Accueil > Articles> > HTTPS : de quoi se mêle Google ?

Article publié le dimanche 18 novembre 2018 mis à jour le dimanche 19 janvier 2020

GAFAM

HTTPS : de quoi se mêle Google ?

Poussière de données personnelles, odeur de référencement et cynisme dialectique.

Depuis plusieurs mois, il est fréquent de lire des articles de blogs quant à la nécessité de passer son site Web du protocole HTTP au protocole sécurisé HTTPS. Les pires prédictions annoncent que Google pénaliserait les sites encore en HTTP. Comme il l’aurait fait avec les sites non adaptatifs, ou « responsive design ». Un point sur la question.

Nombreux sont les blogs qui alertent, en toute bonne volonté ou avec malignité, que les sites non sécurisés ne seront plus accessibles par Chrome®, voire peut-être pénalisés dans leur positionnement des résultats de recherche. Cela semble très généreux de la part des référenceurs (SEO) et blogueurs de nous alerter sur cette question anxiogène.

Mais il me semble qu’il n’y ait pas beaucoup de profondeur dans ces discours de mise en garde. Si l’on se pose quelques minutes et que l’on réfléchit un peu sur le sujet, des questions gênantes pointent le bout de leurs points d’interrogation.

Pour quoi Google veut-il que tous les webmestres passent leurs sites en HTTPS ? A qui profite le passage ? Aux internautes ? Aux Webmestres ? Non, à Google, bien entendu.

Google, le gendarme du Web

Google use et abuse d’une duplicité toute shakespearienne dans sa communication, pardon, propagande. Nous le savons, nous qui écoutons religieusement Matt CUTTS, mais l’hypnose est trop puissante ; 3 petites vidéos et notre esprit critique s’évapore. Google se voudrait-il le gendarme du Web, face aux fripons, fripouilles et flibustiers du cyberespace ? Ah oui, ma bonne dame, ils vont voir les méchants comment SuperGoogle va les mater. Monsieur Propre du Web 4.0 arrive, chapeau bas les chapeaux noirs, vos projets seront contrecarrés et vos sites anéantis.

Certificat gratuit, une manne pour les pirates

Devant les faits réel d’hameçonnage (phishing) de plus en plus réalistes et les réussites spectaculaires des intrusions par rançongiciel (ransomware), la rumeur sur la nécessité de passer le moindre site en HTTPS est devenue impossible à combattre.

L’achat d’un certificat SSL pour passer son site en HTTPS produisant un coût léger mais supplémentaire à l’entretien du site, une initiative internationale, pardon étasunienne, a donné naissance au certificat gratuit "Let’s Encrypt".

Les certificats de l’association à but non lucratif Let’s Encrypt constituent une alternative gratuite et facile à installer comparée aux certificats classiques payants. Pendant la conversion du site Web en HTTPS, il faut désormais également nécessaire de choisir entre un SSL/TLS gratuit.

Combien choisiront la solution gratuite ?

Presque tout le monde peut désormais, selon la politique de son hébergeur disposer d’un certificat gratuit pour son site. Ce qui signifie en creux que même les pirates qui veulent réellement détourner des fonds ou des données peuvent sans trop débourser obtenir le visa d’honnêteté du HTTPS et faire une copie de pages web au nom proche de l’originale.

Le paradoxe dans lequel nous tombons est que des sites malfaisants peuvent afficher un certificat valide alors que beaucoup de sites inoffensifs sont déclarés dangereux par les navigateurs.

Je ne suis pas tout à fait certain que les hackers qui jouent avec le HTTPS depuis des décades soient réellement effrayés par la démarche de Google.

Redevenons sérieux. Pour qui se prend réellement Alphabet, la maison mère de Google ? Son moteur de recherche n’est jamais qu’un guichetier -certes enrichi par la réclame [1]- qui nous oriente vers les ressources que nous recherchons. Personne ne lui demande de sécuriser le Web, de le verrouiller, de le contrôler, alors qu’il est est né pour être ouvert, accessible, simple, et donc vulnérable, mais libre. Je comprends l’amertume et la colère de Tim BERNERS-LES face à l’évolution du Web.

https://www.ictjournal.ch/news/2018-10-01/comment-tim-berners-lee-veut-r...

Google gère vos recherche, vos documents, votre messagerie, vos données personnelles, et désormais vous offre la protection HTTPS et gère votre sécurité. Il faut un certain aplomb aux dirigeants de Google, pour ne pas dire cynisme, pour tonitruer qu’ils vont protéger les données personnelles des internautes et leur offrir une « expérience utilisateur » de qualité.

Je ne m’étendrai pas sur cette ineptie intellectuelle d’« expérience utilisateur » qui relève de la cuistrerie, mais je rappellerai que, en ce qui concerne nos données personnelles, nous sommes bien servis : Google traque vos recherches, scanne vos courriels pour vous envoyer des réclames ciblées, impose que vos sites soient lisibles sur téléphone, et aujourd’hui que vous décliniez votre identité avant de créer un site, tandis que lui use de montages fiscaux pour ne payer qu’un montant dérisoire d’impôts. Autoritarisme, intrusion, censure et impudeur.

Je me souviens d’une annonce de Google qui nous prévenait que le bug qui connectait le navigateur Chrome automatiquement à nos compte Google. Mais ce n’était pas un bug, juste un lapsus, un acte manqué qui trahit la volonté des décideurs et des ingénieurs de la firme de capter nos données personnelles !

Comment, vous vouliez naviguer incognito sur le Web ? Mais vous n’y songez pas ! Identifiez-vous, confiez-nous vos données personnelles et laissez-nous enregistrer vos parcours électroniques.

Google Chrome, le mouchard

Chrome, le navigateur de Google utilisé par la moitié des internautes du monde en 2018, est sans doute le plus dangereux pour les données personnelles et leur sécurité ! Envoyez un courriel à un abonné gmail au sujet de votre prochain voyage en Argentine, et vous verrez rapidement dans votre Chrome une réclame pour un vol Paris-Buenos-Aires ! Il fourmille d’espions qui renseigne Google sur nos pratiques numériques. Alors pour nous parler de sécurité et de confidentialité, il faut un cynisme de plusieurs milliards de dollars. Ca tombe bien, c’est dans les moyens d’Alphabet.

S’ils voulait nous protéger, ils interdiraient par exemple que Chrome puisse enregistrer un mot de passe pour nous faire gagner du temps, mais en créant une vraie faille de sécurité. Avez-vous déjà vu un distributeur de billets qui vous propose d’enregistrer votre code secret de carte bancaire et le numéro de sécurité ? Ils proposerait de soutenir la campagne #ForTheWeb de Tim Berners-Lee.

Vous me direz que, comparé à FaceBook, dans l’exploitation scandaleuse de nos données personnelles, Google n’est qu’un débutant. Oui. Mais quand même, il va devenir grand.

Mais ce n’est pas tout. Non seulement il va falloir passer au HTTPS, mais pas n’importe lequel ; celui avec de vrais morceaux de sécurité dedans, et qui ont la chance, non, le privilège d’être estampillés « recevables » par Google. Adieu les solutions Symantec, VeriSign, Equifax ou encore GeoTrust jugées invalides ! Voilà Google désormais agence ISO de normalisation en sécurité informatique. C’est un cauchemar. Pincez-moi que je me réveille.

Vous me direz, oui, mais bon, avec le passage obligatoire au HTTPS, une tripotée de rufiants de bas niveau vont se retrouver le bec dans l’eau. Certes. Mais si HTTPS devient « obligatoire », les gredins de la Toile seront simplement obligés de s’acheter ou de se bricoler des certificats pour montrer patte blanche. C’est tout. Et quant tout le monde sera en HTTPS, y compris les escrocs, comment fera-t-on la différence entre sites honnêtes et site voyous ? Ne parlons même pas des vrais hackers qui connaissent HTTPS depuis… l’an 2000 !

HTTPS, le sauveur du Web

D’un point de vue technique, informatique, HTTPS est presque aussi vieux et obsolète que HTTP. Le protocole HTTP a été inventé pour être ouvert et non sécurisé et open-source, et c’est pour cela que le Web s’est développé aussi rapidement. HTTPS est née dans la foulée dès que les sites commerciaux ont été obligés de crypter les échanges de numéros de CB. Mais se pourrait-il, et que se passerait-il, si un site HTTPS était infecté d’un logiciel malveillant (malware) comme un site HTTP ? Ne distribuerait-il pas son logiciel malveillant à tout visiteur aussi naïf que rassuré par l’étiquette « site sécurisé » ?

Alors pourquoi le HTTPS fait-il sortir Google de son rôle de guichetier de l’information ? Google a peur de la baisse de trafic sur son moteur s’il donnait en réponses trop de résultats de site frauduleux ou mauvais, non pas parce qu’il veut offrir « la meilleure expérience Web » (sic) aux internautes, mais parce qu’il ne veut pas que ses clients, pourtant bien captifs, n’utilisent un autre moteur. Ses admirables discours altruistes dissimulent mal des motivations de véreux courtier en bourse.

Pousser le HTTPS sera peut-être dénoncé aux USA comme une pratique monopolistique déloyale, comme Micorosoft avait été condamné à séparer l’activité de développement de son système d’exploitation Windows® de celui de son navigateur Internet Explorer®. Mais pour le moment, silence radio total face au chantage grossier de Google.

Et nos craintes de voir nos sites HTTP bannis des pages de résultats ? Tous les référenceurs honnêtes expliquent que HTTPS n’améliore pas le référencement. Rester en HTTP ne rend pas invisible sur Google.

Mais si Google Chrome affiche malignement dans la barre d’adresse qu’un site n’est pas sécurisé, il va alimenter la tendance paranoïde des internautes n’y comprenant rien et les amener à se méfier de sites tout à fait acceptables, bien que « non sécurisés ». Ce qui est parfaitement normal : 95% des sites n’ont ABSOLUMENT pas besoin de HTTPS, qui ne sert que pour les banques et boutiques en ligne, au moment où l’on paye. Lorsque vous lisez un article du Monde ou du Figaro, il n’y a aucune raison que les pages soient cryptées en HTTPS, il est même crétin de le faire : le site perd du temps à crypter une page d’info publique, et votre navigateur à la décrypter !

Les autres navigateurs, Microsoft Edge, Mozilla Firefox et Safari -Opera semble résister- n’ont qu’à emboîter le pas de Chrome pour ne pas perdre d’utilisateurs et Google aura gagné la partie au bluff.

Des millions de blogs sur le Web n’ont pas besoin d’un certificat pour être écrits et lus ! C’est même une démarche qui va à l’encontre de la liberté éditoriale, car les bloggers qui rédigent gratuitement devraient désormais payer un certificat annuel pour exister ! Que dire des sites d’écoles de village, d’association et de tous les sites à but non lucratif mais informatif ? Oh, me direz-vous, ils comptent pour si peu…

Mais il y a une bonne chose dans tout cela : des opportunités d’affaires pour les petits malins du Web et les gros margoulins du cyberespace, qui vont devenir des vendeurs de SSL et nous vendront des certificats « pas cher » : déjà plus d’un million de réponses avec la requête « certificats HTTPS pas cher ». Au moins Google aura contribué à développer un nouveau métier. Les certificats gratuits sont-il déjà sur le marché ? Oui, il y en a. Attendons maintenant celui qui va nous payer pour utiliser le sien ;-)

Vous n’avez PAS besoin de HTTPS sur votre site, hormis sur les formulaires d’identification et le tunnel de vente qui est hébergé par la banque au moment du paiement, et qui lui est déjà et a TOUJOURS été HTTPS.

Pas de conclusion hâtive

Ne vous méprenez pas. Je n’écris pas que sécuriser le Web soit une mauvaise idée, j’écris que ce n’est pas le rôle de notre moteur de recherche préféré. La séparation des pouvoir est la base de tout système démocratique. Mais Google veut les concentrer : pouvoir du monopole de la recherche, pouvoir d’usage de nos données personnelles, pouvoir de contrainte sur les webmestre et les référenceurs, pourvoir d’influence et d’autres encore. Google est un outil fantastique. Il n’est pas neutre et n’a pas toujours raison, et ici il est carrément dans son tort. Il se comporte en soudard brutal et cynique. Si une levée de bouclier avait lieu, il n’hésiterait pas à faire marche arrière.

En tant que conseil en système d’information et architecte internet, je me retrouve dans une position délicate : s’il y a vraiment un danger à ne pas passer un site en HTTPS, alors je me dois de prévenir mes clients et de facturer ce passage. Ce passage peut avoir de petites répercussions négatives : perte du positionnement dans les SERP de Google suite au changement de toutes les URL, ralentissement du site et tracas informatiques. Pour moi, ce sera quelques honoraires de plus.

Mais puis-je refuser d’hurler avec les loups et dire : « attendons voir un peu si vos utilisateurs quittent votre site parce que les navigateurs le dénoncent comme non sécurisé » ?

Franchira-je le Rubicon du HTTPS, à commencer par mon propre site [2]

L’avenir nous le dira.


[1Oui, j’aime utilisé ce terme suavement désuet de « réclame », à l’heure où l’on se gausse de parler de « publicité », ou mieux de « pub ». Le terme « réclame » à le grand avantage de nous ramener à la réalité sans fard : les anonceurs ne font que RÉCLAMER, parfois avec humour, souvent un peu vulgairement, notre attention et surtout notre argent, en échange de l’illusion d’une vie meilleure. Ils réclament, point. Et réclamer, ce n’est pas beau, me répétait ma mère-grand...

[2Attention, ce site ne sera pas sécurisé demain matin. Je ne pense pas que vous y attrapiez de malware, mais si vous craignez de capter de mauvaises pensées, fuyez vite. ?


Écrire à l'auteur

Moteur de recherche

  

Mot-clef de l'article


Autres Articles

 

Contact

Ce site est mis à disposition sous un contrat Creative Commons : http://creativecommons.org

Plan du site | Se connecter