Google peut-il réellement sécuriser la navigation sur Internet ?

Alors que la communauté Internet a encore très certainement en mémoire l’énorme faille de sécurité « Heartbleed » qui la secoua en avril dernier, Google a depuis fait quelques annonces qui pourraient bien, à l’avenir, réduire l’occurrence de tels incidents.

« Heartbleed », si ce nom ne vous dit rien, c’est que vous êtes certainement passé à côté de l’une des plus importantes failles de sécurité qui a touché Internet cette année (et peut-être même de son histoire). Le 8 avril 2014, une importante faille de sécurité fut découverte au sein du logiciel OpenSSL. Autrement dit dans le dispositif de protection des données échangées sur Internet le plus utilisé au monde. (Rien que ça !). Ainsi, des données telles que les mots de passe ou mêmes les cookies, ces fichiers temporaires enregistrés sur votre navigateurs lorsque vous vous connectez à un site et qui sont censés vous rendre la navigation plus facile, étaient accessibles sur les mémoires des serveurs vulnérables et donc à la merci des pirates informatiques. Heureusement, depuis il n’y a plus d’inquiétude à avoir concernant la faille qui a été corrigé et les systèmes de sécurité d’une majorité de sites internet remis à jour.

Ainsi, Facebook et Yahoo! Mail qui avaient déjà migré vers le protocole HTTPS en 2013 (en option pour le deuxième) n’ont eu qu’à remettre à jour la version du logiciel OpenSSL afin de se prémunir de potentiels risques. Même si ils ne faisaient pas partie des sites les plus à découvert.

Depuis, Google a souhaité faire en sorte que le risque qu’un tel incident resurgisse soit réduit au minimum. Tout d’abord avec la mise en ligne d’un outil open source permettant de détecter les failles connues dans HTTPS : Nogotofail (en référence à la faille « Goto Fail » découverte dans le code source de la librairie Securetransport d’Apple). D’autres sites se sont d’ailleurs lancés dans cette démarche, par exemple Qualys SSL LABS.

Lors d’une annonce, la firme de Mountain View a aussi fait part de son souhait de favoriser les sites accessibles en HTTPS dans ces résultats de recherche. En effet, la procédure est systématique pour les banques ou les sites de e-commerce qui souhaite montrer qu’ils veulent sécuriser la navigation de leurs internautes, mais ce n’est pas le cas pour une large majorité de sites peuplant la Toile et c’est sur ce point que Google veut agir.

Cette logique de sécurisation est louable pour beaucoup de raisons car elle permet aux internautes conscient des risques de failles telles qu’ « Heartbleed » de regagner une certaine confiance en Internet. Toutefois, le passage au protocole HTTPS étant payant, 100 à 400€ par an et par domaine en moyenne, cela risque de désavantager certains sites n’ayant pas les moyens de s’offrir cette option. De plus, au-delà du paiement, la réadaptation du site est une étape délicate pour un éditeur de sites car il faut s’assurer que tout le contenu des pages su site soient intégrés dans le protocole de sécurité. Par exemple, à l’heure actuelle certaines régies publicitaires ne se soucient pas de l’intégration de leur espace sur un site sécurisé, ce qui peut freiner les revenus publicitaires de certains sites qui perdent ainsi des contrats avec ces régies.

Cette annonce est également à nuancer. Selon le Wall Street Journal, les débats internes sur le sujet ne permettront pas à Google d’appliquer cette mesure dans un avenir proche. Heureusement Nogotofail est là !

Sources :
© http://www.zdnet.fr/actualites/google-pourrait-favoriser-les-sites-en-https-39799941.htm
© http://www.lemonde.fr/technologies/article/2014/04/09/une-enorme-faille-de-securite-dans-de-nombreux-sites-internet_4397995_651865.html
© http://www.zdnet.fr/actualites/facebook-generalise-le-https-pour-ses-utilisateurs-39792909.htm
© http://www.zdnet.fr/actualites/yahoo-mail-enfin-protege-par-le-protocole-https-39786156.htm
© http://www.silicon.fr/nogofail-google-traque-failles-ssl-tls-101293.html
© http://www.numerama.com/magazine/31184-nogotofail-google-publie-un-outil-pour-detecter-les-failles-dans-https.html
© http://www.webrankinfo.com/dossiers/conseils/https-critere-seo