Toutes les données confidentielles telles que les mots de passe, les connexions ou les numéros de carte de crédit doivent être transmises par un canal crypté entre le client et le serveur. L’utilisateur est ainsi protégé contre une attaque de type «man in the midle», où l’attaquant est connecté à la communication entre l’utilisateur et le réseau qu’il utilise actuellement. Il a accès à toutes les informations transmises par la victime et, par conséquent, dans le cas de données non chiffrées, il est en mesure de les intercepter, de les modifier ou de les détruire. Des garanties appropriées sont donc nécessaires pour protéger les données transmises. Le type de protection à appliquer doit être décidé par l’administrateur des informations par lui-même. Il peut s’agir du protocole de chiffrement des données SSL/TLSainsi que d’une autre mesure de protection cryptographique, par exemple le chiffrement par courrier électronique et la clé publique du destinataire. L’image ci-dessous présente une vue du paquet non chiffré capturé contenant des informations d’identification pour le programme d’écoute du trafic réseau.
Fig. Paquet non chiffré capturé contenant des informations d’authentification. Source: [Auto-élaboration]
Dans l’une des applications testées, la communication avec le serveur s’est faite à l’aide du protocole HTTP qui n’est pas chiffré. Toutes les données transmises par ce canal peuvent être capturées et modifiées pendant la transmission. Les graphiques ci-dessous montrent un message de non-cryptage de Firefox.
Fig. Une vue du message de non-cryptage de Firefox. Source: [Auto-élaboration]