choses, non? Et ce faisant, ils doivent être cryptés, non? De plus, ceux qui lisent leurs informationsn peuvent ne pas vouloir que les autres dans le café où ils utilisent leur ordinateur portable sachent qu'ils consultent la page de réseautage social de Untel.

Découvrez ce qu'on appelle " sidejacking ", où quelqu'un assis à une autre table avec son ordinateur portable, dans un café où vous utilisez également votre ordinateur portable , avec vous deux sur le même LAN WI-FI, vous pouvez utiliser une simple extension Mozilla Firefox appelée "Firesheep" pour "voir" sur son écran, tout ce que vous faites sur votre ordinateur à votre table de l'autre côté de la Chambre. Ou il peut utiliser son Android et une petite chose appelée "DroidSheep" pour accomplir à peu près la même chose. Et il existe d'autres outils tout aussi néfastes.

Est-ce que ça vous ferait du bien? À peu près quand vous comprenez qu'ils le sont, ne serait-ce pas agréable si le site Web que vous utilisez venait juste d'activer SSL et que votre accès audit site se faisait via https : // au lieu de simple http: // ?

C'est pourquoi Firefox et Chrome comme " HTTPS Everywhere " existent: pour basculer automatiquement des milliers de sites de "http" non sécurisé vers "https", vous protégeant ainsi de de nombreuses formes de surveillance et de détournement de compte/détournement de compte, et dans les pays moins libres que les États-Unis, même certaines formes de censure.

Tous les sites Web devraient désormais utiliser SSL pour le contenu tous. Période. Cela devrait être aussi normatif que de mettre des étouffements avant de quitter la maison.

J'espère que cela pourra aider!

1
Gregg DesElms