Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

HTTPS : les régies publicitaires de Google renforcent leur offre, et après ?

Papa Google est là, et il va bientôt gronder les garnements
Internet 4 min
HTTPS : les régies publicitaires de Google renforcent leur offre, et après ?
Crédits : Rizvan3d/iStock/Thinkstock

Après avoir forcé la main des éditeurs sur le mobile, Google continue de faire évoluer sa position concernant la migration des sites vers HTTPS. Si rien n'est encore obligatoire, on apprend que les régies publicitaires maison vont un peu plus sauter le pas, en attendant que le reste du secteur se décide de suivre.

L'été dernier, Google annonçait qu'il allait chercher à renforcer l'utilisation du protocole HTTPS au sein des sites web. Pour rappel, cela signifie qu'un site assure le chiffrement de la connexion entre votre machine et ses serveurs via SSL/TLS à travers le protocole HTTP. Une manière d'éviter, en théorie, une interception des données.

L'une des façons de s'assurer l'expansion de cette pratique est de mieux mettre en avant ceux qui jouent le jeu au sein des résultats de recherche. Mais voilà, derrière les grandes annonces, il y a une réalité parfois plus complexe, et c'est le cas lorsque l'on parle de la mise en place du chiffrement des échanges au sein d'une majorité de sites Internet.

Chiffrer tous les échanges : et si l'on chiffrait déjà la phase de connexion ?

Car il y a un constat simple : presque aucun site n'utilise HTTPS hors des actions critiques comme le paiement. Mais ce n'est par exemple quasiment jamais le cas pour des phases où un chiffrement serait aussi nécessaire, comme la connexion de l'utilisateur à son compte. Ainsi, sur de nombreux sites, notamment les sites d'information, lorsque vous tapez votre identifiant et votre mot de passe, il est souvent envoyé en clair au serveur avant d'être traité.

Un point d'autant plus étonnant lorsque ces mêmes médias viennent conseiller à leurs lecteurs les façons de se protéger des fuites de données ou ironisent sur telle ou telle faille et autre défaut de sécurisation (une remarque qui vaut aussi lorsque l'on regarde le nombre de trackers et de cookies imposés par certains).

La publicité et ses acteurs au cœur du problème

Mais ce laxisme a une raison principale : la publicité. En effet, s'il est assez simple et peu coûteux de passer un site en HTTPS (voir cette analyse) afin de chiffrer l'ensemble des données, cela pose un problème majeur : il faut que tous les éléments de la page soient chargés de la sorte. Cela vaut pour les widgets et autres vidéos YouTube, mais cela vaut aussi pour les scripts des régies publicitaires. Et l'on ne peut pas dire que la priorité de celles-ci soit la réactivité face aux nouvelles technologies et autres questions sur la sécurisation des échanges pour l'utilisateur final. Surtout que le chargement d'une publicité fait intervenir de nombreux acteurs qui doivent tous utiliser HTTPS pour que tout se passe sans problème.

Ainsi, la plupart des régies ne propose pas de solutions permettant de charger l'ensemble de ses publicités en HTTPS. De fait, si un site permet à ses lecteurs d'accéder à ses pages de la sorte, les publicités... ne seront pas affichées. Résultat : personne ne saute le pas, et le secteur attend que les choses changent par magie. Le mois dernier, l'IAB évoquait d'ailleurs ce problème dans un billet dans lequel il appelait le secteur à tout mettre en place au plus vite.

Google va renforcer son offre publicitaire « HTTPS Ready »... mais ce n'est que le début

Et que l'on apprécie ou pas la méthode, le coup de pied nécessaire à la transition va sans doute venir une fois de plus de Google. Car après son annonce de l'année dernière, certains avaient remarqué que sa régie publicitaire déconseillait l'utilisation de HTTPS dans les documentations d'Adsense. Il fallait donc que les choses commencent à bouger de ce côté-là, car si les outils de la société permettaient déjà de gérer HTTPS, rien n'était obligatoire. Mais la situation va évoluer, une dernière étape sans doute avant le grand saut.

Ainsi, depuis la fin 2014, toutes les publicités de YouTube sont délivrées de la sorte. D'ici le 30 juin 2015, cela sera aussi le cas de la majorité des campagnes du  Google Display Network, d'AdMob et de DoubleClick. De plus, à compter de cette date, les annonceurs pourront décider de distribuer leurs publicités en HTTPS à l'ensemble de l'inventaire disponible avec chiffrement.

Les choses vont sans doute changer, mais le problème de fond demeure

Reste maintenant à ce que le reste du secteur suive, et à ce que les éditeurs prennent enfin les décisions nécessaires. Tout d'abord en assurant mieux la sécurité des lecteurs dans la phase de connexion à leur compte, mais aussi en proposant à terme des sites dont les échanges sont entièrement chiffrés. Si la position dans les résultats de recherche de Google entre réellement en ligne de compte, cela devrait assez rapidement être le cas, comme on l'a constaté pour les sites mobiles cette année.

Une fois de plus, le géant du web joue donc le rôle d'arbitre des bonnes pratiques au niveau mondial, puisqu'il est le seul à disposer d'un pouvoir nécessaire lorsqu'il s'agit d'imposer ses choix. Mais voilà, cela ne devrait pas fonctionner comme cela. Si les différents acteurs, des éditeurs aux régies en passant par les fournisseurs de services, étaient plus responsables et motivés à faire évoluer les choses dans le bon sens, Google n'aurait pas à prendre cette position de régulateur auto-proclamé. Une position que ces acteurs ne cessent de contester, sans jamais prendre leurs responsabilités.

101 commentaires
Avatar de tazvld Abonné
Avatar de tazvldtazvld- 04/05/15 à 07:48:52

Le HTTPS ne nécessite-t-il pas un "tiers de confiance" pour valider la certificat ? Passer en HTTPS n'est pas "gratuit", il faut un tiers de confiance, pour un site perso, ce n'est pas forcément pertinent, même si on voudrait éviter que les mdp soient passés en clair.

Avatar de zefling Abonné
Avatar de zeflingzefling- 04/05/15 à 07:51:22

Puis c'est ultra chiant à mettre en place... J'avais un truc, mais j'arrive plus à le mettre à jour et j'ai essayé une solution gratuite, mais j'ai pas du tout compris comment la mettre en place.

Avatar de pthc INpactien
Avatar de pthcpthc- 04/05/15 à 07:52:06

StartSSL fait des certificats gratuits (ça doit bien être le seul).
Le certificat est basique : simple domaine, il faut créer un certificat pour chaque domaine ou sous domaine mais au moins c'est gratuit.

Avatar de js2082 INpactien
Avatar de js2082js2082- 04/05/15 à 07:54:49

Et paf!!!
On tombe en plein dans les pratiques anticoncurrentielles et l'abus de position dominante.
 
Comme google est l'un des rares (le seul?) à "sécuriser" ses pubs (sic), les seuls résultats que google mettra en avant seront les sites qui payent pour les services de google et non la concurrence.
Les autres sites voyant une diminution de leurs vues se précipiteront alors sur les services google pour garder leur trafic. Les autres régies de pub verront leurs clients disparaitre pour ensuite disparaitre à leur tour.

Et voici une autre façon de se débarasser de la concurrence en toute illégalité.
 
Et après il y en a qui s'étonnent de ne pas comprendre pourquoi google n'est pas aimé.
:roll:
 

Avatar de nikon56 INpactien
Avatar de nikon56nikon56- 04/05/15 à 08:02:00

ca coute pas non plus des milliards hein:https://www.gandi.net/ssl/grid?lang=fr

meme pour un particulier c'est faisable, le premier pris est a 16$....

Avatar de bloodyliberty Abonné
Avatar de bloodylibertybloodyliberty- 04/05/15 à 08:03:54

d'un autre côté, comme le dit l'article, si tout le monde prenait ses responsabilité, le problème ne se poserait pas.

Avatar de goodwhitegod INpactien
Avatar de goodwhitegodgoodwhitegod- 04/05/15 à 08:06:10

Wouais, vive la pollution ! -_-

Avatar de Freud INpactien
Avatar de FreudFreud- 04/05/15 à 08:10:13

Car il y a un constat simple : presque aucun site n'utilise HTTPS
hors des actions critiques comme le paiement. Mais ce n'est par exemple
quasiment jamais le cas pour des phases où un chiffrement serait aussi
nécessaire, comme la connexion de l'utilisateur à son compte. Ainsi, sur
de nombreux sites, notamment les sites d'information, lorsque vous
tapez votre identifiant et votre mot de passe, il est souvent envoyé en
clair au serveur avant d'être traité.
Un point d'autant plus étonnant lorsque ces mêmes médias viennent
conseiller à leurs lecteurs les façons de se protéger des fuites de
données ou ironisent sur telle ou telle faille et autre défaut de
sécurisation (une remarque qui vaut aussi lorsque l'on regarde le nombre de trackers et de cookies imposés par certains).

C'est effectivement étonnant de lire ceci sur nextinpact, ou l'envoi des identifiants de connexion se fait en clair, (HTTPS n'est activé que si l'utilisateur le tape explicitement dans la barre d'adresse)...

Avatar de David_L Équipe
Avatar de David_LDavid_L- 04/05/15 à 08:11:52

Non, la procédure de connexion passe par le gestionnaire de compte depuis plusieurs mois maintenant. C'était l'une de nos volontés de proposer une procédure HTTPS pour cette phase : https://compte.nextinpact.com

Pour le reste, je l'ai déjà dit, mais on cherche à proposer du Full-HTTPS d'une manière ou d'une autre. Quand on aura quelque chose à annoncer de manière claire en la matière, ce sera fait ;)

Édité par David_L le 04/05/2015 à 08:14
Avatar de zefling Abonné
Avatar de zeflingzefling- 04/05/15 à 08:13:03

Domaine + hébergement + HTTPS. Je ne veux pas dire mais petit à petit l'hébergement commence à coûter cher, même pour un particulier, et puis j'ai l'impression de plus en plus perdre en liberté en étant lié à des services de toutes parts.

Il n'est plus possible de commenter cette actualité.
Page 1 / 11