Depuis quelques années, Google s’est lancé dans un projet de renforcer la sécurité sur la toile en faisant la promotion pour l’adoption du protocole HTTPS par les sites web. Pour cela, l’entreprise a annoncé qu’elle marquerait les sites web qui utilisent le protocole HTTP et collectent les mots de passe et les informations bancaires comme non sécurisés. Toutefois, vu que le passage au HTTPS n’est pas aussi aisé pour tous les sites, la firme de Mountain View a établi un plan d’action dans lequel elle a commencé par indiquer les pages web non sécurisées avec un indicateur neutre.
Il convient de rappeler que comme inconvénients, Google avance que lorsque les utilisateurs envoient des requêtes pour l’affichage des pages, celles-ci peuvent être interceptées et modifiées avant que les pages du site soient affichées côté client. Ainsi si un utilisateur utilise ces pages non sécurisés pour envoyer des données confidentielles comme des informations de cartes de crédit, ces informations peuvent facilement être dérobées par un acteur malveillant contrairement aux données qui transitent par le protocole HTTPS.
En outre, au-delà du fait que le protocole HTTPS protège les données des utilisateurs sur les sites web, Google explique également que ce protocole est une exigence pour de nombreux navigateurs modernes et particulièrement pour ceux exécutant les applications web progressives. Pour faciliter l’adoption de protocoles sécurisés, l’autorité de certification, Let’s Encrypt, accorde gratuitement depuis 2015 des certificats pour l’implémentation du protocole TLS sur les sites web.
Après avoir attiré l’attention des utilisateurs sur les pages non sécurisées avec un indicateur neutre, Google a annoncé qu’elle marquerait les pages HTTP exécutées en mode Incognito comme non sécurisées dans la barre d’adresse. Par ailleurs, depuis le 1er juillet de cette année, Google a décidé de marquer les pages au format HTTP comme non sécurisées. À terme, l’entreprise envisage de changer l’indicateur de sécurité en affichant un triangle rouge avec la mention « ;non sécurisé ;».
Toutefois comme les changements ne se font pas en général sans contestation, Dave Winer, un développeur de renom et propriétaire du site scripting.com, désapprouve l’initiative de Google qui promeut une adoption massive du HTTPS au détriment du HTTP et avance plusieurs arguments pour défendre sa position.
Dave Winer présente les avantages des sites utilisant le protocole HTTP
Pour Winer, l’adoption du HTTPS risque de rendre inaccessibles les archives disponibles sur le web depuis plusieurs années. Pour mieux se faire comprendre, il explique que dans la plupart des cas, ces archives sont disponibles sur le web pour le grand bonheur de certains utilisateurs, mais ne sont plus maintenues. Cela sous-entend que personne ne pourra faire migrer le protocole actuel de ces pages web vers des protocoles sécurisés. Ainsi, en marquant ce genre de sites comme non sécurisés, cela pousserait les utilisateurs à les fuir. Pour le développeur, la raison pour laquelle il y a autant de diversité, c’est que le web est une chose ouverte, elle n’a jamais appartenu à quelqu’un. Aussi, serait-il convenable que Google n’oblige pas les sites web à adopter le HTTPS en les signalant comme non sécurisés.
Comme autre argument, Winer soutient que « ;Google a fait beaucoup d’efforts pour vous convaincre que HTTP n’est pas bon ;», mais pour lui, « ;HTTP est la meilleure chose qui soit ;». Selon lui, c’est « ;sa simplicité qui a fait fonctionner le web ;» et favorisé son explosion, là où les protocoles précédents étaient difficiles à construire. En défendant l’adoption du HTTP, Winer souhaite « ;que les gens puissent utiliser leurs propres serveurs web plus facilement ;». Pour lui, « ;Google fait ce que la prêtrise de la programmation fait toujours, en construisant la barrière plus haut à l’entrée, en rendant les choses plus compliquées, en se donnant une exclusivité ;». « ;Cela signifie que seuls les super nerds seront en mesure de mettre en place des sites ;».
Et comme conséquence, Winer souligne que « ;nous allons perdre beaucoup de sites qui ont été rapidement affichés sur un coup de tête, au cours des 25 années d’existence du web, par des personnes qui ne comprenaient pas tout à fait ce qu’elles faisaient. C’est aussi la gloire du web ;». Il continue en défendant que « ;toutes les vues sur le web sont importantes, en particulier celles que les grandes entreprises ne comprennent pas ou ne respectent pas. C’est comme ça que le progrès se passe dans la technologie ;». Enfin, écrit-il, « ;le web est un accord social pour ne pas casser les choses. Cela nous a servi pendant 25 ans. Je ne veux pas l’abandonner parce qu’un groupe de nerds chez Google pense qu’ils le connaissent mieux ;».
Dave Winer bat en brèche les arguments de Google en faveur du HTTPS
En plus de présenter les avantages du HTTP, Winver s’attaque également à Google et aux avantages du HTTPS soutenus par la firme. Il soutient que « ;la plupart des sites qu’ils appellent “non sécurisés” ne demandent aucune information à l’utilisateur ;», mais sont cependant marqués non sécurisés. En agissant ainsi, précise Winer, le simple utilisateur n’ayant aucune idée de la raison pour laquelle cette alerte est affichée risque d’appuyer sur le bouton retour alors que le site ne contient aucune menace. Pour Winer, « ;c’est le genre de tactique politique désagréable que nous attendons des dirigeants politiques corrompus, et non des entreprises technologiques de premier plan ;».
Il avance également que l’argument de Google selon lequel le HTTP permettrait de mener facilement une attaque de type homme du milieu ne tiendrait pas la route, car même si vous utilisez un protocole sécurisé, ces mêmes attaques peuvent toujours être menées par des tiers malveillants. Enfin, Winer met un point d’honneur sur le fait que bien que Google avance qu’un grand nombre des sites web sont maintenant passés au HTTPS, pour lui, l’entreprise néglige le fait que de nombreux sites qui sont encore au HTTP regorgent d’informations précieuses qui doivent être conservées.
Après avoir exposé son point de vue sur les pratiques de Google à vouloir faire adopter le HTTPS par tous, Winer, propriétaire du site scripting.com, explique qu’il a reçu un mail de Google lui demandant de « ;migrer vers HTTPS pour éviter de déclencher le nouvel avertissement sur [son] site et pour aider à protéger les données des utilisateurs ;».
Vu les arguments de Winer, pensez-vous que Google part dans la mauvaise direction ou c’est plutôt Winer qui fait fausse route ;?
Source : This.How
Et vous ?
Quel est votre avis sur les arguments présentés par Winer ;?
Google procède-t-il mal en voulant faire passer tout le web au HTTPS ;?
Ou partagez-vous la démarche de Google qui veut sécuriser le web en faisant la promotion du HTTPS ;?
Voir aussi
Chrome : Google a décidé de marquer tous les sites HTTP comme non sécurisés, la mesure prendra effet au mois de juillet
Google précise que Chrome commencera à marquer les connexions HTTP comme non sécurisées à partir de fin janvier, et donne plus de détails sur son plan
Google Chrome va marquer comme « ;non sécurisés ;» les sites web en HTTP qui collectent des informations sur des mots de passe
Firefox se prépare à son tour à marquer les sites en HTTP comme étant non sécurisés, une représentation visuelle est déjà disponible sur la Nightly
L’EFF se réjouit de l’adoption massive du protocole HTTPS durant l’année 2017 et espère que 2018 sera marquée par la même tendance
Dave Winer bat en brèche les arguments de Google qui encouragent l'adoption massive du HTTPS
Et soutient que les sites HTTP ont encore leur place
Dave Winer bat en brèche les arguments de Google qui encouragent l'adoption massive du HTTPS
Et soutient que les sites HTTP ont encore leur place
Le , par Olivier Famien
Une erreur dans cette actualité ? Signalez-nous-la !