Pour gérer vos consentements :
Categories: DSIProjetsSécurité

Des chercheurs évaluent les conséquences du « S » dans HTTPS

Des chercheurs de l’Université Carnegie Mellon (États-Unis), de l’École polytechnique de Turin (Italie) et de Telefonica Research (Espagne) ont étudié les conséquences induites par le protocole de transfert hypertexte sécurisé HTTPS (HyperText Transfer Protocol Secure). Leur analyse (« The Cost of the « S » in HTTPS ») a été présentée la semaine dernière à Sydney, Australie, lors de l’événement CoNEXT.

1,6 milliard de ventes perdues en 1 seconde

HTTPS combine le protocole HTTP (HyperText Transfer Protocol) avec une couche de chiffrement des échanges, comme TLS (Transport Layer Security) ou SSL (Secure Sockets Layer), et implique l’obtention d’un certificat d’authentification par une autorité tierce. La généralisation du protocole est désormais engagée. Aujourd’hui HTTPS représente 50% de l’ensemble des connexions HTTP. Cela signifie que « le coût de déploiement se justifie et peut être géré par de nombreux services », selon les auteurs de l’étude. Mais l’augmentation du temps de latence, particulièrement critique pour les réseaux mobiles, impacte les performances et les budgets, « surtout dans un monde ou 1 seconde peut coûter 1,6 milliard de ventes », ajoutent-ils. Le protocole peut aussi limiter le fonctionnement de dispositifs intermédiaires (middleboxes) comme les pare-feux (firewalls).

Les conséquences indirectes de HTTPS

Elles ne sont pas négligeables puisque des services réseau peuvent ne pas fonctionner du tout avec des données chiffrées. La perte de la mise en cache, par exemple, pourrait coûter aux fournisseurs 2 teraoctets (To) de données ascendantes supplémentaires par jour et se traduire par une augmentation de 30% de la consommation d’énergie pour les utilisateurs finaux dans certains cas, d’après l’étude. D’autres services comme le contrôle parental ou le scan antivirus sont également affectés. Mais l’impact est ici plus difficile à mesurer, notent les chercheurs. HTTPS peut aussi avoir un impact négatif sur la durée de vie des batteries des appareils connectés, des terminaux mobiles en particulier, en raison du temps CPU (temps passé par un programme sur le processeur) supplémentaire requis pour les opérations de chiffrement, et de téléchargements plus longs.

Tirer profit de la généralisation du protocole

Malgré tout le jeu en vaut la chandelle : la généralisation du protocole permet de mieux protéger la confidentialité des données de la surveillance à grande échelle et d’attaques ciblées. Pour tirer profit de HTTPS, selon les chercheurs, l’écosystème devrait donc poursuivre les travaux visant à limiter les temps de latence web, comme peut le tenter Google avec le protocole expérimental QUIC (Quick UDP Internet Connections). Et développer l’usage de serveurs mandataires de confiance (proxies) afin de restaurer l’usage de « middleboxes » lors de sessions HTTPS.

Lire aussi :
Dominique Loiselet, Blue Coat : « Généraliser le HTTPS va rendre la sécurité aveugle »
Officiel : Google va privilégier le référencement des sites HTTPS

Recent Posts

Quand le candidat IT idéal n’est pas celui que vous croyez

L'usage de "deepfakes" et d'informations d'identification personnelle volées progresse chez les candidats et usurpateurs patentés…

1 jour ago

Roaming : le menu dans l’Union européenne jusqu’en 2032

La nouvelle régulation sur l'itinérance mobile dans l'UE est entrée en application. Quelles en sont…

1 jour ago

Vers une régulation européenne des cryptoactifs : quelles bases technologiques ?

Les colégislateurs de l'UE ont trouvé un accord provisoire sur trois propositions de règlements touchant…

1 jour ago

Google Cloud ouvre sa région France

Google Cloud dispose d'une région France lancée commercialement fin juin. Une étape indispensable pour lutter…

1 jour ago

Pourquoi FedEx bascule des grands systèmes au cloud

Le transporteur américain FedEx va fermer les 20% restants de ses mainframes dans les deux…

1 jour ago

Cloud de confiance : quelle feuille de route pour S3NS, la coentreprise Google-Thales ?

Sous l'ombrelle S3NS, Google et Thales esquissent une première offre en attendant celle qui visera…

2 jours ago