Dave Winer bat en brèche les arguments de Google qui encouragent l'adoption massive du HTTPS
Et soutient que les sites HTTP ont encore leur place
Le 2018-07-01 21:57:21, par Olivier Famien, Chroniqueur Actualités
Depuis quelques années, Google s’est lancé dans un projet de renforcer la sécurité sur la toile en faisant la promotion pour l’adoption du protocole HTTPS par les sites web. Pour cela, l’entreprise a annoncé qu’elle marquerait les sites web qui utilisent le protocole HTTP et collectent les mots de passe et les informations bancaires comme non sécurisés. Toutefois, vu que le passage au HTTPS n’est pas aussi aisé pour tous les sites, la firme de Mountain View a établi un plan d’action dans lequel elle a commencé par indiquer les pages web non sécurisées avec un indicateur neutre.
Il convient de rappeler que comme inconvénients, Google avance que lorsque les utilisateurs envoient des requêtes pour l’affichage des pages, celles-ci peuvent être interceptées et modifiées avant que les pages du site soient affichées côté client. Ainsi si un utilisateur utilise ces pages non sécurisés pour envoyer des données confidentielles comme des informations de cartes de crédit, ces informations peuvent facilement être dérobées par un acteur malveillant contrairement aux données qui transitent par le protocole HTTPS.
En outre, au-delà du fait que le protocole HTTPS protège les données des utilisateurs sur les sites web, Google explique également que ce protocole est une exigence pour de nombreux navigateurs modernes et particulièrement pour ceux exécutant les applications web progressives. Pour faciliter l’adoption de protocoles sécurisés, l’autorité de certification, Let’s Encrypt, accorde gratuitement depuis 2015 des certificats pour l’implémentation du protocole TLS sur les sites web.
Après avoir attiré l’attention des utilisateurs sur les pages non sécurisées avec un indicateur neutre, Google a annoncé qu’elle marquerait les pages HTTP exécutées en mode Incognito comme non sécurisées dans la barre d’adresse. Par ailleurs, depuis le 1er juillet de cette année, Google a décidé de marquer les pages au format HTTP comme non sécurisées. À terme, l’entreprise envisage de changer l’indicateur de sécurité en affichant un triangle rouge avec la mention « ;non sécurisé ;».
Toutefois comme les changements ne se font pas en général sans contestation, Dave Winer, un développeur de renom et propriétaire du site scripting.com, désapprouve l’initiative de Google qui promeut une adoption massive du HTTPS au détriment du HTTP et avance plusieurs arguments pour défendre sa position.
Dave Winer présente les avantages des sites utilisant le protocole HTTP
Pour Winer, l’adoption du HTTPS risque de rendre inaccessibles les archives disponibles sur le web depuis plusieurs années. Pour mieux se faire comprendre, il explique que dans la plupart des cas, ces archives sont disponibles sur le web pour le grand bonheur de certains utilisateurs, mais ne sont plus maintenues. Cela sous-entend que personne ne pourra faire migrer le protocole actuel de ces pages web vers des protocoles sécurisés. Ainsi, en marquant ce genre de sites comme non sécurisés, cela pousserait les utilisateurs à les fuir. Pour le développeur, la raison pour laquelle il y a autant de diversité, c’est que le web est une chose ouverte, elle n’a jamais appartenu à quelqu’un. Aussi, serait-il convenable que Google n’oblige pas les sites web à adopter le HTTPS en les signalant comme non sécurisés.
Comme autre argument, Winer soutient que « ;Google a fait beaucoup d’efforts pour vous convaincre que HTTP n’est pas bon ;», mais pour lui, « ;HTTP est la meilleure chose qui soit ;». Selon lui, c’est « ;sa simplicité qui a fait fonctionner le web ;» et favorisé son explosion, là où les protocoles précédents étaient difficiles à construire. En défendant l’adoption du HTTP, Winer souhaite « ;que les gens puissent utiliser leurs propres serveurs web plus facilement ;». Pour lui, « ;Google fait ce que la prêtrise de la programmation fait toujours, en construisant la barrière plus haut à l’entrée, en rendant les choses plus compliquées, en se donnant une exclusivité ;». « ;Cela signifie que seuls les super nerds seront en mesure de mettre en place des sites ;».
Et comme conséquence, Winer souligne que « ;nous allons perdre beaucoup de sites qui ont été rapidement affichés sur un coup de tête, au cours des 25 années d’existence du web, par des personnes qui ne comprenaient pas tout à fait ce qu’elles faisaient. C’est aussi la gloire du web ;». Il continue en défendant que « ;toutes les vues sur le web sont importantes, en particulier celles que les grandes entreprises ne comprennent pas ou ne respectent pas. C’est comme ça que le progrès se passe dans la technologie ;». Enfin, écrit-il, « ;le web est un accord social pour ne pas casser les choses. Cela nous a servi pendant 25 ans. Je ne veux pas l’abandonner parce qu’un groupe de nerds chez Google pense qu’ils le connaissent mieux ;».
Dave Winer bat en brèche les arguments de Google en faveur du HTTPS
En plus de présenter les avantages du HTTP, Winver s’attaque également à Google et aux avantages du HTTPS soutenus par la firme. Il soutient que « ;la plupart des sites qu’ils appellent “non sécurisés” ne demandent aucune information à l’utilisateur ;», mais sont cependant marqués non sécurisés. En agissant ainsi, précise Winer, le simple utilisateur n’ayant aucune idée de la raison pour laquelle cette alerte est affichée risque d’appuyer sur le bouton retour alors que le site ne contient aucune menace. Pour Winer, « ;c’est le genre de tactique politique désagréable que nous attendons des dirigeants politiques corrompus, et non des entreprises technologiques de premier plan ;».
Il avance également que l’argument de Google selon lequel le HTTP permettrait de mener facilement une attaque de type homme du milieu ne tiendrait pas la route, car même si vous utilisez un protocole sécurisé, ces mêmes attaques peuvent toujours être menées par des tiers malveillants. Enfin, Winer met un point d’honneur sur le fait que bien que Google avance qu’un grand nombre des sites web sont maintenant passés au HTTPS, pour lui, l’entreprise néglige le fait que de nombreux sites qui sont encore au HTTP regorgent d’informations précieuses qui doivent être conservées.
Après avoir exposé son point de vue sur les pratiques de Google à vouloir faire adopter le HTTPS par tous, Winer, propriétaire du site scripting.com, explique qu’il a reçu un mail de Google lui demandant de « ;migrer vers HTTPS pour éviter de déclencher le nouvel avertissement sur [son] site et pour aider à protéger les données des utilisateurs ;».
Vu les arguments de Winer, pensez-vous que Google part dans la mauvaise direction ou c’est plutôt Winer qui fait fausse route ;?
Source : This.How
Et vous ?
Quel est votre avis sur les arguments présentés par Winer ;?
Google procède-t-il mal en voulant faire passer tout le web au HTTPS ;?
Ou partagez-vous la démarche de Google qui veut sécuriser le web en faisant la promotion du HTTPS ;?
Voir aussi
Chrome : Google a décidé de marquer tous les sites HTTP comme non sécurisés, la mesure prendra effet au mois de juillet
Google précise que Chrome commencera à marquer les connexions HTTP comme non sécurisées à partir de fin janvier, et donne plus de détails sur son plan
Google Chrome va marquer comme « ;non sécurisés ;» les sites web en HTTP qui collectent des informations sur des mots de passe
Firefox se prépare à son tour à marquer les sites en HTTP comme étant non sécurisés, une représentation visuelle est déjà disponible sur la Nightly
L’EFF se réjouit de l’adoption massive du protocole HTTPS durant l’année 2017 et espère que 2018 sera marquée par la même tendance
Il convient de rappeler que comme inconvénients, Google avance que lorsque les utilisateurs envoient des requêtes pour l’affichage des pages, celles-ci peuvent être interceptées et modifiées avant que les pages du site soient affichées côté client. Ainsi si un utilisateur utilise ces pages non sécurisés pour envoyer des données confidentielles comme des informations de cartes de crédit, ces informations peuvent facilement être dérobées par un acteur malveillant contrairement aux données qui transitent par le protocole HTTPS.
En outre, au-delà du fait que le protocole HTTPS protège les données des utilisateurs sur les sites web, Google explique également que ce protocole est une exigence pour de nombreux navigateurs modernes et particulièrement pour ceux exécutant les applications web progressives. Pour faciliter l’adoption de protocoles sécurisés, l’autorité de certification, Let’s Encrypt, accorde gratuitement depuis 2015 des certificats pour l’implémentation du protocole TLS sur les sites web.
Après avoir attiré l’attention des utilisateurs sur les pages non sécurisées avec un indicateur neutre, Google a annoncé qu’elle marquerait les pages HTTP exécutées en mode Incognito comme non sécurisées dans la barre d’adresse. Par ailleurs, depuis le 1er juillet de cette année, Google a décidé de marquer les pages au format HTTP comme non sécurisées. À terme, l’entreprise envisage de changer l’indicateur de sécurité en affichant un triangle rouge avec la mention « ;non sécurisé ;».
Toutefois comme les changements ne se font pas en général sans contestation, Dave Winer, un développeur de renom et propriétaire du site scripting.com, désapprouve l’initiative de Google qui promeut une adoption massive du HTTPS au détriment du HTTP et avance plusieurs arguments pour défendre sa position.
Dave Winer présente les avantages des sites utilisant le protocole HTTP
Pour Winer, l’adoption du HTTPS risque de rendre inaccessibles les archives disponibles sur le web depuis plusieurs années. Pour mieux se faire comprendre, il explique que dans la plupart des cas, ces archives sont disponibles sur le web pour le grand bonheur de certains utilisateurs, mais ne sont plus maintenues. Cela sous-entend que personne ne pourra faire migrer le protocole actuel de ces pages web vers des protocoles sécurisés. Ainsi, en marquant ce genre de sites comme non sécurisés, cela pousserait les utilisateurs à les fuir. Pour le développeur, la raison pour laquelle il y a autant de diversité, c’est que le web est une chose ouverte, elle n’a jamais appartenu à quelqu’un. Aussi, serait-il convenable que Google n’oblige pas les sites web à adopter le HTTPS en les signalant comme non sécurisés.
Comme autre argument, Winer soutient que « ;Google a fait beaucoup d’efforts pour vous convaincre que HTTP n’est pas bon ;», mais pour lui, « ;HTTP est la meilleure chose qui soit ;». Selon lui, c’est « ;sa simplicité qui a fait fonctionner le web ;» et favorisé son explosion, là où les protocoles précédents étaient difficiles à construire. En défendant l’adoption du HTTP, Winer souhaite « ;que les gens puissent utiliser leurs propres serveurs web plus facilement ;». Pour lui, « ;Google fait ce que la prêtrise de la programmation fait toujours, en construisant la barrière plus haut à l’entrée, en rendant les choses plus compliquées, en se donnant une exclusivité ;». « ;Cela signifie que seuls les super nerds seront en mesure de mettre en place des sites ;».
Et comme conséquence, Winer souligne que « ;nous allons perdre beaucoup de sites qui ont été rapidement affichés sur un coup de tête, au cours des 25 années d’existence du web, par des personnes qui ne comprenaient pas tout à fait ce qu’elles faisaient. C’est aussi la gloire du web ;». Il continue en défendant que « ;toutes les vues sur le web sont importantes, en particulier celles que les grandes entreprises ne comprennent pas ou ne respectent pas. C’est comme ça que le progrès se passe dans la technologie ;». Enfin, écrit-il, « ;le web est un accord social pour ne pas casser les choses. Cela nous a servi pendant 25 ans. Je ne veux pas l’abandonner parce qu’un groupe de nerds chez Google pense qu’ils le connaissent mieux ;».
Dave Winer bat en brèche les arguments de Google en faveur du HTTPS
En plus de présenter les avantages du HTTP, Winver s’attaque également à Google et aux avantages du HTTPS soutenus par la firme. Il soutient que « ;la plupart des sites qu’ils appellent “non sécurisés” ne demandent aucune information à l’utilisateur ;», mais sont cependant marqués non sécurisés. En agissant ainsi, précise Winer, le simple utilisateur n’ayant aucune idée de la raison pour laquelle cette alerte est affichée risque d’appuyer sur le bouton retour alors que le site ne contient aucune menace. Pour Winer, « ;c’est le genre de tactique politique désagréable que nous attendons des dirigeants politiques corrompus, et non des entreprises technologiques de premier plan ;».
Il avance également que l’argument de Google selon lequel le HTTP permettrait de mener facilement une attaque de type homme du milieu ne tiendrait pas la route, car même si vous utilisez un protocole sécurisé, ces mêmes attaques peuvent toujours être menées par des tiers malveillants. Enfin, Winer met un point d’honneur sur le fait que bien que Google avance qu’un grand nombre des sites web sont maintenant passés au HTTPS, pour lui, l’entreprise néglige le fait que de nombreux sites qui sont encore au HTTP regorgent d’informations précieuses qui doivent être conservées.
Après avoir exposé son point de vue sur les pratiques de Google à vouloir faire adopter le HTTPS par tous, Winer, propriétaire du site scripting.com, explique qu’il a reçu un mail de Google lui demandant de « ;migrer vers HTTPS pour éviter de déclencher le nouvel avertissement sur [son] site et pour aider à protéger les données des utilisateurs ;».
Vu les arguments de Winer, pensez-vous que Google part dans la mauvaise direction ou c’est plutôt Winer qui fait fausse route ;?
Source : This.How
Et vous ?
Voir aussi
-
NeckaraInactifEh bien, cela faisait longtemps que je n'avais pas lu de telles bêtises.
Si le site web est hébergés par un tiers (e.g. OVH, etc.) le passage à HTTPS se fera généralement de façon transparente.
Si le site web est auto-hébergé sur un serveur qui n'est plus maintenu/mis à jour... autant l'arrêter pour la sécurité de tous.
On parle ici de la sécurité, comme on va vérifier la validité des certificats, la version de TLS, etc.
Parce que HTTPS, c'est quoi pour lui ?.
Déjà pour des hébergements par des tiers (e.g. OVH), cela n'a aucun surcoût.
Pour de l'auto-hébergement, avec Let's Encrypt, c'est franchement pas ce qu'il y a de plus compliqué et coûteux...
Au moins le groupe de nerds chez Google savent faire une redirection HTTP->HTTPS... et ont un minimum de connaissances en ce qui concerne la sécurité informatique...
Et ?
Pour rappel HTTP ne permet pas seulement d'écouter les communications, mais aussi de les modifier... donc de rajouter des scripts, ou des champs... ou de modifier des informations.
Quid de la protection de la vie privée ?
Et bien qu'il fasse une publication scientifique pour dire comment il casse TLS, ça m'intéresse au plus haut point.
Et bien qu'ils fassent une redirection HTTP->HTTPS...
Ou consulte le site via un site d'archive...
C'est l'inverse.
Google ne dit pas qu'on est totalement en sécurité avec HTTPS, mais qu'on ne l'est pas avec HTTP.
Comme le fait d'avoir l'air bag n'empêche pas de mettre la ceinture. Ne pas mettre la ceinture, ce n'est pas sûr, mais ce n'est pas pour autant qu'avec la ceinture on est forcément en sécurité (e.g. sans air bag).le 02/07/2018 à 8:46 -
intelligideMembre avertiJe vois beaucoup de réponses qui défendent le point de vue de Dave Winer en disant que s'il n'y a pas de transaction par CB, y a pas besoin de HTTPS. Je n'ai jamais entendu de réponses aussi stupides.
Le HTTPS permet de sécuriser TOUTES les informations entre un client et le serveur. Cela va de bien sûr des numéros de CB mais aussi des identifiants et mots de passe. Le HTTPS permet aussi de protéger une page web de toute modification pendant le transfert (et oui, le HTTPS "interdit" les FAI de mettre de la pub forcée sur les pages web).
Certes le HTTPS ne permet pas d'avoir un sécurité à 100% à cause du risque humain (car il n'interdit pas les naifs de se faire avoir par le phishing). Mais le HTTPS augmente un peu plus la sécurité de tous. Je rejoins Dave Winer sur le seul fait que marquer des vieux sites non maintenu comme dangereux est dommageable. Mais maintenant, si on ne sait pas mettre un certificat SSL quand on monte un serveur, faudrait penser à se couper d'internet (je parle pour ceux qui montent des serveurs, pas de ceux qui utilisent du mutualisé (eux peuvent mettre du HTTPS encore plus facilement)).
Champion ! TU proposes toi-même un moyen de fermer internet: centraliser toutes les transactions. Ce qui est plus dangereux que le HTTPS.
Nom de Zeus, marty ! Il faut retourner en 1996 pour la sécurité de tous.le 02/07/2018 à 9:50 -
UtherExpert éminent séniorMême quand le https sur l'intégralité du site n'était pas la norme, tous les sites proposant des transactions bancaires utilisaient heureusement déjà le https pour celles ci, sinon aucune banque n'aurait accepté les transactions par internet.
Il faut différencier escroc et pirate. https ne protège en effet pas de l’escroquerie, par contre il garantit que personne ne peut intercepter le message entre vous et le site auquel auquel vous vous connectez.
La pédagogie dans l'informatique, et plus particulièrement sur internet, on a essayé et on essaye encore, depuis très très longtemps. On sait bien que la plupart du temps, ça ne marche pas du tout.
En effet, le genre de site déjà très rare aux débuts du web. Alors aujourd'hui, autant dire que c'est une espèce quasi disparue.
En effet, aucune technologie ne peut empêcher une société de ne pas utiliser les informations que tu lui donne. Tu es censé faire confiance au site auquel tu confie tes informations et https te garantit qu'un tiers ne pourra pas les intercepter.
Quant a l'argument de conservation de l'existant, il me parait assez douteux. Une personne qui n'entretient plus son site ne va probablement pas continuer a entretenir le serveur, a moins que ce contenu soit géré par un hébergeur qui pourra s'occuper lui même de la migration.le 02/07/2018 à 9:25 -
Envoyer tes informations bancaires sur un site n'utilisant pas HTTPS est dangereux, ça signifie que ces informations vont circuler sur le réseau en clair et seront lisibles par tous les noeuds par lesquels elles vont passer. Développez ne demande pas d'informations bancaires mais il y a un système d'identification et des données personnelles transitent, comme ton mot de passe qui peut être sensible. Je t'invite à te renseigner sur comment fonctionne internet et ainsi te rendre compte de l'importance de HTTPS.
Après il est clair que dans certains cas HTTPS est en effet superflu, dès qu'il n'y a pas de transfert de données en gros. Un blog sans commentaires est un bon exemple, un site purement vitrine (et encore il y a souvent un formulaire de contact) en est un autre. Il faut toutefois reconnaître que ces sites sont de plus en plus rares de nos jours, et si la généralisation de la sécurité permet à Mme Michu d'éviter les pièges les plus grossiers, comme par exemple sur les réseaux wifi publics, c'est un faible coût à payer.
Là où je suis d'accord avec le billet c'est que Google "décide" unilatéralement de dire HTTP = mal et c'est un peu dangereux, même si dans le cadre de cette mesure je pense que l'effet est globalement positif.le 01/07/2018 à 23:35 -
NeckaraInactifComme nous l'avons déjà fait remarquer, l'HTTPS ne sert pas uniquement pour les sites commerciaux...le 02/07/2018 à 10:36
-
NeckaraInactifJe crains que tu n'as même pas conscience des conséquences d'un manque d'intégrité et de confidentialité d'un site.
Par exemple, l'injection de code peut servir pour tout ce qui est "browser fingerprinting", minage de cryptomonnaies, tentative d'exploitation d'une faille d'un navigateur, constitution d'un pseudo-"botnet", etc.
Mystifier ?
Et non, à moins de casser TLS ou d'avoir un CA (ou un hébergeur, proxy TLS) malveillant, tu ne peux pas faire de MITM sur TLS, donc sur HTTPS.
Et si tu arrives à casser TLS, et bien, je t'invites à publier un article de recherche.
Et ?le 02/07/2018 à 16:25 -
NeckaraInactifQuand je parle de TLS, c'est bien évidemment le TLS state of the arts, pas les versions qui ont été dépréciées.
Si TLS 1.0 a été cassée en 2011, le TLS 1.1 est sorti en 2006, et le TLS1.2 en 2008.
Ça c'est une faille utilisateur qui accepte les certificats auto-signé de ce que je lis dans la première page de l'article.
Au vu du titre, ça semble plus être un problème de configuration, que vraiment de HTTPS.
Construit déjà ta machine quantique avec suffisamment de q-bits, et on en reparle.
Ouais, mais bon, dans le cas de HTTP, le "combien de temps" ne se pose même pas.
Sachant que derrière, toutes les attaques ne sont pas possibles à posteriori. Difficile par exemple de "voler" une connexion terminée il y a 10 ans.le 02/07/2018 à 18:01 -
RandomAccount243Membre à l'essaiJ'ai crée ce compte pour appuyer Neckara, incroyable de lire des choses comme ça et encore plus de lire les commentaires qui approuvent ça, sur un site de développeurs ! Je sais que la sécurité ça vous fait chier mais quand même ! J'ai même pensé qu'on était le premier Avril ou qu'on était Vendredi...le 02/07/2018 à 9:11
-
RandomAccount243Membre à l'essaiUn vrai plaisir de lire Neckara qui a toujours les bons mots face à des arguments aussi incompréhensibles qu'indéfendables... J'arrive pas à comprendre comment on peut persister à chercher des arguments contre le HTTPS par rapport au HTTP. L'argument des sites commerciaux par exemple n'a aucun sens et chiffrer les communications sera toujours mieux que de laisser tout en clair, à moins de vraiment vouloir ne pas se protéger...le 02/07/2018 à 17:09
-
qvignaudMembre actifBonjour, bonsoir,
- Premièrement, HTTPS n'est pas invulnérable à l'attaque par l'homme du milieu : Callegati, F., Cerroni, W., & Ramilli, M. (2009). Man-in-the-Middle Attack to the HTTPS Protocol. IEEE Security & Privacy, 7(1), 78-81.
- Deuxièmement, HTTPS a d'autres failles qui ne sont pas forcément de ce type là : Möller, B., Duong, T., & Kotowicz, K. (2014). This POODLE bites: exploiting the SSL 3.0 fallback. Security Advisory.
- Troisièmement, TLS lui-même n'est pas invulnérable du tout (note : TLS repose sur RSA, ECDSA, ECDH ou encore DSA selon la configuration utilisée) : Chen, L., Chen, L., Jordan, S., Liu, Y. K., Moody, D., Peralta, R., ... & Smith-Tone, D. (2016). Report on post-quantum cryptography. US Department of Commerce, National Institute of Standards and Technology.
Du dernier ouvrage mentionné voici un extrait :
Voilà. Que chacun se rappelle que la sécurité n'est pas de savoir si les données échangées sont sécurisées ou pas, mais combien de temps elles le sont.
Pour le reste, bonne continuation dans ce débat.le 02/07/2018 à 17:10