Google veut généraliser le chiffrement des données

5

Après avoir imposé le chiffrement des données (en mode HTTPS SSL) sur la page d’identification de son webmail Gmail, Google compte progressivement étendre cette sécurisation à l’ensemble de ses pages, y compris son moteur de recherche.

Après la possibilité d’activer un chiffrement intégral sur Gmail pour assurer la confidentialité de ses e-mails, une nouvelle page a été mise en place : https://www.google.com. Celle-ci vous envoie vers la version sécurisée beta du fameux moteur de recherche. En dehors du chiffrement systématique des données échangées, rien n’a changé, même si Google précise que certaines fonctionnalités du moteur comme la recherche d’images pourraient ne pas être opérationnelles dans cette version.

Quelle est l’utilité d’une telle mesure ? Selon la FAQ, « avec Google Search en SSL, vous avez une solution de recherche chiffrée de bout en bout entre votre ordinateur et Google. Ce canal sécurisé vous aide à protéger vos termes de recherche et vos pages de résultats de recherche contre les interceptions par un tiers ». Cela sera donc surtout utile sur un hotspot wifi… et pour les paranoïaques confirmés !

Ce regain de confidentialité reste toutefois à nuancer pour une raison très simple, elle aussi inscrite dans la FAQ officielle : « si le SSL vous aide à empêcher des intermédiaires, comme votre FAI, de connaître la recherche exacte que vous avez tapé, ils peuvent toujours savoir quels sites web vous visitez une fois que vous cliquez dessus dans les résultats de recherche ». A titre officieux, ajoutons que cela n’empêche pas Google itself de collecter vos propres données…

Source : Generation NT

Partager

A propos de l'auteur

[Responsable de la rédaction]
Sévit également sur Café Gaming et Point de vue social.

5 commentaires

  1. complement faux 1: la connection entre les serveurs ne se fait pas depuis ton pc, donc si on sniff ton hotspot il n'y a rien a voir 2: la plupart des serveurs SMTP (mail) supportent SSL depuis belle lurette et essayent de se connecter avec en prioritée 3: 'GET' je crois que tu n'a aucune idée de ce dont tu parles. les requetes HTTP se font au dessus du socket SSL, donc encryptée, incluant le 'GET'.. note que le 'POST' est tout aussi bien encrypté et tout aussi facile a "intercepter" quand il n'est pas encrypté, aucune difference en fait. D'un point de vue utilisateur le GET est plus facile a manipulater, cad que tu peut changer les valeurs que tu envoie dans l'url, pour le POST il faut être un peu plus compétent (rien de difficile non plus, une extension firefox pour rentrer à la main et voila - idem en script il suffit d'appeler la bonne fonction)

  2. alex10336, le SSL sert à chiffrer tout ce qui se situe entre le serveur distant (en l'occurence Google) et le client (en l'occurence ton ordinateur). Ca inclut : ce qui transite en wifi entre ton ordinateur et ton routeur, ce qui gravite tout le long du réseau (y compris dans les tuyaux de ton FAI), etc. Il ne faut pas se tromper de rôle, ça n'a rien à voir avec ce que tu cites ;)

  3. Le SSL/TLS classique ne protège pas contre les écoutes actives de type "man in the middle". Admettons que vous ayez une box chez vous, genre boite noire et vous ne savez pas ce qui tourne dedans... facile... un certificat d'autorité compromis et zou... Bon, on va me dire que ça change rien car, c'est faisable plus haut dans le réseau... oui mais la plupart du temps, les équipements à ce niveau là n'ont pas la flexibilité d'une box pour faire des attaques de type "man in the middle". C'est donc bien plus coûteux et compliqué à faire. Donc, si freebox pouvait faire sorte qu'avec la fb6 on s'aligne sur la sfr box... ça ne serait pas mal venu...

  4. sylware a écrit :
    Le SSL/TLS classique ne protège pas contre les écoutes actives de type "man in the middle". Admettons que vous ayez une box chez vous, genre boite noire et vous ne savez pas ce qui tourne dedans... facile... un certificat d'autorité compromis et zou... Bon, on va me dire que ça change rien car, c'est faisable plus haut dans le réseau... oui mais la plupart du temps, les équipements à ce niveau là n'ont pas la flexibilité d'une box pour faire des attaques de type "man in the middle". C'est donc bien plus coûteux et compliqué à faire. Donc, si freebox pouvait faire sorte qu'avec la fb6 on s'aligne sur la sfr box... ça ne serait pas mal venu...
    encore faux SSL/TLS supportent les certificats. les certificats sont liés aux noms de domaines. si tu visite google.com et que le certificat ne correspond pas, tu va avoir un "warning" de ton navigateur. Sur firefox, c'est un message enorme et difficile a ignorer (chiant même :p), si tu passe les 4 boutons qui te disent "t'es vraiment sûr de ce que tu fait?" ben c'est vraiment ta faute ^^ maintenant si tu pense que compromettre un certifcat racine c'est facile comme "zou", internet serait vraiment dans la merde, surtout les banques, paypal, et autres lol. Heureusement, ils sont "incassables" (tout est relatif evidement), et les machines ("bien") protégées. Je ne crois pas que ca ne soit jamais arrivé aux gros fournisseurs, bien que évidement rien ne soit impossible. (evidement il faut aussi avoir compromis la freebox ou un routeur - ou le hotspot, ce qui est bien plus probable, mais le certificat c'est carrement une autre histoire)

  5. bil2 a écrit :
    SSL/TLS supportent les certificats. les certificats sont liés aux noms de domaines. si tu visite google.com et que le certificat ne correspond pas, tu va avoir un "warning" de ton navigateur. Sur firefox, c'est un message enorme et difficile a ignorer (chiant même :p), si tu passe les 4 boutons qui te disent "t'es vraiment sûr de ce que tu fait?" ben c'est vraiment ta faute ^^ maintenant si tu pense que compromettre un certifcat racine c'est facile comme "zou", internet serait vraiment dans la merde, surtout les banques, paypal, et autres lol. Heureusement, ils sont "incassables" (tout est relatif evidement), et les machines ("bien") protégées. Je ne crois pas que ca ne soit jamais arrivé aux gros fournisseurs, bien que évidement rien ne soit impossible. (evidement il faut aussi avoir compromis la freebox ou un routeur - ou le hotspot, ce qui est bien plus probable, mais le certificat c'est carrement une autre histoire)
    Une attaque Man InThe Middle SSL, c'est tout à fait possible : 1) je crée une autorité de certification bidon 2) J'importe le certificat dans le navigateur de la victime 3) Je crée des certificats signés avec mon autorité de certification bidon. 4) Je me met au travers du chemin de la victime. 5) Le client établit une connexion SSL : j'intercepte, je déchiffre, j'établis une connexion ssl avec le serveur (à la place de la victime). Je renvoie les données par le chemin inverse. Au passage, je peut les altérer ou les logguer sans problème. Il y a donc 2 sessions SSL : une entre le client piégé et moi, et une entre moi et le serveur. On peut négliger les étapes 1 et 2 en sachant que 90% des utilisateurs ajoutent des exceptions de sécurité sans réfléchir. Bon, c'est toujours mieux que des données en clair, mais sur un hotspot wifi ouvert quelqu'un peut toujours aller s'amuser à s'intercaler entre toi et la borne (ou simuler une fausse borne, ça marche aussi), en comptant sur ta crédulité pour que tu valide l'exception de sécurité. Pour info, j'ai déjà vu des logiciels (proxy) qui forgeaient un certificat à la volée en reprenant les champs du certificat d'origine et en les signant avec une autorité bidon. Si tu importe l'autorité dans le navigateur de la victime, c'est transparent pour elle. Si tu ne le fait pas, il faut espérer qu'elle valide l'exception de sécurité.

  6. Réagir sur le forum