Discussion :

[Michael Guilloux]

Les développeurs de Chrome élaborent un plan pour marquer les trafics non sécurisés, pour une augmentation du déploiement des sites HTTPS.

Vous avez probablement déjà été une fois informés par votre navigateur du niveau de sécurité d'un site web que vous visitez, du moins, le navigateur vous le dit quand le contenu du site est sécurisé. Mais qu'en est-il lorsque vous naviguez sur un site non sécurisé? Rien.

L'équipe des développeurs de Chrome a longuement réfléchi sur la question et a décidé de porter son projet à la connaissance de la communauté web. Leur objectif est que les navigateurs nous informent aussi quand nous sommes dans un domaine non sécurisé et quel est le niveau de risque encouru.

« Nous, l'équipe de sécurité Chrome, proposons que les agents utilisateurs (UA) changent progressivement leur expérience utilisateur (UX) pour afficher les sources non sécurisées comme étant effectivement non sécurisées. Nous avons l'intention d'élaborer et de commencer à déployer un plan de transition pour Chrome en 2015 ».

Ils partent du constat que le protocole HTTP ne garantit aucune sécurité de données alors que le désir de tout internaute est d'avoir des communications sécurisées sur internet.

« Nous savons que les gens ne perçoivent généralement pas l'absence d'un signe d'avertissement. Pourtant, la seule situation dans laquelle les navigateurs Web sont garantis de ne pas avertir les utilisateurs est précisément quand il y a aucune sécurité: lorsque la source est transportée via HTTP. » Vont-ils ajouter:
« Nous voulons tous que la communication de données sur le web soit sécurisée (privée, authentifiée, non altérée). Lorsqu'il n'y a pas de sécurité des données, l'UA devrait l'afficher explicitement, afin que les utilisateurs puissent prendre des décisions éclairées sur la façon d'interagir avec une source. »

C'est une chose d'informer les utilisateurs du niveau de sécurité sur un site, mais c'en est une autre, de trouver un critère objectif pour définir les différents niveaux de sécurité.

L’équipe suggère que les navigateurs définissent et informent les utilisateurs de trois niveaux de sécurité:

-Sécurisé (HTTPS valides, d'autres sources de type localhost par exemple);
-Suspect (HTTPS valables, mais avec des ressources passives mixtes, HTTPS valides avec des erreurs mineures TLS);
-Non sécurisé (HTTPS cassé, HTTP).

Les développeurs de Chrome pensent que cette opération va conduire progressivement à une augmentation de sites sécurisés pendant que les sites non sécurisés tendront à disparaître. Par ailleurs, ils ont diffusé leur projet sur plusieurs listes influentes pour recueillir des commentaires de la communauté du web, des développeurs et des utilisateurs. Ils ont, par la même occasion, lancé un appel aux fournisseurs d’UA à intégrer la notification des trafics non sécurisés.

Source : chromium.org

Et vous ?

Que pensez-vous du plan pour marquer les sites non sécurisés ?

[kolodz]

Il faut bien se rendre compte que la sécurité à un coût. Certes technique, mais aussi morale.
Il faut se rendre compte qu'aujourd'hui le contenu est de plus en plus ciblé. Et l'accès à l'information de manière égal est de plus en plus remis en question.

Dans le pire cas :

Si un site d'actualité produit deux articles d'un même sujet et choisit l'article donnée en fonction de la personne. Personne ne peux vérifier qu'il n'y a pas d'abus de "pouvoir" de ce site.

Certes la vie privée est important et la sécurisation des données personnelles est vitale. Mais rendre l'ensemble des communications privées est se tirée une balle dans le pieds sur le longue termes.
Que certes communications soient publique est vitale. Si consulté un journal (en ligne ou pas) est un problème de société et non un problème technique/sécuritaire.
On n'est plus dans le domaine de la vie privée ou de la sécurisation d'information bancaire...

Sans parler de la problématique des certificats et de l’encryptions des données qui est dans la main de certains compagnie.

Si on sécurise tout c'est qu'on a peur. Et c'est quand les gens ont peur qu'on leur prends leur liberté.

Cordialement,
Patrick Kolodziejczyk.

[BugFactory]

C'est une très bonne idée. On ne s'aperçoit de ce qui manque que si on le cherche. Par conséquent, à moins de tout vérifier systématiquement, on peut transmettre des informations confidentielles sans même s'en rendre compte.

Cependant, tous les sites n'ont pas besoin d'être sécurisés, notamment les sites ne communiquant aucune information confidentielle. Je doute que les utilisateurs saisissent cette nuance : en voyant "non sécurisé" sur un site, ils vont s'enfuir aussitôt.

[Agrajag]

Je suis parfaitement d'accord avec kolodz et BugFactory et je n'ai jamais su comment expliquer cette canalisation de contenu sans passer pour un paranoïaque.

Autant je suis content de pouvoir consulter ces certificats quand je me rends sur le site de ma banque, autant ça m'agace de plus en plus qu'on me refuse la navigation sur un site en cours de dev, hébergé sur une plate-forme gratuite.

Si la plupart des gens préfèrent ne pas s'occuper de leur sécurité eux-même en déléguant la tache à un antivirus et des autorités de confiance, je trouve qu'il devraient réfléchir quand à l'authenticité d'un contenu.

A l'heure où Avast délivre ses propres certificats, écrasant les certificats émis pour nous imposer sa propre autorité de confiance, on peut tout simplement se demander si, tout comme les antivirus, les compagnies qui délivrent les certificats ne cherchent pas à faire un peu de beurre sur le dos des gens qui ne s'intéressent pas plus que ça à leur propre sécurité.

[raubarede]

il fit combien de watt pour consommer une page sous http et sous https ?

il faut considérer la consommation réseau, poste client et serveur...

[Angelsafrania]

C'est une superbe question qu'être certain qu'un serveur fournisse le même contenu à tous ces clients.
En gros il faudrait qu'on puisse déterminé ce qui est ou non de la donnée publique.
Il faut qu'on puisse déterminé les données blanche et grise voir noir. C'est de la sécurité quoi.
Google veux faire un système automatisé qui indique quelles sont les données blanches des données grises/noirs ... J'y crois pas du tout.
Comme dit Michael Guilloux, il faut que les données blanches soient transmises en claire pour avoir le moins de chance possible qu'il y ait une manipulation. Avec ce que j'ai compris (il faudrait creuser) Google veut juste forcé tous les sites en HTTPS à moyen terme.

Mais la question des autorités de confiance est pertinente aussi. Qui les connait ? Donc comment faire confiance à quelqu'un qu'on se connait pas ? Mais je crois que l'état est aussi un autorité de confiance reconnu par la plus part des navigateur par défaut. Pourquoi pour les entreprises Française on pourrais pas avoir un certificat associé au numéro de SIREN ou SIRET, là y'aurait une meilleur confiance non ?

[tontonnux]

Le problème c'est que d'afficher systématiquement un message "non sécurisé" aura pour conséquence de faire l'amalgame entre "non sécurisé" et "dangereux".

Est-ce que tout les sites ont besoin d'être sécurisés ? Non évidemment (exemple tout bête d'un simple site vitrine d'une entreprise).
Dans ce cas, est-ce pertinent de laisser croire au visiteur qu'il y a danger ? Bien sûr que non. Ça serait contre-productif et aurait pour conséquence que finalement le message finirait par être pris à la légère.

Donc faire le distinguo uniquement sur la question du protocole utilisé n'est pas très intelligent.
En revanche, qu'un message "communication non sécurisée" soit affiché clairement SI la page est en http ET qu'elle contient un formulaire (à plus forte raison avec champs de type="password"), là oui, on commence à envisager u début de solution.
Je sais bien que la présence ou non d'un formulaire n'est pas suffisant non plus, mais je parle d'un "début" de solution :p. Je ne prétends pas savoir quoi faire dans tout les cas.

N'oubliez pas ce qui est arrivé à la chèvre de M. Seguin... crier danger partout où il n'y en pas n'est jamais une bonne idée. Et l'ambiance de surveillance actuelle ne doit pas obscurcir ce fait.