Alors que les révélations liées à l'affaire Snowden n'en finissent pas, deux acteurs importants du Net viennent d'annoncer que le chiffrement des connexions sera bientôt activé par défaut : Bing et la fondation Wikimedia (qui édite Wikipedia).
Cela fait maintenant près de deux ans que les agissements sur Internet de la NSA , et de certains de ses partenaires, font l'objet d'articles dans la presse. Régulièrement, de nouveaux documents dérobés par Edward Snowden remontent à la surface pour évoquer d'autres aspects de la surveillance de masse menée par les différentes agences de renseignement.
Bing chiffrera par défaut toutes les recherches à partir de cet été
Depuis, les solutions de chiffrement ont le vent en poupe chez les particuliers, mais aussi dans les entreprises, même si certaines sont plus rapides que d'autres. Deux géants du Net viennent justement de faire une annonce importante avec la mise en place du chiffrement par défaut des connexions. Bing ouvrira ainsi le bal à partir de cet été. Pour rappel, il était déjà possible d'utiliser HTTPS sur le moteur de recherche depuis un an et demi environ, mais seulement sur demande de la part de l'utilisateur.
Bing précise néanmoins « qu’avec le chiffrement par défaut des recherches, nous allons continuer de passer par une chaîne de référence de sorte que les équipes marketings et les webmasters puissent identifier le trafic provenant de Bing. Toutefois, et afin de mieux protéger la vie privée de nos utilisateurs, nous n'inclurons pas les termes de la requête utilisés ». Les webmasters qui veulent plus de détails pourront se rendre sur ce billet de blog. Pour rappel, Google fait déjà de même depuis plusieurs années maintenant.
La fondation Wikimedia suit le mouvement pour l'ensemble de ses sites
Quelques jours plus tôt, c'était un autre poids lourd qui faisait une annonce du même acabit : la fondation Wikimedia. Elle indique avoir commencé sa migration vers le protocole HTTPS afin de chiffrer l'ensemble de son trafic, et ce, sur tous ses sites. Afin d'ajouter encore une couche de protection, le HSTS (HTTP Strict Transport Security) sera également de la partie. Pour la fondation, le but est évidemment d'assurer « la sécurité et l'intégrité des données que vous transmettez ».
Comme pour Bing, Wikimedia rappelle qu'il était déjà possible de chiffrer les connexions vers ses serveurs, avec l'extension HTTPS Everywhere de l'EFF par exemple, mais ce protocole n'était pas activé par défaut. « Au cours des dernières années, les préoccupations croissantes concernant la surveillance des gouvernements ont incité les membres de la communauté Wikimedia à faire pression pour obtenir une meilleure protection via HTTPS. Nous sommes d'accord et avons fait de cette transition une priorité pour nos équipes » précise la fondation.
Pour autant, elle explique dans ce long billet de blog que cette opération a été un travail de longue haleine et qu'il a fallu faire des choix, notamment pour pénaliser au minimum certains de ses utilisateurs qui sont sur des réseaux de faible capacité : « nous avons calibré soigneusement notre configuration HTTPS pour minimiser les impacts négatifs liés à la latence, le temps de chargement de page, et l'expérience utilisateur ». La transition devrait être terminée d'ici quelques semaines.
Pour rappel, certaines sociétés n'ont pas attendu 2015 pour mettre en place un chiffrement par défaut, c'est par exemple le cas de Google et de Yahoo pour ne citer qu'elles. D'autres moteurs de recherche surfent allégrement sur le respect de la vie privée comme DuckDuckGo et Qwant, avec une belle progression pour le premier au cours des deux dernières années. En effet, 9to5Mac indique que le PDG de DuckDuckGo, Gabe Weinberg, revendique une hausse de son trafic de pas moins de 600 % sur cette période.
Commentaires (75)
#1
Et laisser le choix, c’est pas possible ?
#2
Alors que les révélations liées à l’affaire Snowden n’en finissent pas
C’est peut être hors sujet mais on parle de quelles révélations ? Celles qui disent que la Russie et la Chine ont réussi à déchiffrer tout ce que Snowden a volé à la NSA, où celle qui disent que dans tout ce que Snowden a piquer il y a beaucoup plus que de simples révélation sur des programmes de surveillance de la population ? :)
Sinon, je vais reprendre le sous titre de Kevin sur l’article de la conf’ de Sony : “C’est pas trop tôt !”
#3
Ca ne provoque aucun désavantage pour l’utilisateur. Donc pas de raison de laisser le choix sur un chiffrement ou non.
#4
Disons qu’en général ça gêne surtout ceux dont l’activité dépend des mots clefs " />
#5
L’article est si long que ça ?!
Pour autant, elle explique dans ce long billet de blog que cette opération a été un travail de longue haleine et qu’il a fallu faire des choix, notamment pour pénaliser au minimum certains de ses utilisateurs qui sont sur des réseaux de faible capacité : « nous avons été calibré soigneusement notre configuration HTTPS pour minimiser les impacts négatifs liés à la latence, le temps de chargement de page, et l’expérience utilisateur ».
#6
et NXI au fait ?
(faut dire je pense jamais à essayer du https sur la plupart des sites que je consulte, sauf lorsqu’il y a un achat possible évidemment)
#7
Déjà dit plusieurs fois mais pas prévu pour des logiques évidentes que l’on a déjà évoqué (notamment la publicité). D’autres solutions sont évoquées, mais rien à annoncer pour le moment. Tout le process de gestion du compte, de l’abonnement et de la connexion passe parhttps://compte.nextinpact.com depuis la v6 " />
#8
Les vraies questions sont :
1) quel intérêt vois-tu à avoir le choix ?
2) Pourquoi priviligierais-tu le HTTP sans TLS à certains moments ?
3) Crois-tu que c’est aux utilisateurs (souvent “ignares” sur les questions de sécurité) à devoir prendre ce choix ?
#9
merci bien " />" />
#10
Et si la NSA avait déjà la capacité de casser en temps réel et en masse les principaux algorithmes de chiffrements (avec des clefs respectant la taille limite légale). Ne serait-ce pas pousser son avantage que de ralentir les autres services secrets ?
[theorieDuComplot]
Snowden : agent double ou marionnette ?
[/theorieDuComplot]
#11
“Pour rappel, certaines sociétés n’ont pas attendu 2015 pour mettre en place un chiffrement par défaut, c’est par exemple le cas de Google, Microsoft et Yahoo pour ne citer qu’elles.”
Bing c’est pas Microsoft ?!
#12
Alors pour la millième fois dans les comms : Il n’y a pas de limite légale à la taille des cléfs. Que ce soit en Europe ou aux USA en tout cas.
Enfin, la Loi pour la confiance dans l’économie numérique du 21 juin 2004 a totalement libéré l’utilisation des moyens de cryptologie : https://fr.wikipedia.org/wiki/Chiffrement#En_France
#13
La sécurité aveugle et sans distinction ne vaut rien.
L’intérêt d’une connexion non chiffrée est déjà dit et redit.
La seule question à se poser pour l’utilisation des connexions chiffrées, c’est : est-ce que je crains que mes données soient interceptées ?
#14
Exactement " />
Par contre, j’aimerais bien que certains sites de commerces se bougent et mettent en place TLS sur leurs sites. Parce que Wikipédia en HTTPS, c’est bien, mais pas indispensable, alors qu’un site de commerce…
#15
la généralisation du HTTPS ce n’est en rien de la sécurité aveugle ! Ca permet simplement de ne pas permettre aux intermédiaires techniques de savoir ce que l’on consulte sur un site particulier. Et sur un site comme Wikipedia, je pense que c’est plutôt indispensable à l’heure du tracking permanent.
Je ne vois aucun avantage pour le particulier aux connexions sans TLS non désolé. Pour les très grosses boites c’est surement un allègmement (léger en réalité vu le très faible cout en ressource de TLS aujourd’hui !) d’une partie de la charge server.
#16
Direct en voyant le titre jme suis dit “A quand NXI ?” Puis jme suis souvenu de la position de NXI sur ce sujet :x Maintenant jvais aller lire un autre article (bah oui on ne va quand même pas lire l’article sur lequel on poste un commentaire) :x
#17
#18
Non non j’ai bien lu. Et oui ça “peut” poser problème pour les petites connexion.
Mais perdre 4 - 5secondes dans l’affichage d’une page ou ne pas être tracker en permanence le choix est vite fait quand même.
Même moi qui suis pas pro sécurisation à tout va des données, je salut ce genre de décision. C’est simple et sans contraintes pour nous.
#19
Ho mais je vais répondre, pas de chance je m’y connais bien en TLS … " />
Il n’y a aucun avantage sur les petites connexions à l’heure où tu l’as dit toi-même, dans les pays occidentaux et “développées”, l’immense majorité des gens ont des machines dotées de puces pour AES (ordis & iphones) et où les machines non-pourves ont des suites de chiffrement très rapides aussi (CHACHA20-POLY1305) sur les smartphones sous Android par exemple.
On faisait du SSL à l’époque du 56K et ça ne posait pas de problème particuliers non plus, au pire ça rajoute quelques secondes pour des connexions anémiques dans les pays en voie de développement.
Pour la consommation des machines, là aussi, tu ne vas pas au bout de ton raisonnement parce que si tu retires les machines dotées de puces dédiées (on doit être dans une grosse majorité des machines accédeant au net aujourd’hui dans les pays développés) et vu que la puce ne consomme quasiment rien à côté du processeur, beaucoup d’études ont montré que TLS était un vrai coût négligeable côté client. En réalité un PC moyen aujourd’hui est capable d’agir en tant que server et de chiffrer plusieurs milliers de connexions TLS par seconde. Par pitié évitons de faire croire que TLS bouffe des tonnes, c’est juste une blague.
#20
#21
Le vrai problème reste le mail où là il est impossible de mettre en place du chiffrement obligatoire sauf à restreindre drastiquement le nombre de serveurs SMTP publics capables de dialoguer sans compter que ça ne garantirait pas pour autant qu’il n’y a pas un open relay en clair dans la chaîne de transmission. Pas de solution, excepté créer un nouveau protocole SMTP…
#22
#23
Compte tenu de la lourdeur des pages et de l’inflation du code javascript, le coût côté serveur et client de TLS est négligeable ; une fois que la session est établie et que la clé a été négociée on est en O(n), mieux vaut avoir n le plus petit possible ce qui n’est pas exactement la tendance.
Après quand on fait le choix réfléchi du tout https on se débrouille pour avoir le matériel et le logiciel qui vont bien avec. Certes c’est dommage pour Mosaic 1.0 ou Netscape Navigator 2.0 mais on a quand même enterré IE 6 aussi " />
#24
david, au sujet du https sur le site, pourquoi avoir priviliéger les suite TLS_RSA_WITH_AES_ au lieu des TLS_ECDHE_RSA_WITH_AES_ qui sont bien + sur ? (clé éphémère contre clé statique) pour le rc4 laisser actif, je suppose que c’est pour raison de compatibilité que vous l’avez laisser par contre (meme si ca doit plus concerner grand monde) https://www.ssllabs.com/ssltest/analyze.html?d=compte.nextinpact.com
#25
#26
#27
IIS ? " />
#28
Tu crois vraiment que les gens attendent d’être sur un site sécurisé pour balancer des infos personnelles?
Regarde ce qu’ils font déjà, ils s’en foutent complètement, et c’est encore pire avec la nouvelle génération (qui utilise à tout va snapchat et consort).
Le réel problème réside dans le fait que des gens ont entre les mains des outils qu’ils ne comprennent pas.
Autant je suis d’accord avec toi sur certain poste du dessus, autant là je ne suis pas ton raisonnement.
Que le site soit en HTTP ou HTTPS, le principal c’est de savoir ce que cela signifie et quand on en a réellement besoin. Donc une bonne remise à niveau est nécessaire auprès de la majorité, ceci AMHA.
#29
C’est exactement ce que je dis…
#30
Donc : « tout va mal, surtout ne changeons rien » ?
#31
Le changement dont il est question ici ne va faire qu’empirer les choses.
changement != progrès
#32
Oui c’est un vrai site (bien utile d’ailleurs). Son cache des résultats pour compte.nextinpact.com devait être vide donc il a relancer le test d’où les rechargement de pages à gogo ;)
#33
#34
#35
Malheureusement oui " />
On est loin d’une généralisation de TLS et de DANE sur le mail.
Sans parler des serveurs SMTP qui ne font pas le ménage (coucou Google) dans les entêtes et laisse les adresses IP des clients et le X-Mailer, histoire que tout le monde sache d’où il envoie son courrier…
#36
Léger HS mais c’est tellement énorme et à propos :
Les Nouveaux Cahiers du Conseil constitutionnel
Avec du vrai troll inside et sur des sujets on va dire d’actualité…
#37
#38
#39
Ce sous titre " />
#40
On sent l’éditeur opportuniste " />
#41
#42
#43
Hello,
“Avec le chiffrement par défaut des recherches, nous allons continuer
de passer par une chaîne de référence de sorte que les équipes
marketings et les webmasters puissent identifier le trafic provenant de
Bing. Toutefois, et afin de mieux protéger la vie privée de nos utilisateurs, nous n’inclurons pas les termes de la requête utilisés”
Je suis pas sûr de comprendre, pas les termes le marketing… se “contentent” du site visité? Et quid des autres info personnelles éventuellement le flux?
Désolé par avance si ma question est bête, alcool, soirée, décalage horaire… " />
#44
#45
Je pense que ce qui est dit c’est que le site cible (où est redirigé l’utilisateur) pourra savoir que le visiteur vient de Bing, mais ne pourra pas savoir quelle recherche cet utilisateur à effectué sur Bing.
#46
pas si tu supposes que l’utilisateur voyant qu’il est en Https se dit : ah mais ça veux dire que je peux exposer ma vie privée sur ce service et que ça restera privé personne au monde ne pourra le lire …
mais je doute qu’il existe des personnes qui pensent comme ça " />
#47
#48
#49
Si tu administres le site en question, tu les auras déjà.
Sinon, je ne vois pas ce qui te pose problème : comme je me connecte de préférence en non chiffré, tu peux facilement les récupérer, mes identifiants… non ?
#50
#51
Mais si tu veux hacker mon compte NXI (par exemple), fais-toi plaisir ! Passe donc du temps là-dessus, et puis une fois que tu auras mes identifiants, tu auras gagné quoi ? Rien. Tu auras juste perdu ton temps.
Et moi je n’aurais qu’à changer de mot de passe ou recréer un compte.
“Et pis, si le site est bien fait, il n’a pas ton mdp.”
L’un n’empêche pas l’autre. L’admin peut décider de ne stocker que des hashs salés, mais en profiter quand même pour récupérer au passage, lors d’une connexion, le MDP d’un participant.
#52
#53
Pourtant ça doit exister, on a bien des fanboys anti-chiffrement.
#54
et surtout, en tout cas, il ne le stocke pas en clair " />
#55
#56
Déjà dit au commentaire #20.
#57
#58
Allons… Il parait que je suis un “fanboy anti-chiffrement”… " />
Mais c’est peut-être vrai : mon application de chiffrement, je ne force même pas les gens à l’utiliser. " />
Et qui est-ce qu’on laisse dans l’ignorance ? Ceux qui ont besoin de confidentialité se renseignent, et en général ils utilisent Tor, surtout si c’est pour faire ses recherches sur un site comme Bing. Les autres n’ont pas besoin de confidentialité, et n’éprouveront qu’un rapide et léger sentiment agréable face à ce coup de com’. Mais c’est néanmoins l’effet recherché, et Microsoft aura donc réussi son coup.
Comme disait l’autre :
Un peuple prêt à sacrifier un peu de liberté pour un peu de sécurité ne mérite ni l’une ni l’autre, et finit par perdre les deux.
#59
#60
#61
#62
On ne te force pas à l’utiliser, wikimedia et Microsoft ont décidé de l’utiliser exclusivement, pour des raisons qui les regardent, et c’est leur liberté à eux. De même qu’ils utilisent du html 4 (ou 5), et que peut-être ça gêne ceux sur IE4/5.
#63
#64
Tu veux que bing te demande ton avis ? " />
parce que tu veux pas perdre les 500ms que prend le handshake à la première connexion ? " />
ou c’est juste que tu veux mieux vendre ton appli de chiffrement " />
A la limite que tu geules sur Google qui veux rajouter le critere “chiffrement HTTPS” dans son algo, je peux comprendre … mais là … je comprend pas bien " />
#65
#66
Non, le sujet est de le rendre “par défaut”, pas “l’imposer”.
Et je me permet de te demander encore une fois quelle “liberté fondamentale” Microsoft te “retire” en l’imposant … Si tant est qu’un entreprise commerciale est chargée de “protéger” cette liberté fondamentale chez toi, bien entendu " />
#67
Je rappel que ce que disait “l’autre” c’est :
They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety.
Essential étant quand même un mot que tu sembles omettre …
#68
#69
Ptits joueurs chez NXI " />
#70
(je bosse pas chez NXI, au passage " />)
#71
Ca y est, les rats quittent le navire " />
#72
#73
#74
(mais j’ai jamais bossé chez NXI moi je suis juste modo " />)
#75
Pas le temps de faire dans la dentelle mon bon Môssieur, je racle avec du filet mailles très larges " />