Dave Winer bat en brèche les arguments de Google qui encouragent l'adoption massive du HTTPS
Et soutient que les sites HTTP ont encore leur place

Le , par Olivier Famien, Chroniqueur Actualités
Depuis quelques années, Google s’est lancé dans un projet de renforcer la sécurité sur la toile en faisant la promotion pour l’adoption du protocole HTTPS par les sites web. Pour cela, l’entreprise a annoncé qu’elle marquerait les sites web qui utilisent le protocole HTTP et collectent les mots de passe et les informations bancaires comme non sécurisés. Toutefois, vu que le passage au HTTPS n’est pas aussi aisé pour tous les sites, la firme de Mountain View a établi un plan d’action dans lequel elle a commencé par indiquer les pages web non sécurisées avec un indicateur neutre.

Il convient de rappeler que comme inconvénients, Google avance que lorsque les utilisateurs envoient des requêtes pour l’affichage des pages, celles-ci peuvent être interceptées et modifiées avant que les pages du site soient affichées côté client. Ainsi si un utilisateur utilise ces pages non sécurisés pour envoyer des données confidentielles comme des informations de cartes de crédit, ces informations peuvent facilement être dérobées par un acteur malveillant contrairement aux données qui transitent par le protocole HTTPS.

En outre, au-delà du fait que le protocole HTTPS protège les données des utilisateurs sur les sites web, Google explique également que ce protocole est une exigence pour de nombreux navigateurs modernes et particulièrement pour ceux exécutant les applications web progressives. Pour faciliter l’adoption de protocoles sécurisés, l’autorité de certification, Let’s Encrypt, accorde gratuitement depuis 2015 des certificats pour l’implémentation du protocole TLS sur les sites web.


Après avoir attiré l’attention des utilisateurs sur les pages non sécurisées avec un indicateur neutre, Google a annoncé qu’elle marquerait les pages HTTP exécutées en mode Incognito comme non sécurisées dans la barre d’adresse. Par ailleurs, depuis le 1er juillet de cette année, Google a décidé de marquer les pages au format HTTP comme non sécurisées. À terme, l’entreprise envisage de changer l’indicateur de sécurité en affichant un triangle rouge avec la mention « non sécurisé ».

Toutefois comme les changements ne se font pas en général sans contestation, Dave Winer, un développeur de renom et propriétaire du site scripting.com, désapprouve l’initiative de Google qui promeut une adoption massive du HTTPS au détriment du HTTP et avance plusieurs arguments pour défendre sa position.

Dave Winer présente les avantages des sites utilisant le protocole HTTP

Pour Winer, l’adoption du HTTPS risque de rendre inaccessibles les archives disponibles sur le web depuis plusieurs années. Pour mieux se faire comprendre, il explique que dans la plupart des cas, ces archives sont disponibles sur le web pour le grand bonheur de certains utilisateurs, mais ne sont plus maintenues. Cela sous-entend que personne ne pourra faire migrer le protocole actuel de ces pages web vers des protocoles sécurisés. Ainsi, en marquant ce genre de sites comme non sécurisés, cela pousserait les utilisateurs à les fuir. Pour le développeur, la raison pour laquelle il y a autant de diversité, c’est que le web est une chose ouverte, elle n’a jamais appartenu à quelqu’un. Aussi, serait-il convenable que Google n’oblige pas les sites web à adopter le HTTPS en les signalant comme non sécurisés.

Comme autre argument, Winer soutient que « Google a fait beaucoup d’efforts pour vous convaincre que HTTP n’est pas bon », mais pour lui, « HTTP est la meilleure chose qui soit ». Selon lui, c’est « sa simplicité qui a fait fonctionner le web » et favorisé son explosion, là où les protocoles précédents étaient difficiles à construire. En défendant l’adoption du HTTP, Winer souhaite « que les gens puissent utiliser leurs propres serveurs web plus facilement ». Pour lui, « Google fait ce que la prêtrise de la programmation fait toujours, en construisant la barrière plus haut à l’entrée, en rendant les choses plus compliquées, en se donnant une exclusivité ». « Cela signifie que seuls les super nerds seront en mesure de mettre en place des sites ».


Et comme conséquence, Winer souligne que « nous allons perdre beaucoup de sites qui ont été rapidement affichés sur un coup de tête, au cours des 25 années d’existence du web, par des personnes qui ne comprenaient pas tout à fait ce qu’elles faisaient. C’est aussi la gloire du web ». Il continue en défendant que « toutes les vues sur le web sont importantes, en particulier celles que les grandes entreprises ne comprennent pas ou ne respectent pas. C’est comme ça que le progrès se passe dans la technologie ». Enfin, écrit-il, « le web est un accord social pour ne pas casser les choses. Cela nous a servi pendant 25 ans. Je ne veux pas l’abandonner parce qu’un groupe de nerds chez Google pense qu’ils le connaissent mieux ».

Dave Winer bat en brèche les arguments de Google en faveur du HTTPS

En plus de présenter les avantages du HTTP, Winver s’attaque également à Google et aux avantages du HTTPS soutenus par la firme. Il soutient que « la plupart des sites qu’ils appellent “non sécurisés” ne demandent aucune information à l’utilisateur », mais sont cependant marqués non sécurisés. En agissant ainsi, précise Winer, le simple utilisateur n’ayant aucune idée de la raison pour laquelle cette alerte est affichée risque d’appuyer sur le bouton retour alors que le site ne contient aucune menace. Pour Winer, « c’est le genre de tactique politique désagréable que nous attendons des dirigeants politiques corrompus, et non des entreprises technologiques de premier plan ».

Il avance également que l’argument de Google selon lequel le HTTP permettrait de mener facilement une attaque de type homme du milieu ne tiendrait pas la route, car même si vous utilisez un protocole sécurisé, ces mêmes attaques peuvent toujours être menées par des tiers malveillants. Enfin, Winer met un point d’honneur sur le fait que bien que Google avance qu’un grand nombre des sites web sont maintenant passés au HTTPS, pour lui, l’entreprise néglige le fait que de nombreux sites qui sont encore au HTTP regorgent d’informations précieuses qui doivent être conservées.

Après avoir exposé son point de vue sur les pratiques de Google à vouloir faire adopter le HTTPS par tous, Winer, propriétaire du site scripting.com, explique qu’il a reçu un mail de Google lui demandant de « migrer vers HTTPS pour éviter de déclencher le nouvel avertissement sur [son] site et pour aider à protéger les données des utilisateurs ».

Vu les arguments de Winer, pensez-vous que Google part dans la mauvaise direction ou c’est plutôt Winer qui fait fausse route ?

Source : This.How

Et vous ?

Quel est votre avis sur les arguments présentés par Winer ?

Google procède-t-il mal en voulant faire passer tout le web au HTTPS ?

Ou partagez-vous la démarche de Google qui veut sécuriser le web en faisant la promotion du HTTPS ?

Voir aussi

Chrome : Google a décidé de marquer tous les sites HTTP comme non sécurisés, la mesure prendra effet au mois de juillet
Google précise que Chrome commencera à marquer les connexions HTTP comme non sécurisées à partir de fin janvier, et donne plus de détails sur son plan
Google Chrome va marquer comme « non sécurisés » les sites web en HTTP qui collectent des informations sur des mots de passe
Firefox se prépare à son tour à marquer les sites en HTTP comme étant non sécurisés, une représentation visuelle est déjà disponible sur la Nightly
L’EFF se réjouit de l’adoption massive du protocole HTTPS durant l’année 2017 et espère que 2018 sera marquée par la même tendance


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de melka one melka one - Membre éclairé https://www.developpez.com
le 01/07/2018 à 22:46
Quel est votre avis sur les arguments présentés par Winer ?

dire que http permet de facilement repérer les information de cb est débile vue les sites qui l'on utilisé durant de longues année pour des transaction sans aucuns problème et il est vrais que tous les sites ne font pas de transaction monétaire développez en est l'exemple. il y a aussi les sites qui ne demande rien a part être vu le mien par exemple.

Les arguments me semble valide.
Avatar de psychadelic psychadelic - Membre expert https://www.developpez.com
le 01/07/2018 à 23:10
Je suis à 100% d’accord avec les arguments de Dave Winer.
D’ailleurs je ne m’explique pas comment Google à pu en arriver à un tel sophisme, ce n’est pas parce qu’un site utilise un certificat SSL que vous êtes en sécurité : les escrocs savent très bien faire des sites de phishing en HTTPS.

Et bien sur il existe aussi des millions de sites vitrine qui ne demandent aucune information personnelle, n’utilisent pas de cookies, et sans paiement en ligne.

Autant je comprends que dés qu’il y a un formulaire à remplir sur une page web le navigateur mette un warning pour avertir les utilisateurs d’un risque, et cela me semble bien plus pédagogique.

Mais mettre des indicateurs en rouge partout si un site n’est pas en HTTPS, finira à la longue par être contre productif, les internautes finiront par en minimiser l’importance. On connais tous l’histoire*: à force de trop crier au Loup.. fable d’Ésope) , sauf chez Google, visiblement.
Avatar de UduDream UduDream - Membre habitué https://www.developpez.com
le 01/07/2018 à 23:11
Il a carrément raison ce type. C'est effectivement la pédagogie qu'il faudrait mettre en avant.
Avatar de 23JFK 23JFK - Membre expérimenté https://www.developpez.com
le 01/07/2018 à 23:11
Plutôt de l'avis de Dave, le http est largement suffisant, la plupart des sites commerciaux redirigent leur clients vers une interface de banque ayant leur propre méthode de sécurisation de transaction quand il s'agit de payer. Le https ressemble plus à un moyen de fermer le web. La meilleure sécurité pour un site c'est de ne pas implémenter de formulaire, de ne pas utiliser de javascript et d'utiliser au minimum les balises img frame embed...
Avatar de Mrsky Mrsky - Membre éclairé https://www.developpez.com
le 01/07/2018 à 23:35
Citation Envoyé par melka one Voir le message
dire que http permet de facilement repérer les information de cb est débile vue les sites qui l'on utilisé durant de longues année pour des transaction sans aucuns problème et il est vrais que tous les sites ne font pas de transaction monétaire développez en est l'exemple. il y a aussi les sites qui ne demande rien a part être vu le mien par exemple.
Envoyer tes informations bancaires sur un site n'utilisant pas HTTPS est dangereux, ça signifie que ces informations vont circuler sur le réseau en clair et seront lisibles par tous les noeuds par lesquels elles vont passer. Développez ne demande pas d'informations bancaires mais il y a un système d'identification et des données personnelles transitent, comme ton mot de passe qui peut être sensible. Je t'invite à te renseigner sur comment fonctionne internet et ainsi te rendre compte de l'importance de HTTPS.

Après il est clair que dans certains cas HTTPS est en effet superflu, dès qu'il n'y a pas de transfert de données en gros. Un blog sans commentaires est un bon exemple, un site purement vitrine (et encore il y a souvent un formulaire de contact) en est un autre. Il faut toutefois reconnaître que ces sites sont de plus en plus rares de nos jours, et si la généralisation de la sécurité permet à Mme Michu d'éviter les pièges les plus grossiers, comme par exemple sur les réseaux wifi publics, c'est un faible coût à payer.

Là où je suis d'accord avec le billet c'est que Google "décide" unilatéralement de dire HTTP = mal et c'est un peu dangereux, même si dans le cadre de cette mesure je pense que l'effet est globalement positif.
Avatar de melka one melka one - Membre éclairé https://www.developpez.com
le 01/07/2018 à 23:42
pour les donné personnels pas besoin de pirate elles sont détenu par les sites et rien ne leurs empêche de les diffuser ou les vendre.

vive la rgpd.
Avatar de Mrsky Mrsky - Membre éclairé https://www.developpez.com
le 02/07/2018 à 1:14
Citation Envoyé par melka one Voir le message
pour les donné personnels pas besoin de pirate elles sont détenu par les sites et rien ne leurs empêche de les diffuser ou les vendre.

vive la rgpd.

Beaucoup de sites avec un système d'inscription ne vendent pas les infos personnelles, je pense que Dvp est un bon exemple (enfin je ne crois pas qu'ils vendent nos données) Personnellement j'ai une petite appli non commerciale qui nécessite de se connecter donc j'utilise HTTPS même si c'est pour moins de 5000 comptes et que je ne collecte que email (comme login et pour ne pas perdre accès à son compte) et mot de passe. J'ai même activé le chiffrement du disque dur hébergeant tout ce petit monde

Par contre oui, vive la RGDP qui est un pas dans le bon sens.
Avatar de bouye bouye - Rédacteur/Modérateur https://www.developpez.com
le 02/07/2018 à 5:15
l’argument de Google selon lequel le HTTP permettrait de mener facilement une attaque de type homme du milieu ne tiendrait pas la route, car même si vous utilisez un protocole sécurisé, ces mêmes attaques peuvent toujours être menées par des tiers malveillants.
Et encore si ce n’était que des tiers malveillants... notre boite paie un gestionnaire de sécurité qui fait exactement ça : un remplacement au vol des certificats des sites... Autant ça passe avec les principaux navigateurs (IE, Edge, Chrome - beaucoup moins avec Firefox), autant ça passe mal avec la plupart des outils de dev tiers ce qui nous oblige soit a mettre en place des tas de site dans des whitelists ou soit a désactiver (quant c'est possible) la gestion des certificats dans ces mêmes outils ce qui finalement affaiblie complètement la sécurité de l'ensemble...
Avatar de abriotde abriotde - Membre éprouvé https://www.developpez.com
le 02/07/2018 à 8:10
C'est l'argumentaire de la NSA ce qu'il dis. C'est simple pour n'importe quel développeur de mettre en place HTTPS surtout comparé au RGPD et autres lois françaises. Et surtout Google ne déréférence pas HTTP. Le seul point négatif c'est la lenteur pour de faible connections internet pour les sites qui redirigent automatiquemet vers HTTPS...
Avatar de Neckara Neckara - Expert éminent sénior https://www.developpez.com
le 02/07/2018 à 8:46
Eh bien, cela faisait longtemps que je n'avais pas lu de telles bêtises.

Citation Envoyé par Olivier Famien Voir le message
Pour Winer, l’adoption du HTTPS risque de rendre inaccessibles les archives disponibles sur le web depuis plusieurs années.
Si le site web est hébergés par un tiers (e.g. OVH, etc.) le passage à HTTPS se fera généralement de façon transparente.

Si le site web est auto-hébergé sur un serveur qui n'est plus maintenu/mis à jour... autant l'arrêter pour la sécurité de tous.

Citation Envoyé par Olivier Famien Voir le message
Pour le développeur, la raison pour laquelle il y a autant de diversité, c’est que le web est une chose ouverte, elle n’a jamais appartenu à quelqu’un. Aussi, serait-il convenable que Google n’oblige pas les sites web à adopter le HTTPS en les signalant comme non sécurisés.
On parle ici de la sécurité, comme on va vérifier la validité des certificats, la version de TLS, etc.

Citation Envoyé par Olivier Famien Voir le message
Comme autre argument, Winer soutient que « Google a fait beaucoup d’efforts pour vous convaincre que HTTP n’est pas bon », mais pour lui, « HTTP est la meilleure chose qui soit ». Selon lui, c’est « sa simplicité qui a fait fonctionner le web » et favorisé son explosion, là où les protocoles précédents étaient difficiles à construire.
Parce que HTTPS, c'est quoi pour lui ? .

Citation Envoyé par Olivier Famien Voir le message
En défendant l’adoption du HTTP, Winer souhaite « que les gens puissent utiliser leurs propres serveurs web plus facilement ». Pour lui, « Google fait ce que la prêtrise de la programmation fait toujours, en construisant la barrière plus haut à l’entrée, en rendant les choses plus compliquées, en se donnant une exclusivité ». « Cela signifie que seuls les super nerds seront en mesure de mettre en place des sites ».
Déjà pour des hébergements par des tiers (e.g. OVH), cela n'a aucun surcoût.
Pour de l'auto-hébergement, avec Let's Encrypt, c'est franchement pas ce qu'il y a de plus compliqué et coûteux...

Citation Envoyé par Olivier Famien Voir le message
Et comme conséquence, Winer souligne que « nous allons perdre beaucoup de sites qui ont été rapidement affichés sur un coup de tête, au cours des 25 années d’existence du web, par des personnes qui ne comprenaient pas tout à fait ce qu’elles faisaient. C’est aussi la gloire du web ». Il continue en défendant que « toutes les vues sur le web sont importantes, en particulier celles que les grandes entreprises ne comprennent pas ou ne respectent pas. C’est comme ça que le progrès se passe dans la technologie ». Enfin, écrit-il, « le web est un accord social pour ne pas casser les choses. Cela nous a servi pendant 25 ans. Je ne veux pas l’abandonner parce qu’un groupe de nerds chez Google pense qu’ils le connaissent mieux ».
Au moins le groupe de nerds chez Google savent faire une redirection HTTP->HTTPS... et ont un minimum de connaissances en ce qui concerne la sécurité informatique...

Citation Envoyé par Olivier Famien Voir le message
En plus de présenter les avantages du HTTP, Winver s’attaque également à Google et aux avantages du HTTPS soutenus par la firme. Il soutient que « la plupart des sites qu’ils appellent “non sécurisés” ne demandent aucune information à l’utilisateur », mais sont cependant marqués non sécurisés.
Et ?
Pour rappel HTTP ne permet pas seulement d'écouter les communications, mais aussi de les modifier... donc de rajouter des scripts, ou des champs... ou de modifier des informations.

Citation Envoyé par Olivier Famien Voir le message
En agissant ainsi, précise Winer, le simple utilisateur n’ayant aucune idée de la raison pour laquelle cette alerte est affichée risque d’appuyer sur le bouton retour alors que le site ne contient aucune menace.
Quid de la protection de la vie privée ?

Citation Envoyé par Olivier Famien Voir le message
Pour Winer, « c’est le genre de tactique politique désagréable que nous attendons des dirigeants politiques corrompus, et non des entreprises technologiques de premier plan  développeurs de renoms».
Citation Envoyé par Olivier Famien Voir le message
Il avance également que l’argument de Google selon lequel le HTTP permettrait de mener facilement une attaque de type homme du milieu ne tiendrait pas la route, car même si vous utilisez un protocole sécurisé, ces mêmes attaques peuvent toujours être menées par des tiers malveillants.
Et bien qu'il fasse une publication scientifique pour dire comment il casse TLS, ça m'intéresse au plus haut point.

Citation Envoyé par Olivier Famien Voir le message
Enfin, Winer met un point d’honneur sur le fait que bien que Google avance qu’un grand nombre des sites web sont maintenant passés au HTTPS, pour lui, l’entreprise néglige le fait que de nombreux sites qui sont encore au HTTP regorgent d’informations précieuses qui doivent être conservées.
Et bien qu'ils fassent une redirection HTTP->HTTPS...

Ou consulte le site via un site d'archive...

Citation Envoyé par psychadelic Voir le message
D’ailleurs je ne m’explique pas comment Google à pu en arriver à un tel sophisme, ce n’est pas parce qu’un site utilise un certificat SSL que vous êtes en sécurité : les escrocs savent très bien faire des sites de phishing en HTTPS.
C'est l'inverse.

Google ne dit pas qu'on est totalement en sécurité avec HTTPS, mais qu'on ne l'est pas avec HTTP.
Comme le fait d'avoir l'air bag n'empêche pas de mettre la ceinture. Ne pas mettre la ceinture, ce n'est pas sûr, mais ce n'est pas pour autant qu'avec la ceinture on est forcément en sécurité (e.g. sans air bag).
Contacter le responsable de la rubrique Accueil