GéoBretagne bascule vers des flux sécurisés

mise à jour du 21 avril : migration réalisée

Vendredi 7 avril 2017 : mise en place du point d'entrée https par défaut

  • les capacités des services annonceront les points d'entrée en https://geobretagne.fr/...
  • les applications (visualiseurs, extracteur, outils d'administration, outils qualité) seront déplacées sur https://geobretagne.fr/...
  • un navigateur ou une application se connectant sur http (non sécurisé) est automatiquement rerouté(e) sur https

Semaine du 10 au 14 avril 2017 :

  • les métadonnées de données, de services, les contextes seront modifiés de façon à annoncer des adresses https://
  • les principaux documents d'accompagnement sont modifiés avec les nouvelles adresses

Des robots ont converti tous les contextes de cartes (cartes enregistrées par les utilisateurs) et les métadonnées.

Des flux davantage sécurisés

L'ensemble des acteurs du web fait évoluer logiquement celui-ci vers davantage de sécurité et de confiance. GéoBretagne va suivre ce mouvement et basculer l'ensemble de ses applications et services vers HTTPS (HyperText Transfer Protocol Secure).

HTTPS, pendant sécurisé du célebre HTTP, offre trois garanties :

  • les flux proviennent bien du site indiqué, un tiers ne peut pas se faire passer pour ce site
  • les flux ne sont pas modifiés par un tiers pendant leur transfert sur le réseau
  • les flux, s'ils sont interceptés, ne peuvent être utilisés car ils sont cryptés

Ces garanties sont évidemment nécessaires lors de transactions sensibles : achats, transactions bancaires, données personnelles... Cependant, avec des sites de plus en plus interdépendants (un site marchand peut parfaitement utiliser une cartographie GéoBretagne !), c'est tout le web qu'il faut sécuriser et non plus les seules activités jugées sensibles.

Le monde du web incite donc à l'abandon d'HTTP pour son équivalent sécurisé. Par exemple, Mozilla Firefox et Google Chrome avertissent maintenant l'utilisateur lorsqu'une communication n'est pas protégée. Bientôt ils refuseront la saisie d'un mot de passe sur un site non sécurisé. De même, ils pourront bloquer un site mélangeant flux cryptés et non cryptés, pour éviter que les deuxièmes ne brisent la confiance accordée aux premiers.

Les Infrastructures de Données Spatiales utilise intensivement les flux de données sur internet. La majeure partie de ces flux ne sont actuellement pas cryptés. Tant que ce sera le cas, on ne pourra accorder qu'une confiance limitée aux flux. Et, malheureusement, les dysfonctionnements seront fréquents tant que tout le monde n'aura pas adopté HTTPS.

Etat actuel

En 2017, environ 16,77% de l'Internet français est desservi par le protocole https sécurisé.

Une partie des flux de GéoBretagne estcryptée depuis le début : authentification, interfaces d'administration, certaines applications. Les services de recherche, visualisation, téléchargement et traitement utilisent HTTP et ne sont donc pas cryptés. Toutes les fiches de métadonnées annoncent logiquement des liens HTTP.

Des utilisateurs nous signalent que leur logiciel, du fait d'un réglage de sécurité plus sévère, bascule automatiquement sur HTTPS. Les applications ou flux GéoBretagne deviennent alors inopérants.

Pour ces raisons, et surtout pour que les services de données conservent un niveau de confiance acceptable, GéoBretagne va migrer l'intégralité de ses applications et de ses services sur HTTPS.

Bascule proposée

Les opérations suivantes seront menées simultanément et concentrées sur une courte période d'un ou deux jours.

  1. Toutes les métadonnées verront automatiquement leurs liens modifiés de HTTP vers HTTPS, de sorte que les applications compatibles INSPIRE prennent automatiquement en compte le changement
  2. Les capacités de tous les services mentionneront uniquement des points d'entrée HTTPS[1]
  3. Toutes les applications seront publiées en HTTPS
  4. Dans la mesure du possible, les 10119 cartes partagées par les utilisateurs depuis juin 2014 seront converties pour utiliser les liens https.
  5. La saisie de données ou de métadonnées sera interrompue pendant la migration

Conséquences générales

Les problèmes de redirection automatique rencontrés sur des navigateurs récents seront résolus, et bien sûr les flux pourront être utilisés avec davantage de confiance. Ceci est déjà le cas sur CIGAlsacePIGMA, GéoPicardie...

les applications tierces pointant vers http://geobretagne.fr/... devront modifier leurs liens en https://geobretagne.fr/...

Subsistent des systèmes qui ne savent pas ou mal prendre en charge HTTPS. Il s'agit en général d'applications, de systèmes d'exploitations ou de langages qui ne sont plus maintenus. 
On peut citer :

  • Windows XP qui n'est plus maintenu depuis 2014
  • toute application basée sur Java6 ou inférieur
  • certaines applications Flash

Pour ces systèmes et pour d'autres cas non prévus, les flux HTTP seront maintenus pendant une courte période après la migration.

Autres conséquences

De façon générale, les systèmes utilisant HTTPS devront s'astreindre à des mises à jour plus fréquentes. En effet, si une faille est révélée dans le protocole, les correctifs devront être rapidement appliqués partout et les systèmes non maintenus deviendront incompatibles. Ceci sera vrai pour l'ensemble du web, flux géographiques ou pas.

D'une façon où d'une autre, tout le monde y passera... Cette migration pourra aider nos partenaires publiant eux-même leurs flux à adopter en douceur HTTPS, s'il ne l'ont pas déjà fait. Pour information, GéoBretagne utilise l'initiative letsencrypt qui diffuse des certificats gratuits.

[1] les préconisations nationales proposent que les identifiants de données soient des liens "résolvables", c'est à dire pointant vers une ressource internet. Il est important que ces identifiants ne changent pas.
Ils resteront donc sous la forme "http://..." et une redirection sera mise en place afin qu'ils restent résolvables.