Le problème auquel vous faites face, ici, est que si vous décidez de ne pas chiffrer une connexion, vous faites des suppositions concernant la sensibilité des données qui transitent par cette connexion.

Malheureusement, il est impossible de faire cette hypothèse correctement car:

• Vous n'avez peut-être pas bien compris toutes les implications des données (par exemple, si Twitter ne chiffrait pas les données, elles pourraient être utilisées par le gouvernement agences pour repérer les dissidents et les opposants).
• Les données peuvent devenir sensibles après avoir été transmises (par exemple, répondre "qui était votre professeur de première année" dans un chat Web avec des copains de la vieille école pourrait conduire à un compromis de votre compte iTunes plus tard).

En fin de compte, c'est la même chose que de traiter des documents papier sensibles: vous pouvez décider de déchiqueter uniquement ce qui est sensible, mais tout ce qu'il faut pour que ce modèle crumble est une seule erreur. Il est beaucoup plus facile de détruire simplement TOUS les documents en toute sécurité et de ne pas vous soucier du tri.

Étant donné le coût relativement faible et l'utilisation de la sécurité de connexion et le fait que cela vous protège contre tous les problèmes ci-dessus (principalement) beaucoup plus de sens pour crypter tout ce que pour essayer de sélectionner le «bon» contenu à crypter.

Le chiffrement ne consiste pas seulement à empêcher les écoutes indiscrètes de lire les données, il les empêche également de les modifier.

Renverser les images des pages Web à l'envers est une farce amusante à jouer aux colocataires mais une personne malveillante pourrait injecter des publicités ou du code nuisible (Java, Javascript, Flash, etc.) dans vos pages Web sans que vous vous en rendiez compte.

http://www.ex-parrot.com/ pete / upside-down-ternet.html

En plus des autres bonnes réponses, j'ajouterais que HTTPS garantit que lorsque je pense lire bbc.com , je suis vraiment en train de lire le contenu fourni par bbc.com , pas un tiers hostile qui veut me tromper.

Certains sites d'information présentent encore des faits. Les gens prennent des décisions basées sur ces faits - des décisions qui ont des conséquences réelles.

Une raison générale pour laquelle je voudrais ajouter aux réponses ci-dessus est que même si vous ne faites pas quelque chose de très illégal dans un pays occidental, vous ne devriez pas supposer que le gouvernement n'est pas intéressé par ce que vous lisez. La lecture de ce qui suit peut vous mettre sur une liste:

• Classifiés, des documents divulgués par des lanceurs d'alerte qui sont techniquement illégaux
• Un site ou un magazine d'actualité dans un pays musulman (si vous habitez aux États-Unis)
• Un site d'actualités ou un magazine, etc. basé aux États-Unis si vous habitez en Chine ou dans un pays musulman

En général, nous savons que de nombreux gouvernements établissent des profils de personnes qui visitent certains sites et que vous souhaiterez peut-être garder vos intérêts politiques privés. Pour votre exemple de toute source d'informations, même en considérant la Chine seule et aucune des raisons ci-dessus n'est une raison suffisante.

Edit: Steve ci-dessous m'a rappelé que dans cette situation, la page que vous visitez est privée, mais pas le site Internet. Vous devez donc en être conscient.

En règle générale, il est judicieux de chiffrer fortement toutes les données circulant sur les réseaux publics.

La raison est que si seules les données "sensibles" sont cryptées, il est très facile pour les espions de cibler des données potentiellement utiles simplement en recherchant tout ce qui est crypté.

Cependant, si tout est chiffré par défaut, ils n'ont aucune idée des informations utiles jusqu'à ce qu'ils les aient déjà déchiffrés.

Étant donné que le déchiffrement (sans la clé) est relativement coûteux en termes de puissance de traitement alors que le cryptage est assez bon marché, et qu'aucun système de cryptage n'est entièrement sécurisé, le meilleur moyen de garantir la sécurité de vos données est si absolument tout est crypté avec un cryptage fort, même les informations qui sont triviales ou déjà dans domaine public.

Je pense que cela dépend vraiment de l'étendue de la définition des "données sensibles". Les mots de passe et les numéros de carte de crédit en sont certainement un, mais peut-être que rechercher des informations WebMD sur une éruption cutanée, alors qu'il s'agit d'une information généralement publique, peut être quelque chose dont vous êtes sensible et que vous ne voulez pas que votre employeur ou votre FAI sache (employeurs nonobstant les droits et l'utilisation des arguments relatifs à l'équipement de travail). Ou peut-être suivre l'actualité et les élections, et ne pas nécessairement vouloir divulguer votre affiliation. Les nouvelles électorales sont publiques, mais celles que vous lisez peuvent ne pas être quelque chose que vous souhaitez divulguer. Donc, en général, l'information elle-même peut être dans le domaine public. Qui accède à quelles informations et à ce qui peut être profilé à son sujet ne doit pas nécessairement l'être. C'est là que le cryptage peut être utile (et bien sûr d'autres technologies rendant ces informations disponibles à nouveau nonobstant - il suffit de donner un argument strictement en ce qui concerne le cryptage).

De nombreux sites d'actualités / sites de journaux fournissent des comptes pour des fonctionnalités supplémentaires, des abonnements, etc. Forcer tout le trafic Web via SSL réduit le risque en s'assurant que personne ne peut jamais se connecter sur une connexion non chiffrée.

En général il vaut mieux prévenir que guérir. De nos jours, le HTTPS n'est plus aussi une surcharge qu'il l'était, alors pourquoi ne pas chiffrer toutes les connexions pour être sûr?

Quelques informations avant d'arriver à ma réponse:

Je trouve les téléphones fascinants et l'un des téléphones les plus intéressants que j'ai rencontrés était le STU ou Secure Telephony Unit, qui consistait essentiellement en un a / dd / a certains codecs audio, un module de cryptage numérique, un modem et un circuit de dérivation, tous bourrés dans un téléphone et étaient pour la plupart connectés à des lignes téléphoniques ordinaires et au réseau téléphonique public. Ils étaient très populaires pendant la guerre froide. La façon de base dont ils ont été utilisés est de prendre le combiné, de vérifier la tonalité, de passer l'appel, de vérifier que vous avez atteint le bon numéro, d'accepter de lancer le mode sécurisé, les deux parités tourneraient la clé pour lancer le mode sécurisé, attendez que la crypto se synchronise , ayez une conversation sécurisée, acceptez de mettre fin au mode sécurisé, tournez la clé en mode non sécurisé, mettez fin à l'appel.

Au cours de mes recherches sur les STU, je suis tombé sur le récit de certains espions russes discutant des appels interceptés entre les STU. Bien que ces agents de terrain n'aient pas pu apprendre le contenu de la conversation cryptée, ils ont fait un effort particulier pour écouter tous les appels sur une ligne à laquelle un STU était connecté en plus d'enregistrer la conversation cryptée pour analyse, Ils ont dit qu'ils ont appris toutes sortes de choses intéressantes et précieuses de la partie non cryptée des appels, bien au-delà de l'identité des parties à l'appel.

La morale de l'histoire: même si vous ne pensez pas que l'information est précieux, l'ennemi pourrait. (peu importe qui nous pensons que l'ennemi est)

Parce que vous ne savez pas vraiment ce qui peut être déduit des données que vous émettez. Depuis que toute l'agitation de la NSA a fait surface dans les nouvelles, beaucoup de gens pensent: "oui, c'est vrai, la NSA connaît les e-mails que j'envoie à mon petit cousin et mes habitudes d'achat? Et alors?".

Malheureusement nous sommes entrés dans l'ère du BigData et de l'apprentissage automatique. Il ne s’agit pas seulement d’examiner d’énormes bases de données pour obtenir des modèles et des prévisions. Personnellement, je pense que l'apprentissage automatique représente un énorme pas en avant pour les sciences en général. Cela représente un passage des méthodes analytiques à ce que j'appellerais des méthodes méta-analytiques. «À l'époque», vous commenciez avec des données provenant d'un domaine (par exemple, la démographie), l'analysiez avec un cadre analytique qui correspond au domaine , et obtenir un résultat dans les termes de ce domaine (par exemple, un modèle pour prédire la croissance d'une population donnée).

L'apprentissage automatique fonctionne au niveau supérieur: il a son propre ensemble d'outils et de méthodes analytiques, mais il est utilisé pour construire des "cerveaux électroniques" qui effectueront l'analyse proprement dite. Cela a pour conséquence directe qu'il est plus facile de lier des domaines et d'effectuer des inférences croisées entre eux. Par exemple, il est possible de prédire où vous serez dans 24 heures sur la base de certaines de vos données Facebook.

Ou de dire si une femme est enceinte en regardant à ce qu'elle achète.

Target prédit une grossesse grâce au Big Data.

Après avoir magasiné chez Target, la fille a commencé à recevoir du courrier chez son père la publicité d'articles pour bébé: couches, vêtements, berceaux et autres produits spécifiques aux bébés. Son père était furieux des tentatives de la société pour «encourager» la grossesse chez les adolescentes et s'est plaint à la direction. Quelques jours plus tard, un papa honteux a appelé le directeur pour s'excuser; il semblait que sa fille était en fait enceinte. Ce n’est pas inhabituel avec les collectes de données assistées par ordinateur d’aujourd’hui des magasins de détail. Target attribue aux clients un numéro d'identification d'invité lié à leur nom, leur carte de crédit, leur adresse e-mail et toutes les autres informations que le magasin peut collecter. En utilisant les informations sur les achats précédents, Target est en mesure de créer un profil étonnamment précis à utiliser dans la publicité spécifique au client.

Bien sûr, j'exagère la puissance de l'apprentissage automatique (et je sous-estime le importance des connaissances / experts spécifiques au domaine). Pourtant, les perspectives s'épuisent: l'identification des homosexuels ou des opposants politiques à une activité apparemment sans rapport pourrait être réalisée par des gouvernements ou des organisations mal intentionnés semble plausible. Ils pourraient même réprimer les révolutions avant même que les gens n'aient la chance de manifester dans les rues. Etc ...

Je pense que c'est une question très importante pour nos sociétés modernes, d'autant plus qu'elle n'a pas été identifiée comme l'un des grands défis éthiques de ce siècle, contrairement au génie génétique humain.

Un point souvent oublié dans cette discussion est le fait que SSL crypte également l'URL de la page que vous utilisez pour accéder à un site Web.

Si quelqu'un écoutait votre connexion, (NSA?) et vous visitiez un site qui n'était pas fourni via SSL, quelqu'un pouvait voir à quelles pages vous accédez et créer un profil autour de vous en fonction de vos habitudes de navigation.

Si vous visitez des sites sur lesquels SSL est activé, ce n'est pas le cas juste le contenu de la page qui est chiffré mais l'URL de la page réelle (le chemin sur le serveur) qui est également chiffrée.

Donc, si quelqu'un écoute, il ne sait que les domaines que vous visitez. Ils ne peuvent pas dire à quelles pages vous accédez.

Tous les points principaux ont été abordés mais j'ai pensé que cela valait la peine de couvrir ce scénario particulier:

Il était / est populaire de crypter une page de connexion, puis de permettre à l'utilisateur authentifié de continuer à naviguer sur le site sur un connexion non chiffrée (pour enregistrer les cycles CPU sur le serveur). Cette utilisation apparemment efficace et parcimonieuse du chiffrement est en fait presque inutile.

Elle permet à un mitm de capturer vos cookies de session et de vous faire passer complètement sur le site en question. Peut-être leur permettre de modifier vos identifiants de connexion ou même de récupérer votre mot de passe en texte brut.

LE THREAD-STARTER WROTE: Mais que faire si je ne fais que lire un site d'actualités? Tout le monde y a accès, c'est partout dans les journaux même. Quel est l'intérêt de crypter ces informations facilement accessibles?

MA RÉPONSE: Oui, tout sur le site d'actualités est public; mais vous sentiriez-vous à l'aise avec quelqu'un qui se tient au-dessus de votre épaule pendant que vous êtes avec votre ordinateur dans un café, en utilisant son WI-FI, par exemple en voyant les articles que vous choisissez de lire? Et si le site d'informations dispose néanmoins d'un identifiant permettant aux lecteurs de personnaliser le fil? Est-ce que cela fait partie de ce que vous avez besoin d’être chiffré? Entre les deux choses, il est plus facile pour le propriétaire du site de simplement tout chiffrer.

L'ÉCRIT THREAD-STARTER: De nombreux utilisateurs ont des profils de réseaux sociaux publics avec leurs centres d'intérêt, croyances politiques et religieuses, ou que des informations peuvent être facilement trouvées à partir de leurs blogs et sites Web personnels. Ils ne voient pas cela comme une menace pour leur vie personnelle, alors ils choisissent de ne pas le cacher. Comment la visualisation de contenu public populaire non chiffré peut-elle leur nuire? Et comment le cryptage de ces pages protège-t-il leur confidentialité?

MA RÉPONSE: Certains d'entre eux ne se soucient pas de leur confidentialité. Ils ont, comme l'a dit la psychologue Sherry Turkle, une sorte de mentalité " Je partage, donc je suis". Dans tous les cas, comme dans l'exemple précédent, même ceux qui partagent si librement doivent se connecter à ces pages pour changer les choses, non? Et leur action doit être cryptée, non? De plus, ceux qui lisent leurs informations peuvent ne pas vouloir que les autres dans le café où ils utilisent leur ordinateur portable sachent qu'ils consultent la page de réseautage social d'untel.

Découvrez ce que l'on appelle le " sidejacking ", dans lequel une personne est assise à une autre table avec son ordinateur portable, dans un café où vous utilisez également votre ordinateur portable, avec vous deux sur le même WI-FI LAN, peut être en utilisant une simple extension de Mozilla Firefox appelée "Firesheep" pour "voir" sur son écran, tout ce que vous faites sur votre ordinateur à votre table de l'autre côté de la pièce. Ou il peut utiliser son téléphone Android et une petite chose appelée "DroidSheep" pour accomplir à peu près la même chose. Et il y a d'autres outils tout aussi néfastes.

Est-ce que cela vous conviendrait? Juste au moment où vous comprenez qu'ils le sont, ne serait-il pas bien si le site Web que vous utilisez venait tout juste d'activer SSL et que votre accès à ce site se faisait via https: // au lieu de simples http://

C'est pourquoi il existe des extensions Firefox et Chrome telles que " HTTPS Partout": pour basculer automatiquement des milliers de sites depuis "http" non sécurisé pour sécuriser "https", vous protégeant ainsi de nombreuses formes de surveillance et de piratage de compte / sidejacking; et dans les pays moins libres que les États-Unis, même certaines formes de censure.