chiffrement
Mozilla a présenté, dans un billet dédié publié aujourd’hui, une nouvelle technologie présente dans Firefox depuis la dernière version 118. L’Encrypted Client Hello, ou ECH, permet d’ajouter une couche supplémentaire de protection de la vie privée à la navigation. Pour autant, ECH n’est pas réservé à Firefox. Explications.
En 2020, dans une série d’articles sur DNS-over-HTTPS (DOH), nous avions interviewé Stéphane Bortzmeyer. Pour l’ingénieur, « gérer des serveurs DNS permet beaucoup de choses, dont le pouvoir de suivre n’importe qui dans ses habitudes de navigation. C’est vous qui déterminez alors ce que va voir quelqu’un en tapant une adresse. C’est en grande partie le territoire des fournisseurs d’accès ».
Depuis, DOH a continué à faire progressivement son chemin, au point que pratiquement tous les navigateurs et systèmes d’exploitation le gèrent aujourd’hui. Et si l’on en reparle, c’est parce que le billet de Mozilla présente un nouveau mécanisme de protection qui en tire parti.
« La plupart des données partagées sur les sites web, telles que les mots de passe, les numéros de carte de crédit et les cookies, sont protégées par des protocoles cryptographiques tels que Transport Layer Security (TLS). ECH est une nouvelle extension de TLS qui protège également l’identité des sites web que nous visitons, comblant ainsi la lacune en matière de protection de la vie privée dans notre infrastructure de sécurité en ligne existante », explique Mozilla.
Ce qui intéresse la fondation, c’est le premier « Hello » échangé, et plus généralement toutes les informations qui ne concernent pas directement les communications entre le navigateur et un site. En premier lieu, l’adresse visitée.
Dans une connexion classique, le site visé a maintenant toutes les chances d’être en HTTPS. Tout le trafic sera donc chiffré et, normalement, protégé contre les regards extérieurs. En revanche, l’adresse du site n’est pas protégée. On pourrait comparer (grossièrement) aux conversations WhatsApp : le contenu des conversations et appels est chiffré, mais le service peut savoir à qui vous parlez, quand et combien de temps.
Le règlement DORA : un tournant majeur pour la cybersécurité des institutions financières Le 17…
L’Agence nationale de la sécurité des systèmes d'information (ANSSI) a publié un rapport sur les…
Directive NIS 2 : Comprendre les nouvelles obligations en cybersécurité pour les entreprises européennes La…
Alors que la directive européenne NIS 2 s’apprête à transformer en profondeur la gouvernance de…
L'intelligence artificielle (IA) révolutionne le paysage de la cybersécurité, mais pas toujours dans le bon…
Des chercheurs en cybersécurité ont détecté une intensification des activités du groupe APT36, affilié au…
This website uses cookies.