Après avoir forcé la main des éditeurs sur le mobile, Google continue de faire évoluer sa position concernant la migration des sites vers HTTPS. Si rien n'est encore obligatoire, on apprend que les régies publicitaires maison vont un peu plus sauter le pas, en attendant que le reste du secteur se décide de suivre.
L'été dernier, Google annonçait qu'il allait chercher à renforcer l'utilisation du protocole HTTPS au sein des sites web. Pour rappel, cela signifie qu'un site assure le chiffrement de la connexion entre votre machine et ses serveurs via SSL/TLS à travers le protocole HTTP. Une manière d'éviter, en théorie, une interception des données.
L'une des façons de s'assurer l'expansion de cette pratique est de mieux mettre en avant ceux qui jouent le jeu au sein des résultats de recherche. Mais voilà, derrière les grandes annonces, il y a une réalité parfois plus complexe, et c'est le cas lorsque l'on parle de la mise en place du chiffrement des échanges au sein d'une majorité de sites Internet.
Chiffrer tous les échanges : et si l'on chiffrait déjà la phase de connexion ?
Car il y a un constat simple : presque aucun site n'utilise HTTPS hors des actions critiques comme le paiement. Mais ce n'est par exemple quasiment jamais le cas pour des phases où un chiffrement serait aussi nécessaire, comme la connexion de l'utilisateur à son compte. Ainsi, sur de nombreux sites, notamment les sites d'information, lorsque vous tapez votre identifiant et votre mot de passe, il est souvent envoyé en clair au serveur avant d'être traité.
Un point d'autant plus étonnant lorsque ces mêmes médias viennent conseiller à leurs lecteurs les façons de se protéger des fuites de données ou ironisent sur telle ou telle faille et autre défaut de sécurisation (une remarque qui vaut aussi lorsque l'on regarde le nombre de trackers et de cookies imposés par certains).
La publicité et ses acteurs au cœur du problème
Mais ce laxisme a une raison principale : la publicité. En effet, s'il est assez simple et peu coûteux de passer un site en HTTPS (voir cette analyse) afin de chiffrer l'ensemble des données, cela pose un problème majeur : il faut que tous les éléments de la page soient chargés de la sorte. Cela vaut pour les widgets et autres vidéos YouTube, mais cela vaut aussi pour les scripts des régies publicitaires. Et l'on ne peut pas dire que la priorité de celles-ci soit la réactivité face aux nouvelles technologies et autres questions sur la sécurisation des échanges pour l'utilisateur final. Surtout que le chargement d'une publicité fait intervenir de nombreux acteurs qui doivent tous utiliser HTTPS pour que tout se passe sans problème.
Ainsi, la plupart des régies ne propose pas de solutions permettant de charger l'ensemble de ses publicités en HTTPS. De fait, si un site permet à ses lecteurs d'accéder à ses pages de la sorte, les publicités... ne seront pas affichées. Résultat : personne ne saute le pas, et le secteur attend que les choses changent par magie. Le mois dernier, l'IAB évoquait d'ailleurs ce problème dans un billet dans lequel il appelait le secteur à tout mettre en place au plus vite.
Google va renforcer son offre publicitaire « HTTPS Ready »... mais ce n'est que le début
Et que l'on apprécie ou pas la méthode, le coup de pied nécessaire à la transition va sans doute venir une fois de plus de Google. Car après son annonce de l'année dernière, certains avaient remarqué que sa régie publicitaire déconseillait l'utilisation de HTTPS dans les documentations d'Adsense. Il fallait donc que les choses commencent à bouger de ce côté-là, car si les outils de la société permettaient déjà de gérer HTTPS, rien n'était obligatoire. Mais la situation va évoluer, une dernière étape sans doute avant le grand saut.
Ainsi, depuis la fin 2014, toutes les publicités de YouTube sont délivrées de la sorte. D'ici le 30 juin 2015, cela sera aussi le cas de la majorité des campagnes du Google Display Network, d'AdMob et de DoubleClick. De plus, à compter de cette date, les annonceurs pourront décider de distribuer leurs publicités en HTTPS à l'ensemble de l'inventaire disponible avec chiffrement.
Les choses vont sans doute changer, mais le problème de fond demeure
Reste maintenant à ce que le reste du secteur suive, et à ce que les éditeurs prennent enfin les décisions nécessaires. Tout d'abord en assurant mieux la sécurité des lecteurs dans la phase de connexion à leur compte, mais aussi en proposant à terme des sites dont les échanges sont entièrement chiffrés. Si la position dans les résultats de recherche de Google entre réellement en ligne de compte, cela devrait assez rapidement être le cas, comme on l'a constaté pour les sites mobiles cette année.
Une fois de plus, le géant du web joue donc le rôle d'arbitre des bonnes pratiques au niveau mondial, puisqu'il est le seul à disposer d'un pouvoir nécessaire lorsqu'il s'agit d'imposer ses choix. Mais voilà, cela ne devrait pas fonctionner comme cela. Si les différents acteurs, des éditeurs aux régies en passant par les fournisseurs de services, étaient plus responsables et motivés à faire évoluer les choses dans le bon sens, Google n'aurait pas à prendre cette position de régulateur auto-proclamé. Une position que ces acteurs ne cessent de contester, sans jamais prendre leurs responsabilités.
