Google a étendu le cryptage sécurisé SSL pour le
trafic de recherche à tous les utilisateurs Gmail. La vraie nouveauté,
c'est que le cryptage est actif par défaut, puisque, depuis le mois de
mai de l'an dernier, les utilisateurs avaient déjà le choix d'activer
manuellement le cryptage pour leur recherche.
Dans les semaines à venir, les utilisateurs accédant au site de
recherche Google via Gmail bénéficieront de requêtes de recherche et de
pages de résultats chiffrées (HTTPS), ce qui les mettra à l'abri des
regards indiscrets, même s'ils utilisent des canaux non sécurisés.
« Cette fonction a toute son importance, particulièrement lors de
connexions Internet non sécurisées, comme c'est le cas avec les hotspots
WiFi accessibles dans les cybercafés par exemple », a déclaré Google,
qui a annoncé cette mise à jour de manière très brève sur un blog
officiel. Google ne le mentionne pas, mais l'utilisation du SSL
permettra également de cacher les recherches aux FAI.À ce jour, peu d'utilisateurs ont entendu parler de l'option de
recherche SSL activable manuellement, et n'ont sans doute pas non plus
encore pris en compte tous les risques de sécurité pouvant survenir dans
les recherches effectuées sur la Toile à partir d'un terminal mobile.
Désormais, s'ils utilisent Gmail et s'ils sont connectés avec leurs
identifiants, les utilisateurs profiteront de cette nouvelle couche de
sécurité quand ils effectuent leurs recherches. Cette petite mise à
niveau aura probablement un impact plus significatif pour les
webmasters, puisqu'ils recevront moins de données à partir des requêtes
effectuées en mode de recherche crypté qu'en mode non-SSL. Quant à ceux
qui craignent de perdre une certaine visibilité sur les centres
d'intérêt des utilisateurs, Google les invite à utiliser son système
Webmaster Tools qui permet de voir les 1 000 premières requêtes de
recherche effectuées sur un site donné.
Mise à niveau des équipements
Le SSL a mis du temps à se généraliser. Introduit sur Gmail en option depuis juillet 2008, le cryptage a finalement été proposé en activation manuelle par défaut depuis janvier 2010 en passant par le site https://encrypted.google.com. Twitter a commencé à utiliser le SSL par défaut il y a quelques semaines seulement (et il semble que le processus ne soit pas achevé pour tout le monde). Quant à Facebook, le réseau social l'a offert en option, à ceux qui sont soucieux de la sécurité, plus tôt cette année. Alors, si le SSL est aussi utile pour la sécurité des données échangées, pourquoi ne pas l'activer simplement par défaut pour tous et au même moment ? Le SSL ajoute une surcharge en ouvrant un tunnel entre le serveur et l'utilisateur, qui risque aussi d'ajouter du temps de latence pour l'utilisateur. Google, Twitter et Facebook seront un jour tout-SSL par défaut, mais ils ont besoin de temps pour mettre leurs infrastructures au niveau des exigences requises. Autre question : les utilisateurs en ont-ils réellement besoin, et leurs recherches banales sont-elles si importantes qu'elles doivent être effectuées dans la plus grande confidentialité ?
Firesheep est probablement un bon exemple pou montrer à ceux qui en doutent, à quel point il est facile de voir les résultats de recherche de son voisin, connecté en mode non sécurisé. Ce simple outil, sous forme d'extension à ajouter au navigateur Internet, permet d'intercepter le trafic envoyé par un utilisateur sur un réseau WiFi non crypté. C'est ce qui était arrivé à l'acteur Ashton Kutcher, qui avait découvert à ses dépens que l'interception avait permis à des hackers d'usurper son identité sur Twitter après avoir sniffé ses données de connexion conservées dans un cookie. L'événement avait été en partie à l'origine de la conversion soudaine de Twitter au SSL.
Aucun commentaire:
Enregistrer un commentaire