Le 21 mai 2010

Google en HTTPS : une fausse bonne idée


Google en HTTPS : une fausse bonne idée

En rendant possible la recherche web par un protocole sécurisé, Google répond-il à un vrai besoin de ses utilisateurs ?

La semaine dernière, suite au « scandale » (sic) des données wifi récupérées par Google Street View, le vice-président de Google Alan Eustace promettait l’arrivée d’une version sécurisée du moteur de recherches. Chose promise, chose due : l’annonce officielle de SSL Search a été faite ce soir.

Le logo de Google SSL Search

Cette recherche sécurisée se base sur le protocole HTTPS, c’est à dire l’indispensable HTTP et la couche de cryptage TLS (ex-SSL). Pour les néophytes, sachez que vous pouvez généralement savoir si vous naviguez sur un site sécurisé grâce au cadenas qui apparait dans la barre d’adresses. Vous pourrez y accéder d’ici peu à l’adresse https://www.google.com.

Une recherche sécurisée, certes, mais sécurisée contre qui ? Principalement contre vos voisins, ou toute personne malintentionnée qui souhaiterait espionner vos activités sur Internet. Néanmoins, il est important de savoir que malgré ce cryptage Google continuera d’enregistrer vos requêtes, qui pourront être fournies à la Justice si besoin est.

Par ailleurs, cette nouveauté va causer beaucoup de fil à retordre aux webmasters et analystes du monde entier. En effet, les sites en « https » (comme Gmail par exemple) ne transmettent pas de referer lorsque l’on clique sur un lien. Étant donné que les pages de résultats seront elles aussi sécurisées, les XiTi et autres Google Analytics ne pourront plus lister les requêtes utilisées par les internautes pour arriver sur votre site. Dans le même esprit, si la version sécurisée est adoptée en masse, on devrait voir une chute des parts de Google dans le marché des moteurs de recherches – du point de vue des statistiques récoltées par les sites tout du moins.

Autre conséquence, pour les internautes cette fois, c’est le chargement des pages qui sera légèrement plus long, du fait de toutes les opérations de (dé)cryptage dont votre ordinateur et les serveurs Google auront la charge. Les ingénieurs californiens en ont bien conscience et c’est pour cette raison que Google SSL Search n’est pas activé par défaut, contrairement à la version sécurisée de Gmail. De plus, seule la « recherche web » est concernée, pas Google Images et les autres produits de la firme.

Pour conclure, on peut affirmer que ce produit a été créé pour rassurer les plus méfiants d’entre-vous, et si vous avez un tant soit peu confiance en votre réseau (ou si vous n’avez rien à vous reprocher légalement) vous ne devriez pas en avoir besoin.

Publié le 21 mai 2010 à 23:29 par dans Nouveau produit

Labels : , , ,

14 commentaires

  1. aztazt a dit :

    Effectivement, je n’avais pas pensé au problème du referer.
    Merci pour cette analyse !

  2. Louis a dit :

    Je n’avais pas vu du tout l’aspect referer, mais je me suis demandé si c’était pas un argument de plus pour isoler IE4/5/6 au sein des entreprises, en disant que elles ne pourraient plus utiliser Google à moins de mettre à jour leur browser… (mais c’est certainement une mauvaise raison vu que IE6 doit gérer correctement le HTTPS…)

  3. Romain a dit :

    Tout à fait d’accord avec cette analyse. Il n’y a que la conclusion qui me gêne en et particulier « pour les plus méfiants d’entre vous ».

    Sur un WiFi public le https peut en effet mettre le bec dans l’eau à Wireshark.
    Mais ce type de méfiance est généralement à réserver aux (plus ou moins vrais) geeks.

    La méfiance d’aujourd’hui envers Google, c’est basiquement ce qu’on leur transmet lors d’une recherche.
    Cette histoire de SSL peut induire l’utilisateur lambda en erreur puisqu’on fournit toujours autant d’info à Google comme tu le dis.

    « Pour les plus méfiants » d’entre nous donc, aurait été de proposer un dashboard plus complet et facile d’utilisation et/ou une recherche anonyme.
    Google ne le faisant évidemment pas, j’avoue que j’aurais bien aimé voir quelques liens vers scroogle.org ou ixquick.com

    Je ne peux m’empêcher de noter la coïncidence entre le méga fail de street view et l’arrivée de ce SSL-écran-de-fumée…suis-je trop parano ?

  4. Bibis a dit :

    Pour ma part, je suis plutôt satisfait des mouvements qui vont vers un peu plus de sécurité des données surtout, comme rappelé par Romain, avec l’utilisation de plus en plus fréquente d’HotSpot publics… Une version pour mobile de prévue ?
    Sinon, d’un simple point de vue utilisateur, le problème est surtout qu’on a pas accès à la version locale de Google même si l’on peut préciser de chercher sur le web francophone et avoir un interface en français avec la balise hl=fr.
    Et c’est pour alléger le temps de réponse que l’interface est relativement plus légère (pas d’icônes dans la barre d’outils à gauche en particulier) ?

  5. Gaston a dit :

    Romain, le « Je ne peux m’empêcher de noter la coïncidence entre le méga fail de street view et l’arrivée de ce SSL-écran-de-fumée… » c’est exactement ce que note Tom au tout début de l’article !

    Et Bibis, sache que moi j’ai les icônes sur la version https. Toi tu as juste eu accès à un test de Google (un autre blog en a parlé il y a quelques heures), rien de plus.

  6. Rom's a dit :

    En l’occurrence, il y a un écart je pense entre les intentions de Google, et ce que vous décrivez tous ici.

    Dans le cadre d’une grande entreprise, pour laquelle chacun de ses projets a un enjeu économique très important, il est nécessaire de s’assurer qu’aucune information ne « transpire » de l’entreprise sur les projets en cours.

    Souvenez-vous, d’aucuns ici se disent « c’est fou, si quelqu’un regarde toutes mes requêtes google, il sait tout de ma vie » (sisi, regardez votre historique de recherche !). Eh bien au niveau d’une entreprise, c’est pareil. Si vous regardez les requêtes qui passent, vous allez avoir une idée de ce qui se trame. Et snifer un réseau, c’est pas très compliqué (wifi mal sécurisé, trojan, espion humain, connexion sur la tête de ligne FT,…)

    Seule possibilité avec une encryption SSL, décryptage SSL (faut en vouloir), ou plus sûrement l’attaque par l' »homme du milieu » http://fr.wikipedia.org/wiki/Attaque_de_l'homme_du_milieu, ce n’est pas rien, mais ça réduit quand même de beaucoup les risques.

    Donc pour moi, cela va un peu plus loin que le « mince, Google va quand même tout savoir de ma vie ». Note à ce propos : si vous désactivez l’enregistrement de l’historique, l’historique est décorellé de votre personne (compte Google). Pour le reste, votre historique est tout de même conservé 9 mois (je crois) après quoi, on ne pourra plus même remonter à votre IP.

  7. wahou a dit :

    Sur gmail au début c’était facultatif aussi le https, puis c’est devenu obligatoire.
    Est ce que ce ne serait pas une tentative d’imposer plus encore google analytics ?

  8. Fabien a dit :

    En ce qui concerne le positionnement des sites web, le grand gourou Google a déclaré récemment qu’il privilégiera les sites qui se charge rapidement, mais d’un autre coté, le https va plomber ce temps de chargement. Cherchez l’erreur…
    Encore un coup marketing en gros quoi…

  9. TOMHTML a dit :

    Comme wahou, je pense aussi qu’à terme c’est un moyen de privilégier Google Analytics. Ou alors juste Google Webmaster Tool qui a des stats de plus en plus fournies…

  10. Rom's a dit :

    Je pense que Google Analytics n’a pas d’informations autres que celles fournies par le tag JS. le https sert effectivement en partie à ça. Si Google met d’un côté en place le https qui sert à ce qu’aucune information ne transpire et de l’autre donne l’information, ce serait antinomique ; Google ne le fera pas.

  11. @Rom’s: tout à fait d’accord avec votre commentaire. Je rajouterai qu’un groupe de travail dénommé « Article 29 » vient de demander aux grands moteurs de recherche, dont Google, de revoir leur non conformité avec les règles européennes. Notamment l’une des demandes envers Google est de ramener la conservation des logs à 6 mois.

  12. […] est supérieure ou égale à 800×600 pixels. Ce n’est pas encore disponible sur la version https de Google. Par ailleurs, les images très claires sont à éviter puisque dans ce cas on ne voit pratiquement […]

    Backlink
  13. […] la résolution est supérieure ou égale à 800×600 pixels. Ce n’est pas encore disponible sur la version https de Google. Par ailleurs, les images très claires sont à éviter puisque dans ce cas on ne voit pratiquement […]

    Backlink
  14. Je trouve le HTTPS une bonne chose globalement. Non seulement ça peut nous protéger contre les oreilles indiscrètes mais aussi des proxys.

    Après si google sait ce que nous faisons, bah, ça ne change pas du HTTP normal.

    Après rien ne vous empêche d’utiliser Google, si vous préférer Bing, libre à vous, libre à moi, libre à tous…