Des chercheurs de l’Université Carnegie Mellon (États-Unis), de l’École polytechnique de Turin (Italie) et de Telefonica Research (Espagne) ont étudié les conséquences induites par le protocole de transfert hypertexte sécurisé HTTPS (HyperText Transfer Protocol Secure). Leur analyse (« The Cost of the « S » in HTTPS ») a été présentée la semaine dernière à Sydney, Australie, lors de l’événement CoNEXT.
HTTPS combine le protocole HTTP (HyperText Transfer Protocol) avec une couche de chiffrement des échanges, comme TLS (Transport Layer Security) ou SSL (Secure Sockets Layer), et implique l’obtention d’un certificat d’authentification par une autorité tierce. La généralisation du protocole est désormais engagée. Aujourd’hui HTTPS représente 50% de l’ensemble des connexions HTTP. Cela signifie que « le coût de déploiement se justifie et peut être géré par de nombreux services », selon les auteurs de l’étude. Mais l’augmentation du temps de latence, particulièrement critique pour les réseaux mobiles, impacte les performances et les budgets, « surtout dans un monde ou 1 seconde peut coûter 1,6 milliard de ventes », ajoutent-ils. Le protocole peut aussi limiter le fonctionnement de dispositifs intermédiaires (middleboxes) comme les pare-feux (firewalls).
Elles ne sont pas négligeables puisque des services réseau peuvent ne pas fonctionner du tout avec des données chiffrées. La perte de la mise en cache, par exemple, pourrait coûter aux fournisseurs 2 teraoctets (To) de données ascendantes supplémentaires par jour et se traduire par une augmentation de 30% de la consommation d’énergie pour les utilisateurs finaux dans certains cas, d’après l’étude. D’autres services comme le contrôle parental ou le scan antivirus sont également affectés. Mais l’impact est ici plus difficile à mesurer, notent les chercheurs. HTTPS peut aussi avoir un impact négatif sur la durée de vie des batteries des appareils connectés, des terminaux mobiles en particulier, en raison du temps CPU (temps passé par un programme sur le processeur) supplémentaire requis pour les opérations de chiffrement, et de téléchargements plus longs.
Malgré tout le jeu en vaut la chandelle : la généralisation du protocole permet de mieux protéger la confidentialité des données de la surveillance à grande échelle et d’attaques ciblées. Pour tirer profit de HTTPS, selon les chercheurs, l’écosystème devrait donc poursuivre les travaux visant à limiter les temps de latence web, comme peut le tenter Google avec le protocole expérimental QUIC (Quick UDP Internet Connections). Et développer l’usage de serveurs mandataires de confiance (proxies) afin de restaurer l’usage de « middleboxes » lors de sessions HTTPS.
Lire aussi :
Dominique Loiselet, Blue Coat : « Généraliser le HTTPS va rendre la sécurité aveugle »
Officiel : Google va privilégier le référencement des sites HTTPS
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.