Project Shield : Nouvelle tentative d'intrusion de la part de Google!
Sous de apparences d'alarmiste et de bienfaiteur, Google vient de présenter un "service" permettant de se prémunir des attaques DDoS: le Project Shield.
Ce projet, présenté comme une solution altruiste pour les gens n'ayant les moyens financiers pour héberger leurs sites web avec une vraie protection privée, ne consiste qu'en l'usage de serveurs Google comme intermédiaires pour tout votre trafic web.
Une mappemonde en temps réel est présentée, afin de renforcer le sentiment de besoin d'un tel outil... mais est-il prudent de passer un tel cap?
Développeurs amateurs, détrompez-vous!
Passer tout son trafic web par un service tiers, c'est aussi lui confier ses cookies (de sessions ou non), les requêtes, les données privées de vos utilisateurs, et très certainement matière analysable pour déceler et exploiter des failles de sécurité contenue dans vos sites/application web.
Pour résumer les choses, on pourrait comparer le Project Shield à un pirate qui, grâce à vous, permet à Google de faire une attaque de type Man in the middle!
De plus, gardez à l'esprit que Google est, lui aussi, la cible d'attaques en tous genres, ce qui exposerait vos sites et données aux failles de Google.
Pour rappel, après les solutions HTML/JS intégrables (Google Search, Google Analytics, les CDN, ...), l'identification avec son compte Google et son projet de "cookie" global servant à mieux traquer les utilisateurs, il y a peu, Google a finalement admis ne pas respecter la vie privée.
Comme toujours, avant d'intégrer une solution tierce, prenez donc toujours garde aux motivations sous-jacentes de celui qui la propose et aux (possibles) conséquences que cela implique. ;)
:fleche: Et vous, que pensez-vous de ce bouclier ouvrant un trou béant dans votre sécurité?
:fleche: Pensez-vous encore pouvoir tenir les engagements classiques de charte de confidentialité, envers vos utilisateurs, en utilisant ce "service'?