Gmail désormais crypté par défaut

le 24/10/2011, par Jean Elyan avec IDG News Service, Sécurité, 600 mots

Google a étendu le cryptage sécurisé SSL pour le trafic de recherche à tous les utilisateurs Gmail. La vraie nouveauté, c'est que le cryptage est actif par défaut, puisque, depuis le mois de mai de l'an dernier, les utilisateurs avaient déjà le choix d'activer manuellement le cryptage pour leur recherche.

Gmail désormais crypté par défaut

Dans les semaines à venir, les utilisateurs accédant au site de recherche Google via Gmail bénéficieront de requêtes de recherche et de pages de résultats chiffrées (HTTPS), ce qui les mettra à l'abri des regards indiscrets, même s'ils utilisent des canaux non sécurisés. « Cette fonction a toute son importance, particulièrement lors de connexions Internet non sécurisées, comme c'est le cas avec les hotspots WiFi accessibles dans les cybercafés par exemple », a déclaré Google, qui a annoncé cette mise à jour de manière très brève sur un blog officiel. Google ne le mentionne pas, mais l'utilisation du SSL permettra également de cacher les recherches aux FAI.

À ce jour, peu d'utilisateurs ont entendu parler de l'option de recherche SSL activable manuellement, et n'ont sans doute pas non plus encore pris en compte tous les risques de sécurité pouvant survenir dans les recherches effectuées sur la Toile à partir d'un terminal mobile. Désormais, s'ils utilisent Gmail et s'ils sont connectés avec leurs identifiants, les utilisateurs profiteront de cette nouvelle couche de sécurité quand ils effectuent leurs recherches. Cette petite mise à niveau aura probablement un impact plus significatif pour les webmasters, puisqu'ils recevront moins de données à partir des requêtes effectuées en mode de recherche crypté qu'en mode non-SSL. Quant à ceux qui craignent de perdre une certaine visibilité sur les centres d'intérêt des utilisateurs, Google les invite à utiliser son système Webmaster Tools qui permet de voir les 1 000 premières requêtes de recherche effectuées sur un site donné.

Mise à niveau des équipements

Le SSL a mis du temps à se généraliser. Introduit sur Gmail en option depuis juillet 2008, le cryptage a finalement été proposé en activation manuelle par défaut depuis janvier 2010 en passant par le site https://encrypted.google.com. Twitter a commencé à utiliser le SSL par défaut il y a quelques semaines seulement (et il semble que le processus ne soit pas achevé pour tout le monde). Quant à Facebook, le réseau social l'a offert en option, à ceux qui sont soucieux de la sécurité, plus tôt cette année. Alors, si le SSL est aussi utile pour la sécurité des données échangées, pourquoi ne pas l'activer simplement par défaut pour tous et au même moment ? Le SSL ajoute une surcharge en ouvrant un tunnel entre le serveur et l'utilisateur, qui risque aussi d'ajouter du temps de latence pour l'utilisateur. Google, Twitter et Facebook seront un jour tout-SSL par défaut, mais ils ont besoin de temps pour mettre leurs infrastructures au niveau des exigences requises. Autre question : les utilisateurs en ont-ils réellement besoin, et leurs recherches banales sont-elles si importantes qu'elles doivent être effectuées dans la plus grande confidentialité ?

Firesheep est probablement un bon exemple pou montrer à ceux qui en doutent, à quel point il est facile de voir les résultats de recherche de son voisin, connecté en mode non sécurisé. Ce simple outil, sous forme d'extension à ajouter au navigateur Internet, permet d'intercepter le trafic envoyé par un utilisateur sur un réseau WiFi non crypté. C'est ce qui était arrivé à l'acteur Ashton Kutcher, qui avait découvert à ses dépens que l'interception avait permis à des hackers d'usurper son identité sur Twitter après avoir sniffé ses données de connexion conservées dans un cookie. L'événement avait été en partie à l'origine de  la conversion soudaine de Twitter au SSL.

Cisco alerte sur des failles dans IOS XE

Cisco a émis une alerte concernant une vulnérabilité critique au niveau de l'interface utilisateur web de son système d'exploitation d'interconnexion réseau IOS XE. Aucun patch n'est pour l'instant disponible...

le 17/10/2023, par Dominique Filippone, 506 mots

Emergency Responder et d'autres produits de Cisco vulnérables

Les dernières vulnérabilités corrigées par Cisco pourraient donner aux attaquants un accès root, permettre un déni de service ou une escalade des privilèges. En fin de semaine dernière, Cisco a corrigé des...

le 10/10/2023, par Lucian Constantin, IDG NS (adaptation Jean Elyan), 593 mots

IBM lance un service de connectivité multicloud basé sur le DNS

Le service NS1 Connect proposé par IBM peut prendre des décisions dynamiques sur l'endroit où envoyer des requêtes Internet pour assurer les meilleures connexions dans des environnements réseau complexes et...

le 27/09/2023, par Michael Cooney, IDG NS (adapté par Jean Elyan), 989 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...