Rappelez-vous de l’époque où on utilisait HTTPS uniquement pour les communications ayant un caractère privé (on parle aussi de TLS, SSL, certificats, etc).
A cette époque, pour obtenir un certificat, il fallait se diriger vers une autorité de certification, démontrer qu’on était autorisé à faire cette demande, payer une certaine somme, et installer ce certificat sur le serveur web, pour bénéficier d’une protection des communications transmises via le web. Toute cette procédure était assez malaisée pour le “webmaster moyen”.
Puis la grande vague “Let’s Encrypt” est passée par là depuis fin 2015, et tout le monde est en train de tout encrypter, facilement et gratuitement. Même les horaires de l’autobus. Même le présent blog. Même l’édition gratuite de la gazette. Même la recette du pot-au-feu de Mme Michu.
En fait tout le monde s’en fichait un peu, jusqu’au moment où Google, déjà victorieux de la troisième guerre mondiale, celle de l’information, a décidé de pénaliser les sites non-HTTPS dans ses résultats de son moteur de recherche en les éjectant de la première page.
Non content de crypter le trafic web mondial, il faut passer à la vitesse supérieure. On va de plus en plus encrypter le trafic DNS (conversations de machine à machine – entre autres répondre aux questions telle que celle-ci: quelle est l’adresse IP de xxx.com) , de telle manière que personne entre l’utilisateur et le serveur DNS questionné ne puisse “sniffer le câble” et prendre connaissance des questions DNS, et donc des sites visités et des habitudes de surf de l’utilisateur.
En fait tout ça me plaît lorsque que j’utilise le wifi gratuit mis à disposition par stib.brussels, ou bien un hôtel d’une grande chaîne ou le petit restaurant viet du coin. Ils n’ont pas à savoir si je vais sur Facebook et quels sont mes amis, ni intervenir dans mes conversations Skype. Ca me rassurerait “presque” d’oser utiliser ma banque en ligne.
Bien au contraire, les e-mails (ou mèl, ou courriels, …) sont très mal protégés. En 2019 la quasi-totalité des communications e-mail sont sécurisées. A moins d’utiliser Gmail, Hotmail ou équivalent, vous savez sans doute trop bien que c’est compliqué de configurer une messagerie sur votre téléphone ou PC. En contrepartie si les communications sont sécurisées, tous vos e-mails sont stockés en clair sur les disques durs de la société qui héberge vos mails. C’est à dire que vous êtes à poil devant Apple si vous mettez tout dans iCloud ; devant Microsoft pour Hotmail, Office365, Live, Onedrive ; devant Google pour Gmail et Googledrive…
Quand vous envoyez une information commerciale importante ou sensible à plusieurs personnes, combien de fois pouvez-vous affirmer qu’il n’y a pas au moins un destinataire chez ces Google, Apple et consorts ?
Tout ceci a un effet insidieux sur la sécurité des entreprises. Le responsable de la sécurité informatique se trouve fort démuni lorsqu’il doit prendre toutes les mesures contre les infections de virus et autres bestioles malfaisantes, exfiltration de données d’entreprise, visites de sites inacceptables, et j’en passe et des meilleures.