Twitter, qui s’est récemment lancé dans une vaste campagne de ménage parmi les clients logiciels tiers, vient de publier une annonce importante concernant la sécurité du service : la possibilité d’être toujours connecté en HTTPS.
L’option se trouve tout en bas de la page des paramètres.
Une fois activée, elle permet d’être connectée en permanence à la page du service en HTTPS, ce que l’on peut facilement vérifier dans les navigateurs récents via un affichage vert, par exemple dans Chrome et Internet Explorer 9 :
Cette option est particulièrement utile si vous utilisez des réseaux dont vous n’êtes pas certain du niveau de sécurité. C’est notamment le cas des réseaux Wi-Fi publics : si vous êtes dans un lieu où le réseau est ouvert, de type McDonald’s ou Starbucks, il n’est en effet pas spécialement compliqué d’espionner vos communications.
Plusieurs points important sont cependant à préciser. Premièrement, la connexion HTTPS est en option, mais il s’agit d’une connexion permanente pour l’ensemble des opérations réalisées sur le site, et pour toutes les pages. Cependant, certaines manipulations utilisent toujours HTTPS, que l’options soit cochée ou non. C’est notamment le cas :
- De la procédure d’authentification au service
- Des applications Twitter officielles sur iPhone et iPad
De fait, le deuxième point important est soulevé par la dernière remarque : la connexion HTTPS peut également être utilisée dans les applications. Sur les seules applications officielles, seules deux supportent cette fonctionnalité, et on s’attend donc à ce que des mises à jour pour les autres arrivent prochainement.
La connexion HTTPS devrait donc être mise en place prochainement dans un grand nombre de clients, mais l’implémentation de la fonction reste optionnelle pour le moment.
Dernier point : le mode HTTPS ne peut parfois pas être forcé, et c’est le cas lors de la consultation du site dans un navigateur mobile. L’option, même cochée, ne veut pas fonctionner, et Twitter est au courant du problème. En solution temporaire, jusqu’à ce que le souci soit résolu, il est demandé aux utilisateurs d’utiliser « https://mobile.twitter.com ».
Source : PC Inpact