Dans son rapport de transparence, Google explique les enjeux du HTTPS et l’entreprise en profite pour indiquer où elle se situe dans le déploiement de ce protocole sur l’ensemble de ses produits et services.« Le HTTPS est un mécanisme qui permet à votre navigateur ou à votre application de se connecter de manière sécurisée à un site Web. C'est l'une des mesures mises en place pour sécuriser votre navigation, ce qui est important par exemple lorsque vous vous connectez au site Web de votre banque ou lorsque vous saisissez des informations de carte de paiement dans une boutique en ligne. Le HTTPS se base sur le chiffrement (SSL ou TLS) pour sécuriser la connexion. Vous êtes ainsi protégé contre les dispositifs d'écoute, les attaques dites "de l'homme du milieu" et les pirates informatiques qui usurpent l'identité de sites Web de confiance. En d'autres mots, ce système déjoue les tentatives d'interception de vos informations et assure l'intégrité des données que vous recevez et transmettez », déclare Google.
Google explique que son objectif est d’assurer un chiffrement total sur l’ensemble de ses produits et services.
Ce graphique représente le pourcentage de requêtes effectuées sur les serveurs de Google à l’aide d’une connexion chiffrée
D’après les statistiques de Google, le 29 décembre 2013, 52 % des requêtes effectuées sur ses serveurs l’étaient à l’aide d’une connexion chiffrée. Un pourcentage qui a atteint les 77 % le 28 février 2016. Pour plus de précision, Google a atteint ce pourcentage le 24 janvier 2016. Google précise que le trafic de YouTube n’est pas inclus dans ce graphique à l’heure actuelle.
Depuis deux ans, Gmail (mars 2014) et Drive bénéficient d’une utilisation exclusive du protocole HTTPS. Ce sont d’ailleurs les seuls services Google à utiliser exclusivement ce protocole. En seconde position vient Maps avec 83 % de requêtes effectuées en HTTPS le 21 février 2016, puis Publicité avec 77 %, Google Actualité avec 60 % et enfin Google Finance avec 58 %.
Google rencontre cependant quelques barrières techniques et politiques pour un chiffrement total du trafic :
- les anciens logiciels et matériels ne sont pas compatibles avec les technologies de chiffrement modernes ;
- certains pays et certaines organisations bloquent ou entravent le trafic HTTPS ;
- certaines organisations n'ont pas la volonté ni les ressources techniques pour mettre en œuvre le HTTPS ;
- la gestion des certificats peut s'avérer difficile pour des produits comme Blogger, où le domaine de l'utilisateur (autre que Google), peut être utilisé.
Google a également fourni une liste des 10 pays depuis lesquels proviennent le plus de requêtes chiffrées. Selon lui, les différences constatées d'un pays à l'autre au niveau du trafic chiffré sont dues à divers facteurs, y compris les types d'appareils utilisés dans les pays en question ainsi que la disponibilité de logiciels compatibles avec le chiffrement TLS moderne. Dans l’ordre, il s’agit du Mexique (86 %), du Brésil (84 %), du Japon (82 %), de l’Inde (82 %), du Royaume-Uni (82 %), de la France (81 %), de la Russie (79 %), de l’Allemagne (75 %), des États-Unis (72 %) et du Canada (64 %).
Google explique que certains appareils anciens ne sont pas compatibles avec le chiffrement, les protocoles ou les normes d'aujourd'hui : « la vaste majorité du trafic non chiffré associé aux utilisateurs finals et provenant d'un ensemble de services Google interrogés est émise par des appareils mobiles. Malheureusement, il est possible que ces appareils ne soient plus mis à jour et qu'ils ne soient pas compatibles avec le chiffrement ».
Source : Google
Voir aussi :
DROWN, la vulnérabilité dans le protocole SSLv2 affecte près d'un serveur HTTPS sur trois Google met à la disposition des développeurs un panneau de sécurité sur Chrome pour faciliter le déploiement du HTTPS Google Search indexe désormais les URL HTTPS par défaut lorsque deux URL HTTP et HTTPS d'un même domaine ont le même contenu