Vivre entre les lignesNotesObservations

Recherche Google cryptée sous SSL : mesure effective ou symbolique?

ObservationsGoogle a récemment annoncé qu’il offre dorénavant la possibilité d’effectuer une recherche de documents de manière confidentielle grâce au protocole de sécurisation par cryptage des échanges sur Internet Secure Sockets Layer (SSL). Concrètement, cela veut dire que, entre votre ordinateur et les serveurs de Google, personne ne pourra lire en clair, ni les requêtes, ni les résultats de recherche (un peu comme sont protégées les transactions financières effectuées sous SSL).

Pour bénéficier de ce nouveau service offert en mode « bêta », il faut se rendre sur https://www.google.com. Votre fureteur devrait alors signaler que la communication est sécurisée (par exemple, par l’affichage d’un cadenas). Les sites localisés de Google (comme google.fr ou google.ca) n’offrent pas cette sécurisation qui n’est pas disponible non plus pour les recherches d’images et de vidéos.

SSL Google Search

Pour sûr, il s’agit d’un geste symbolique important de la part du géant du web. Il a été applaudi par le Center for Democracy & Technology comme comme une incarnation éclatante du concept de confidentialité par design (Privacy by Design).

Pour sûr, le fait qu’un acteur aussi important que Google s’engage à offrir un nombre croissant de ses services sous SSL (l’accès web à Google Mail sous SSL est déjà par défaut depuis janvier 2010) pourrait être un signal important à tous les acteurs d’Internet : il est peut-être temps de songer à protéger un plus grand nombre de communications sur Internet, quitte devoir payer par des temps de traitement et de transmission légèrement plus lents (à peine perceptibles lorsqu’on dispose d’ordinateurs et de connexions de quelque puissance).

Cependant, est-ce que ce nouveau service change quoi que ce soit à l’expérience de ceux dont l’exercice de leurs libertés ou la confidentialité de leurs travaux nécessitent qu’ils puissent échapper à la surveillance de leurs employeurs, des fournisseurs de services internet ou des États?

Premier cas de figure. Il faut pouvoir atteindre le domaine « google.com » pour bénéficier de la recherche sous SSL. Or, des États comme la Chine en bloquent déjà l’accès ou ont la capacité de le faire. Les citoyens de ces pays (ou autres usagers sous surveillance) doivent donc trouver le moyen de passer par des serveurs mandataires (proxy) et des communications sécurisées afin de contourner ce blocage. S’ils peuvent effectuer sécuritairement un tel contournement, la recherche Google sous SSL n’est-elle pas redondante?

Second cas de figure : l’accès au domaine « google.com » est possible. Appeler la page « https://www.google.com » ne revient-il pas alors à lancer une alerte à son employeur, aux fournisseurs de services internet et aux États dont on se méfie? En outre, une fois la recherche confidentielle réalisée, l’accès aux pages et documents web continuera à se faire sans aucun cryptage : dévoilant de ce fait les sujets précis sur lesquels on s’informe ou on travaille. Pour l’internaute mal averti, le nouveau service de Google peut donc constituer un piège plutôt qu’une protection contre la surveillance de tierces parties. En fait, si Google veut offrir une véritable expérience cryptée, il devrait aussi donner accès sous SSL aux pages sous mémoire cache (c’est-à-dire aux enregistrements des pages et documents Web, tels qu’ils ont été recensés lors de la dernière visite d’un robot de Google)? Même si décalé de quelques heures, jours et semaines, la personne pourrait au moins échapper véritablement à une surveillance directe (quoiqu’il demeure techniquement possible de les décrypter avec des outils ultraspécialisés).

Bref, tant que Google n’offrira pas l’accès sécurisé aux copies des documents qu’il détient en cache, on ne peut affirmer que son service est un véritable exemple de confidentialité par design. Il ne s’agit de rien de plus que d’un geste symbolique pour l’instant.

Cependant, ce même geste pose la question de la responsabilité de nous tous, acteurs sur Internet : ne devrions-nous pas tous offrir nos contenus aussi sous SSL? Le présent site sur lequel vous me lisez ne devrait-il pas offrir une version sous SSL ou des liens d’accès à des serveurs mandataires offrant des communications sécurisées ? De même pour les sites des médias, des universités, des entreprises, des individus? Et une fois qu’un nombre significatif de sites offrent un tel accès confidentiel sécurisé, les moteurs de recherche comme Google ne devaient-ils pas signaler systématiquement l’existence de cette option dans leurs résultats?

Au moins, le geste symbolique de Google permet que la discussion de ces questions devienne soudain plausible.



line
footer
Powered by WordPress | Designed by Elegant Themes
?php comments_popup_link(esc_html__(online ) { ?template_directoryline ))) { ?!--End Footer-- /a) { ?div style=ebusiness_integration_single_top) { ?ul id=