#HTTP/2 : une évolution importante du protocole du web, notamment pour les mobiles

Le protocole HTTP, support historique du web avec le langage HTML, a été inventé par Tim Berners-Lee il y a maintenant 20 ans. On a récemment parlé de son évolution HTTP/2, notamment dans le contexte d’un possible chiffrement systématique des échanges entre navigateurs et serveurs, après les affaires d’écoutes illégales des communications Internet révélées par Edward Snowden. Pour autant, cette amélioration à venir de HTTP va bien au-delà et pourrait constituer une étape de progrès importante pour le web, notamment depuis les mobiles.

Vous avez peut-être lu récemment des articles sur HTTP/2, dans le contexte d’une volonté de sécurisation accrue des échanges de données sur le web. Mais comme l’explique #Mark Notthingham, responsable du groupe de travail HTTP/2 à l’IETF – #Internet Engineering Task Force – les attentes de la communauté du web vont au-delà, et les évolutions prévues sont plus larges.

Mark Notthingham, responsable du groupe de travail HTTP/2 à l’IETF

Car cela fait maintenant 20 ans que le protocole HTTP – #HyperText Transfer Protocol – a été inventé, et depuis les versions HTTP/1.0 en mai 1996 et #HTTP/1.1 en janvier 1997 il n’a plus évolué. Dans le même temps l’Internet s’est diffusé massivement dans le grand public et en entreprise, et en moins de deux décennies on est passé de connexions téléphoniques à 56 kb/s à des dizaines de Mb/s sur des liaisons DSL ou fibre optique, et la part du trafic Internet réalisés par des smartphones, tablettes et terminaux mobiles de toute sortes a explosé.

Afin de pallier les limitations de HTTP, Google a mené ses propres travaux, dévoilant #SPDY en 2012. Cette proposition visait essentiellement à réduire le temps de chargement des pages web en priorisant les contenus nécessaires à leur affichage et en multiplexant leur transfert au sein d’une seule connexion TCP. Ces travaux ont inspiré l’IETF qui a repris cette approche dans un cadre plus global d’amélioration des performances du web.

Faisons donc le point sur les axes d’évolution du protocole HTTP, en listant les principaux apports techniques de HTTP/2.

Conserver les mêmes API
La compatibilité ascendante est primordiale, compte tenu de nombre colossal de services qui ont été développées au-dessus du protocole HTTP : on ne saurait exiger des développeurs de logiciels utilisant HTTP qu’ils retouchent leur code, parfois embarqué dans des systèmes matériels, pour l’adapter. Les mêmes méthodes (GET, PUT, POST etc), les mêmes entêtes et les mêmes statuts et code d’erreur (le fameux 404 et tous les autres) seront conservés inchangés, et il suffira de remplacer une bibliothèque de fonctions HTTP/1.1 par une bibliothèque HTTP/2 pour que le logiciel qui l’utilise soit compatible.

Rendre les requêtes moins coûteuses
HTTP est un protocole coûteux en ressources réseaux, notamment parce que les entêtes de messages sont verbeux. C’est pénalisant pour l’échange de courtes informations, et ça l’est encore plus pour les mobiles : même si les débits ont été fortement accrus avec la 3G puis la 4G, tout ce qui contribue à optimiser la bande passante des réseaux mobiles et bénéfique. Pour cela, http va utiliser un mécanisme de « multiplexage » qui permettra l’échange de plusieurs messages simultanément, et non plus séquentiellement. De surcroît, les entêtes seront systématiquement compressés.

Optimiser les connexions TCP avec les serveurs
Alors qu’aujourd’hui HTTP permet d’ouvrir plusieurs connexions TCP parallèles et simultanées vers un serveur, ce qui peut créer de la congestion sur le réseau, HTTP/2 permettra de regrouper les échanges avec un même serveur au sein d’une seule et même connexion TCP. Là encore, ce sera bénéfique pour les réseaux mobiles.

Pré-remplir le cache des navigateurs
Un mécanisme de « cache pushing » permettra à un serveur d’envoyer des informations à un client pour un usage ultérieur. Ainsi il ne sera plus nécessaire à un navigateur web de demander d’abord le contenu d’une page HTML, puis les feuilles de style CSS référencées par la page : le serveur pourra envoyer le HTML et les CSS d’un seul coup, évitant un dialogue inutile entre le navigateur et le serveur. Le logiciel client pourra évidemment débrayer ce mécanisme si nécessaire.

Interrompre une connexion TCP sans la fermer
Avec HTTP, si un logiciel client envoie une requête et décide de ne plus attendre la réponse, la seule façon de préserve la bande passante est de fermer la connexion TCP. Il n’y a aucune façon de la récupérer si cela s’avère nécessaire plus tard.

Avec HTTP/2, un logiciel client pourra maintenir active une connexion TCP même s’il abandonne un échange en cours à la suite d’une action de l’utilisateur, ce qui rendra moins coûteuse en ressources réseaux une éventuelle reprise du dialogue ultérieurement.

Faciliter le chiffrement des échanges
C’est là le point qui a le plus attiré l’attention sur HTTP/2, et qui n’a peut-être pas été bien compris : la nouvelle version du protocole ne rendra pas obligatoire l’utilisation du chiffrement #TLS, sur lequel repose le chiffrement #SSL entre sites web et navigateurs. En revanche, ses performances accrues réduiront l’impact négatif du chiffrement sur la rapidité de réponse d’un site telle que la perçoivent les utilisateurs.

En rendant le chiffrement des communications plus performant, HTTP/2 pourra contribuer à rendre le web plus sûr pour ses utilisateurs, tant vis-à-vis de la cybercriminalité que d’États qui, on le voit aujourd’hui, n’hésitent pas à espionner massivement les internautes de toutes nationalités. Pour autant, au regard des moyens technologiques colossaux dont s’est dotée la NSA, il ne faudrait pas croire en une sécurité absolue d’un tel chiffrement…

Pour autant, HTTP/2 n’est pas magique
On l’a vu, HTTP/2 apporte de nombreuses évolutions positives. Mais il n’aura pas d’impact magique sur les sites web : afin d’en tirer le meilleur, les évolutions des navigateurs web, et aussi des logiciels serveurs web, devront être faites en prenant en compte différents scénarios d’usage. En effet, s’ils sont mal utilisés, des mécanismes tels que le pré-remplissage du cache du navigateur ou le maintien de sessions TCP inactives pourraient aller à l’encontre du but recherché : l’amélioration globale de la performance du web.

Et ensuite, HTTP/3 ?
HTTP existe depuis 20 ans : sa simplicité et sa versatilité ont permis l’incroyable développement du web que l’on connaît aujourd’hui. Le développement de HTTP/2 a été très compliqué, notamment parce qu’un grand nombre de matériels ont été conçus dans l’idée que HTTP ne changerait jamais. Une fois la transition de HTTP à HTTP/2 lancée, les choses seront différentes, et de futures nouvelles versions pourront être introduites plus facilement.

Parmi des évolutions déjà envisagées, certaines n’ont pas été intégrées dans HTTP/2 pour ne pas retarder encore sa sortie. Sont notamment prévus l’envoi au client de certificats TLS et d’entrées DNS. Des problèmes non encore résolus par HTTP/2 pourront l’être dans une version future, mais cela devrait être marginal, car la communauté est confiante dans HTTP/2, au vu des premiers tests de déploiement déjà réalisés. L’objectif de tous est maintenant qu’il sorte rapidement et commence à être déployé.

Les résultats des travaux de l’IETF sur les spécifications techniques de HTTP/2 sont publics. Le draft 10 (http://tools.ietf.org/html/draft-ietf-httpbis-http2-10) peut être consulté et va être discuté durant une période de 6 mois prenant fin en août 2014.

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://www.zdnet.fr/actualites/http-2-une-evolution-importante-du-protocole-du-web-notamment-pour-les-mobiles-39798198.htm

par Pierre Col

Recommandations de la CNIL sur les mot de passe (Délibération n° 2017-012 du 19 janvier 2017)

PHRASE2PASSE : UN OUTIL POUR ACCOMPAGNER LES UTILISATEURS

Pour aider les utilisateurs à choisir un mot de passe robuste et un moyen mnémotechnique, la CNIL a développé un outil pour générer un mot de passe à partir d’une phrase.
Le code de cet outil est disponible sous la forme d’une extension logicielle en javascript, afin que vous puissiez l’intégrer dans vos applications.

>Télécharger l’extension

Texte officiel

> Délibération n° 2017-012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe

…[lire la suite]

Notre métier : Vous aider à vous protéger des pirates informatiques (attaques, arnaques, cryptovirus…) et vous assister dans vos démarches de mise en conformité avec la réglementation relative à la protection des données à caractère personnel.

Par des actions de formation, de sensibilisation ou d’audits dans toute la France et à l’étranger, nous répondons aux préoccupations des décideurs et des utilisateurs en matière de cybersécurité et de mise en conformité avec le règlement Européen relatif à la Protection des Données à caractère personnel (RGPD) en vous assistant dans la mise en place d’un Correspondant Informatique et Libertés (CIL) ou d’un Data Protection Officer (DPO) dans votre établissement.. (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84)

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

#Hotspot Shield le #logiciel VPN pour Windows MacOs IOS Android Apple Samsung pour accéder de manière sécurisée à un Wifi public

Il peut ainsi, en fonction des données qu’il récupère, accéder à toutes les informations qui sortent et qui entrent de votre ordinateur (le protocole tcp/ip n’étant pas protégé par défaut).

LA SOLUTION ?

Utiliser une connexion Wifi qui sera cryptée au moyen d’un logiciel VPN (ce ctyptage n’a aucun rapport avec les clés Wifi) .

La connexion Wifi ainsi créée étant crypté, toutes les informations qui véhiculeront (identifiants, adresses email, mots de passe, numéros de cartes bancaires…) seront illisibles pour tous les pirates qui seront connectés sur le mêle point d’accès wifi.

Vous pouvez certes partager la connexion 3G ou 4G de votre smartphone, mais l’utilisation d’un logiciel VPN est recommandé.

Un logiciel « VPN » (Virtual Private Network) est un logiciel qui crée un « réseau privé virtuel », une sorte de tunnel crypté pour vos communications internet. Cela ralentit un peu la connexion, mais elle est du coup sécurisée.

Nous utilisons régulièrement un logiciel VPN #HotSpotShield. C’est un logiciel qui coûte  moins de 25 euros et qui vous rendra les connections Wifi publiques sécurisées.

HotSpot Shield existe pour Windows pour protéger par un logiciel VPN les connexions Wifi des ordinateurs assemblés, Acer, Asus, IBM, Dell ;

HotSpot Shield existe aussi pour MacOs X Lion pour protéger par un logiciel VPN les connexions Wifi des ordinateurs Apple ;

HotSpot Shield existe aussi pour Android pour protéger par un logiciel VPN les connexions Wifi des smartphones Samsung, HTC, Archos, LG, Acer, Wiko, Sony, Asus, Alcatel, ZTE… ;

Enfin, HotSpot Shield existe aussi pour IOs pour protéger par un logiciel VPN les connexions Wifi des smartphones Apple.

Téléchargez et testez gratuitement HotSpot Shield

Réagissez à cet article

RGPD et Vidéosurveillance dans les écoles : Comment éviter d’être épinglé par la CNIL

Un établissement supérieur parisien épinglé par l’autorité de protection des données personnelles, la Cnil, pour une vidéosurveillance permanente de ses classes va se mettre en conformité avec les demandes de l’autorité. «Si on nous dit qu’il faut enlever les caméras, on le fera», a expliqué Roger Hagege, cofondateur de l’Institut des techniques informatiques et commerciales (Itic), à l’AFP. «Je veux qu’ils (la Cnil) nous expliquent à quel moment» le besoin de sécurité «s’arrête» face à la nécessité de respecter la vie privée. «Je veux connaître cette limite et je me conformerai à la limite que va nous accorder la Cnil», poursuit-il…[lire la suite]

Denis JACOPINI vous informe :

Pour sécuriser les accès et éviter les incidents, des caméras sont installées dans les établissements scolaires pour filmer les couloirs, les halls d’entrées, mais aussi la rue. Ces dispositifs doivent respecter différentes règles afin de ne pas porter atteinte à la vie privée des personnes filmées.

Quelles sont ces règles ? Quelles précautions prendre ?

Dans quel but ?
Des caméras peuvent être installées à l’intérieur d’un établissement à des fins de sécurité des biens et des personnes (lutte contre les violences entre élèves, les dégradations sur les portes ou murs, les vols, etc). Des caméras peuvent également filmer l’extérieur de l’établissement afin
de renforcer la sécurité de ses abords (prévention d’actes de terrorisme).

Quelles précautions prendre lors de l’installation du dispositif ?
Les caméras peuvent filmer les accès de l’établissement (entrées et sorties) et les espaces de circulation. Il est exclu, sauf cas exceptionnels, de filmer les lieux de vie des établissements (cour de récréation, préau, salle de classe, cantine, foyer, etc.) pendant les heures d’ouverture de l’établissement : les élèves comme les enseignants et les autres personnels de l’établissement ont droit au respect de leur vie privée.

La sécurisation des biens et des personnes peut être obtenue par la mise en œuvre de moyens moins intrusifs. L’utilisation de caméras doit rester limitée et constituer un moyen complémentaire à d’autres mesures de sécurité. Seules des circonstances exceptionnelles (établissements scolaires victimes d’actes de malveillance fréquents et répétés) justifient de filmer les élèves et les enseignants en continu.
Dans une école maternelle ou élémentaire, c’est la commune qui décidera, ou non, d’installer des caméras.

La CNIL recommande aux chefs d’établissements concernés d’adopter une « charte d’utilisation de la vidéosurveillance » en impliquant l’ensemble des acteurs (administration,
personnel, représentants des parents d’élèves).

Pour compléter votre article, les recommandations de la CNIL sont accessibles sur :
https://www.cnil.fr/sites/default/files/atoms/files/_videosurveillance_etablissements_scolaires.pdf

Denis JACOPINI interviewé par une journaliste de Ouest France

Avec les smartphones ou ordinateurs portables d’aujourd’hui, se connecter au réseau wifi d’une gare ou d’un hôtel, quand on est en déplacement, est devenu presque banal. À l’étranger, c’est même la solution la plus simple pour surfer sur internet et relever ses e-mails, sans risquer d’exorbitants frais de « roaming » (coûts de connexion au réseau mobile local, facturés ensuite par l’opérateur français).

Résultat, on a tendance à surfer sur ces réseaux wifi avec la même insouciance qu’à la maison, sans aucune précaution. Ce qui n’est pas bien malin. Denis Jacopini, expert judiciaire en sécurité informatique, nous explique pourquoi.

Denis Jacopini, créateur du site LeNetExpert.fr et correspondant Cnil (Commission nationale de l’informatique et des libertés), est aussi formateur en protection des données personnelles et en sécurité informatique. (Photo : DR)

À quoi faut-il faire attention, quand on se connecte à une borne wifi publique ou semi-publique, en ville ou dans un hôtel ?

Si possible, il faut choisir un réseau wifi où la connexion se fait avec un nom d’identifiant et un mot de passe personnalisés, différents pour chaque utilisateur. En cas d’utilisation malveillante du réseau par quelqu’un, cette identification fournit une piste, sur le plan judiciaire, pour remonter jusqu’à l’auteur. Avec les wifi qui proposent un identifiant et un mot de passe identiques pour tout le monde, on est moins protégé. Les réseaux wifi les plus dangereux sont ceux qui sont complètement ouverts, sans aucun mot de passe, où les utilisateurs sont impossibles à tracer.

Quel est le danger ? Se faire espionner ?

Tout à fait. À partir du moment où quelqu’un se trouve connecté au même point wifi que vous, il a techniquement la possibilité d’accéder aux informations qui transitent sur le réseau, il peut « voir » ce qui entre et qui sort. Les pirates utilisent pour cela des logiciels espions, appelés « sniffers », ou « renifleurs » en bon français. Ces programmes sont désormais très faciles à trouver et à télécharger sur internet. Plus ou moins sophistiqués, ils permettent de capter, trier et interpréter le « bruit » informatique qui transite par le wifi.

Le wifi public, c’est pratique, mais pas très sécurisé. (Photo : FlickR/Richard Summers)

La confidentialité de la navigation n’est donc pas garantie ?

En effet. Et pas uniquement sur les réseaux wifi, d’ailleurs. C’est ainsi depuis la création d’internet : les protocoles de communication du web ne sont pas cryptés. Mais de plus en plus de sites « sensibles » – par exemple les messageries électroniques, les banques, les boutiques en ligne, etc. – ont désormais des adresses commençant par « https » au lieu de « http ». Le « s », souvent associé avec un petit cadenas dans la barre du navigateur, signifie que les communications sont sécurisées. Quand on navigue sur internet via un wifi, il faut donc privilégier ces sites.

Le risque de se faire voler ses mots de passe, ou ses coordonnées bancaires, est donc bien réel ?

Oui, mieux vaut éviter de saisir des données confidentielles quand on navigue sur internet via un wifi public ou semi-public. On a ainsi vu des hommes d’affaires se faire voler des informations importantes, car ils utilisaient en toute confiance un wifi d’hôtel… sur lequel étaient aussi connectés des pirates !

Un café Starbucks à Londres, très apprécié pour sa connexion wifi gratuite. (Photo : Stefan Wermuth/Reuters)

Peut-on se faire abuser par une fausse borne wifi ?

Oui, c’est une raison supplémentaire de se méfier des réseaux complètement ouverts : certains pirates créent leur propre borne wifi à partir d’un simple ordinateur portable. Les passants se connectent dessus, par facilité, sans se douter qu’il ne s’agit pas du tout d’une « vraie » borne. Ensuite, la personne mal intentionnée n’a plus qu’à récupérer les informations qui transitent par le réseau qu’elle a créé… Aujourd’hui, c’est très facile de devenir pirate !

Comment se protéger ?

En s’abstenant de réaliser des opérations sensibles, comme des achats en ligne ou des opérations bancaires, sur un wifi public. Si on le peut, mieux vaut utiliser le réseau 3G ou 4G pour se connecter à internet en mobilité. Les informations qui transitent par cette voie sont beaucoup moins faciles à pirater. Il y a aussi la solution consistant à installer, sur son smartphone ou son ordinateur, ce qu’on appelle un « VPN ». C’est un logiciel qui crée un « réseau privé virtuel », une sorte de tunnel crypté pour vos communications internet. Cela ralentit un peu la connexion, mais c’est beaucoup plus sûr.

Zone de wifi gratuit à New York : en France comme à l’étranger, mieux vaut se connecter sur un nom de réseau connu, éventuellement signalé via l’affichage public. (Photo : Keith Bedford/Reuters)

Arnaques par courriel (scam, phishing) : la CNIL peut-elle agir ?

Si vous en êtes victime, signalez-les sur le service PHAROS du ministère de l’Intérieur (http://www.internet-signalement.gouv.fr) et au service phishing-initiative (http://www.phishing-initiative.com) mis en place par plusieurs acteurs de l’internet.

Vous pouvez également joindre par téléphone le service Info Escroquerie de la police nationale au 0811 02 02 17 (coût d’un appel local).

Est-ce utile de protéger la WebCam et le microphone de son ordinateur avec de l’adhésif ?

En 2013, des chercheurs en sécurité informatique de l’université John Hopkins, aux Etats-Unis, avaient démontré qu’il était possible de prendre le contrôle des webcams des Mac, ce qui est aussi chose fréquente sur les PC.

La firme Symantec avait même alerté, la même année, sur ce qu’elle désignait comme des « creepwares »,« Certaines personnes mettent un morceau d’adhésif sur la webcam de leur portable, peut-être vous-mêmes le faites. Sont-elles trop prudentes, paranoïaques, un peu étranges ? (…)

Beaucoup d’entre nous ont entendu des histoires de gens qui étaient espionnés sur leur ordinateur (…). Mais ces histoires sont-elles vraies et les précautions prises par des gens en apparence paranoïaques sont elles justifiées ? Malheureusement la réponse est oui », écrivait alors Symantec. L’éditeur a même publié une vidéo de prévention :

Source Numerama

Combien de temps doivent être conservées les données utilisées pour le suivi du temps de travail ?

Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.aide.cnil.fr/selfcnil/site/template.do;jsessionid=0245F4689A67B389E322EB9815FEF32B?name=Contr%C3%B4le+des+horaires+%3A+combien+de+temps+sont+conserv%C3%A9es+les+donn%C3%A9es+%3F&id=365

Quelles précautions prendre avant de fermer la messagerie professionnelle d’un employé ?

 
Une fois que l’employé a quitté l’organisme, l’employeur doit supprimer son adresse électronique nominative.

La CNIL invite les employeurs à définir, en concertation avec les représentants des personnels, des chartes d’utilisation des outils informatiques.

Réagissez à cet article

Quelles sont les #mentions obligatoires sur un site internet ?

• pour un entrepreneur individuel : nom, prénom, domicile
• pour une société : raison sociale, forme juridique, adresse de l’établissement ou du siège social (et non pas une simple boîte postale), montant du capital social
• adresse de courrier électronique et numéro de téléphone
• pour une activité commerciale : numéro d’inscription au registre du commerce et des sociétés (RCS)
• pour une activité artisanale : numéro d’immatriculation au répertoire des métiers (RM)
• numéro individuel d’identification fiscale : numéro de TVA intracommunautaire
• pour une profession réglementée : référence aux règles professionnelles applicables et au titre professionnel
• nom et adresse de l’autorité ayant délivré l’autorisation d’exercer quand celle-ci est nécessaire
• nom du responsable de la publication
• coordonnées de l’hébergeur du site : nom, dénomination ou raison sociale, adresse et numéro de téléphone
• pour un site marchand, conditions générales de vente (CGV) : prix (exprimé en euros et TTC), frais et date de livraison, modalité de paiement, service après-vente, droit de rétractation, durée de l’offre, coût de la technique de communication à distance
• numéro de déclaration simplifiée Cnil, dans le cas de collecte de données sur les clients

Avant de déposer ou lire un cookie, les éditeurs de sites ou d’applications doivent :

• informer les internautes de la finalité des cookies,
• obtenir leur consentement,
• fournir aux internautes un moyen de les refuser.

La durée de validité de ce consentement est de 13 mois maximum. Certains cookies sont cependant dispensés du recueil de ce consentement.

Le manquement à l’une de ces obligations peut être sanctionné jusqu’à un an d’emprisonnement, 75 000 € d’amende pour les personnes physiques et 375 000 € pour les personnes morales.

Remarque : Depuis l’entrée en application du RGPD, Règlement Général sur la Protection des Données), vous devez également prévoir des mentions relatives à la protection des données à caractère Personnel ainsi que prévoir des précautions relatives à la demande de consentement des internautes à utiliser leurs coordonnées.

Consultez notre dossier consacré à la demande de consentement

Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
formateur n°93 84 03041 84

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://vosdroits.service-public.fr/professionnels-entreprises/F31228.xhtml