Seul le contenu sécurisé s’affiche. Quel est le risque encouru?

Si vous naviguez sur le Web avec Internet Explorer (IE), vous avez déjà dû rencontrer ce message. Mais qu’est-ce que cela signifie et comment s’en débarrasser?

Http et Https

Le contenu qui s’affiche dans votre navigateur est généralement transmit au travers de deux protocoles: le http et son pendant sécurisé le https. Le protocole choisi est indiqué dans la première partie des urls. Celle qui vient juste avant ‘://’. Dans l’url de Dokeos

https://dokeos.unige.ch

le protocole demandé pour la transmission des données est le https.

Le « s » indique que la transmission des données entre votre navigateur et le serveur est cryptée. Cela permet de s’assurer que si une personne devait intercepter les données transmises elle ne pourrait pas, dans un laps de temps raisonnable, décrypter le message.

Pourquoi une alerte?

Les pages Web ne sont généralement pas constituées d’une seule requête mais de plusieurs. Typiquement une page Web fait elle-même référence à d’autres ressources: images, règles de présentation (css), scripts, etc. Ces fichiers sont téléchargés en même temps que la page principale pour obtenir le résultat final. Chacune de ces requêtes peut être réalisée soit au travers d’une demande sécurisée (https) soit au travers d’une demande non sécurisée (http).

Internet Explorer avertit l’utilisateur quand la page principale est transmise de façon sécurisée mais que tout ou partie des sous requêtes est transmise de façon non sécurisée. Le contenu non sécurisé est par défaut bloqué, il ne sera affiché qui si vous appuyez sur le bouton « afficher tout le contenu » présent dans le message d’alerte.

Pourquoi sécuriser Dokeos

Sur des réseaux ouverts, comme les réseaux Wifi, on peut intercepter (sniffer) les informations transmises par d’autres utilisateurs. Dans la plupart des applications Web, l’identification se fait au travers d’un jeton – token en anglais – normalement stocké dans un cookie du navigateur et transmis avec la demande. Ce jeton se présente sous la forme d’une chaîne alphanumérique. Si un tiers arrive à l’intercepter il peut l’utiliser pour usurper l’identité d’une autre personne. Le protocole https crypte ce jeton et permet donc de se prémunir d’un tel risque.

Pourquoi toutes les données ne sont-elles pas sécurisées dans Dokeos

Dokeos a ceci de particulier qu’il fournit à la fois des données internes et externes. C’est le cas par exemple des flux rss qui s’affichent sur la page de garde et qui viennent d’autres sites. C’est une situation naturelle pour un LMS, puisqu’il est dans la nature de ces outils d’intégrer du contenu provenant de plusieurs plateformes: Youtube, Slideshare, etc. Avec comme conséquence la présence naturelle de contenu mixte – sécurisé et non-sécurisé.

Comment se débarrasser de ce message?

Plusieurs solutions existent. La première consiste à utiliser un navigateur moins pointilleux: Firefox, Chrome ou encore Safari n’avertissent pas l’utilisateur de façon aussi intempestive. On peut cependant vérifier la présence de contenu mixte dans les informations de sécurité fournies par ces derniers.

Ceux qui veulent rester fidèles à Internet Explorer peuvent également désactiver cette alerte. Pour cela il faut effectuer l’opération suivante:

  • Dans Internet Explorer ouvrir le menu Outils -> Options Internet
  • Aller sur l’onglet Sécurité
  • Choisir la zone Internet et « Personnaliser le niveau… »
  • Dans « Divers -> Afficher le contenu mixte » choisir l’option « Activer »

Quelles sont les conséquences si j’enlève l’alerte

La conséquence immédiate est que le message ne s’affichera plus et ce quel que soit le site. Ce n’est pas très important pour Dokeos ou Moodle, mais c’est plus gênant si on utilise son navigateur pour accéder à des données bancaires ou pour faire des achats en ligne. Dans ce genre de situations, la totalité du contenu devrait être sécurisé et il est important d’être prévenu si ce n’est pas le cas.

Quels outils pour voir le contenu qui transite sur le réseau?

Si on n’est intéressé que par le contenu qui transite sur son navigateur, on peut utiliser l’onglet réseau des outils de développement (F12 sous Chrome et Internet Explorer, module Firebug à installer sous Firefox). Si on veut avoir d’avantage d’informations, on peut utiliser Wireshark (anciennement Ethereal). Enfin les utilisateurs de Windows peuvent utiliser Fiddler.

Pour aller plus loin

Définitions sur Wikipedia:

Petite boîte à outils: