Et si Google avait raison d'imposer le SSL à TOUS les sites ?

WRInaute occasionnel
Comme vous le savez, Google va imposer l'utilisation du SSL (le cryptage des données) à tous les sites, en indiquant à partir d'octobre dans la barre de navigation un avertissement du style "Attention site non sécurisé" (les autres navigateurs sont en train de le rejoindre).

Comme vous, je me disais, bon pour les sites nécessitant la confidentialité du transfert des données (boutique et vente par carte bancaire, forum avec mot de passe, etc.) d'accord, mais les sites ordinaires, juste dédiés à la consultation, cela n'était pas du tout justifié, puisqu'il n'y a pas transfert de données confidentielles.

Mais depuis la lecture de cet article, voici le lien : https://rslnmag.fr/cite/capteurs-luminosite-hacking-privacy/ , je m'interroge.

Et si les ingénieurs avaient détecté quelque chose, quelque chose de si fort qu'il pourrait affecter l'ensemble des sites non crypté ?..

Un système de contrôle des données, ou plus précisément d'exploitation de la façon dont les données sont transférées pour suivre malgré lui l'internaute et en obtenir des informations personnelles selon une technique tellement sophistiquée qu'elle serait indécelable, et qui arrivera prochainement dans les mains de gouvernements ou de pirates malveillants.

Personnellement, je ne pense pas que Google entreprenne des actions par hasard, ou juste comme cela parce que l'idée leur a traversé la tête. Et cela m'embarrasse tout comme vous de devoir passer mes sites ordinaires et vitrines en SSL (et gonfler mes factures), mais je suis persuadé qu'il y a une véritable raison (et sacrément importante) derrière cette volonté de Google et des autres navigateurs.

J'ignore encore ce que c'est, mais peut-être auriez-vous une idée ?
 
WRInaute passionné
Ca aurait été plus simple de sécuriser le protocole http d'un seul coup. Fin de l'histoire et pas besoin d'ajouter un s.
 
WRInaute accro
Je suis du même avis que FortTrafic, il aurait été dans ce cas beaucoup plus simple de sécuriser directement le protocol HTTP
 
WRInaute occasionnel
Mais alors, pourquoi ne le fait-on pas ?
Y a-t-il quelque chose qui bloque ou personne n'a-t-il pensé à se lancer dans cette sécurisation du protocole ?
 
WRInaute passionné
Oui ca aurait rendu pleins d'applications inutilisables, tous les logiciels et materiels qui ne sont pas mis à jour. Il aurait fallu un ultimatum mondial comme avec la TNT en France.
Si t'as pas mis à jour on s'en fout de toi, t'as été prévenu mais c'est à toi d'engager les frais et te bouger avant la date annoncée.
Tu peux toujours mettre à jour plus tard mais en attendant ton truc en http ne marche plus. Ou en tous cas affiche gros message de securité et donc c'est comme s'il marche pas, comme un https sans certificat ssl valide ou il faut ajouter exception.

Mais sur internet c'est pas aussi facile que pour un monopole d'etat pour imposer des changements, ca marche plutot avec l'adoption de nouveaux standards (qui peut etre accéléré par google et autres) jusqu'à ce que petit à petit tout le monde abandonne les anciens.

Après pour l'histoire du capteur de luminosité je ne vois pas le rapport avec http / https car cette info n'est pas diffusée sur internet par le navigateur. Et si tu parles d'un virus/trojan sur l'ordinateur, dans ce cas peu importe que les sites soient en http ou https
 
WRInaute occasionnel
Si vraiment, comme vous le dites tous les deux, il suffit de sécuriser le protocole au départ pour éviter ce problème, alors c'est une grosse erreur de ne pas l'avoir fait en dépit des désavantages.

Je comprends que cela aurait couté du temps, de l'argent aussi, sans compter les mises à jour à faire parvenir aux clients des logiciels.

Mais ne pas l'avoir fait fait exploser en définitive le budget de chacun, et même des développeurs de ces logiciels.

Car eux aussi sont obligés de payer pour un certificat SSL crypté de qualité et de longue durée (à part celui de LetsEncrpyrt).

Ils sont aussi pénalisés par ricochet: les entreprises soucieuses de leur image vont privilégier le certificat signé payant pour leur site ecommerce ou leur site de société. Et selon le niveau de sécurité, certains certificats coûtent très cher.
Comme toujours, après des achats dont se serait bien passé, on n'a plus du tout envie d'acheter d'autres produits dans l'immédiat.

Par exemple, je viens de prendre un certificat signé pour un de me sites.
Conséquences, je me suis débarrassé de noms de domaines que je n'utilisais pas et je suis en train de réorganiser pour couper tout ce qui est inutile pour moi sur Internet, car peu de visites ou pas vraiment essentiel. Ceci pas seulement pour rééquilibrer mon budget.... mais parce que cela m'a énervé de jeter de l'argent par les fenêtres pour un certificat.

Bref, tout le monde est pénalisé dans l'affaire. L'utilisateur final, les domaineurs, les créateurs de logiciels, etc.

N.B. Fort Trafic : Le sujet du pistage par luminosité était juste un exemple... pour montrer qu'il pouvait y avoir des méthodes d'espionnage tellement sophistiquées que jamais on ne penserait que cela pourrait exister. Et que si celle-ci a été mise au point, alors d'autres peuvent être en usage actuellement sans que l'on ne sache quoi que ce soit à leur propos.
 
WRInaute impliqué
on s'en fout de google. ils n'existaient pas quand le http a été créé.
c est tres simple, aujourd'hui a cause de ces débilités, aujourd'hui on peut achater en ligne un ceriticat hppps certifié par des organismes ( anciennement de référence) pour 5 €. seul control : une adresse email répond

Auparavant ( seulement quelques années en arriére, il fallait au moins une preuve d'adresse, et un appel téléphonique)

donc déjà depuis plusieurs années, les arnaqueurs du web affichent des cterificats ssl tout a fait fonctionnel.

Donc on fait croire et fera encore plus croire qu'on peut faire confiance a une société qui vous proposent exceptionnellement un iphone12 à 1 € : l'adresse est en https tout va bien...

De tout manière 99.5 % des malversations, captages des numéros de cartes bancaires commencent comme cela :
"j ai ouvert la pièce jointe parce que je pensais que c etait peut etre important"
 
WRInaute occasionnel
Quand le business d'une boite repose sur la confiance que les gens ont de l'internet, ça me semble tout à fait raisonnable de pousser pour mettre en place le https qui est plus sécurisé, de façon à ce que la confiance des gens perdure. Mieux vaut être responsable de cette évolution et la contrôler, plutôt que d'attendre que quelqu'un d'autre s'y mette et s'accapare les parts de marché.
C'est de la pure réflexion business.

L'autre paramètre important est que le https seul n'a jamais été beaucoup poussé tant qu'on estimait qu'il était plus lent que le http. Mais les travaux de Google (spdy) qui ont contribué lourdement au http2 a changé la donne. Le http2 est plus rapide en moyenne que le http, même quand http2+https.
Mais pour l'imposer rapidement, quoi de mieux que de le pousser à travers une amélioration de la sécurité ? http2 => https obligatoire (alors qu'en théorie non). Du coup, tout le monde est content.
C'est encore de la pure réflexion business.

A moins que ce ne soit un coup des illuminatis ?
 
WRInaute discret
nalrem a dit:
A moins que ce ne soit un coup des illuminatis ?
T'es pas tombé loin.
Actuellement, si le Haut Conseil du Gouvernement Mondial (ou appelez-le comme vous voulez)décide de faire fermer un site, celui-ci peu aller se faire rouvrir dans un pays plus accueillant et personne ne pourra y faire. Il n'y a qu'à voir les sites comme Wikileaks qui sont à la frontière du darknet.
Le Darknet n'utilise pas le https et de toute façon il est pas référencé par GG.
Donc tout site qui ne passera pas au https versera automatiquement dans le darknet.

Maintenant pour les sites "biens" et recommandables, le SSL sera plus facilement révocable que de faire tomber le site tout entier. Obliger tous les propriétaires de site de passer par des tierces parties fournissant quelque chose dont on se passait très bien auparavant me fait penser à un autre scénario: celui des banques qui se sont imposées dans le monde.
Le passage au https va donc profiter aux fournisseurs mais permettra à Google de facilement de déréférencer toute une tripotée de sites qui ne sont plus maintenus et/ou mal entretenus pour une bonne raison: site non sécurisé.
 
WRInaute accro
Faut arrêter la paranoïa hein. Le https peut être mis en place gratuitement (Let's Encrypt par exemple), sachant que certains hébergeurs l'ont proposés gratuitement (OVh en mutu par exemple).
 
WRInaute passionné
Je pense que Google qui se fiche bien de la CNIL veut tout simplement avoir le meilleur fichier qualifié sur les habitudes des consommateurs, et bien défendre son business modele bas sur ces données précieuses face a la concurrence qui essaye de QUALIFIER au mieux leur fichier.

Google a concentré l'intérêt de l'adwords sur sa stratégie mondiale, et fait tout pour exploser les enchères minimum. Il n'y a rien d'autre a chercher chez Google que ce "pillage" forcé, avec tout ce qui tourne autour.
 
Discussions similaires
Haut