Troy Hunt publie la liste des sites les plus populaires qui ne se servent toujours pas du protocole HTTPS,
les sites américains et chinois se partagent les 20 premières places
Dans leur quête d'une amélioration de la sécurité en ligne, les acteurs du web (à l'instar des éditeurs de navigateurs Web, des autorités de certification, des personnalités de l'industrie de la cybersécurité) se sont fait les promoteurs de HTTPS. Pour inciter les développeurs et administrateurs de site Web à opter pour le protocole HTTPS, Google a procédé par étapes sur plusieurs de ces services. Prenons l'exemple de Google Search :
- En août 2014, l’algorithme de recherche de Google a commencé à utiliser HTTPS comme un critère de classement pour donner un peu plus de poids aux sites utilisant le protocole sécurisé dans ses résultats de recherche. Concrètement lorsque deux URL du même domaine semblaient avoir le même contenu, Google choisissait d’indexer l’URL HTTPS.
- En décembre 2015, Google a annoncé que son moteur de recherche avait commencé à indexer les pages HTTPS par défaut.
Du côté de Chrome, en janvier 2016, Google a annoncé le lancement d'un nouveau panneau de sécurité dans la section DevTools de Chrome 48, promettant un déploiement général au courant des prochains jours. Le but étant d'aider les développeurs à déployer HTTPS sur leurs sites et services. L'éditeur a décidé de marquer les connexions en HTTP comme étant non sécurisées dès Chrome 52.
Et ces différentes stratégies des acteurs du web ont payé : les sites internet ont été de plus en plus nombreux à adopter le protocole HTTPS. D'ailleurs, Troy Hunt, le créateur du site haveibeenpwned, a entrepris d’investiguer pour voir ce qu’il en est véritablement avec l’ensemble des sites web sur la toile. Pour cela, il s’est tourné vers Scott Helme, le chercheur en sécurité et créateur du site securityheaders.io afin d’analyser les sites figurant dans le top 1 million du classement Alexa (le site fournissant les statistiques sur le trafic web mondial) et qui redirigent les navigateurs des utilisateurs de HTTP vers HTTPS. En février 2017, Troy Hunt a déclaré que le protocole HTTPS a atteint un point critique à partir duquel l’on pourra le voir devenir la « norme » du web plutôt que l’exception qu’il a été dans le passé.
Mais la collaboration des deux spécialistes ne s'est pas arrêtée là. En juin 2018, ils ont mis sur pieds un projet visant à suivre les plus grands sites Web du monde qui n'implémentent pas HTTPS par défaut. Ils l'ont baptisé Why No HTTPS? (Pourquoi pas de HTTPS?) et cela a permis aux utilisateurs de voir quels sont les plus grands sites Web qui ne se servent pas de cette couche de sécurité. Ils ont également diffusé la liste pays par pays et cela est rapidement devenu un moyen de mettre en évidence les failles de sécurité et de servir de « liste de honte ». Troy Hunt affirme qu'il a eu de nombreuses organisations qui l'ont contacté pour lui demander de barrer la mention de leurs noms une fois qu'elles avaient correctement implémenté le TLS. Il en a déduit que la plateforme conduit à un bon comportement. Raison pour laquelle il a décidé de partager la première mise à jour depuis novembre de l'année dernière.
Il a commencé par les statistiques d'adoption du HTTPS : « Nous sommes passés de 70 % de toutes les requêtes HTTP sur le schéma sécurisé à 80 %, ce qui est un assez bon effort en relativement peu de temps. Mais, bien sûr, ce sont les sites Web qui desservent les 20 % de trafic restants sur lesquels je veux me concentrer ici ».
Lorsque le site a été lancé, il s'appuyait sur l'index Alexa. Cependant, cette liste du million de sites avec le plus de trafic est vite devenue difficile à utiliser comme Scott l'a expliqué en octobre : « J'ai utilisé Alexa Top 1 million pour cette recherche, mais j'ai eu des problèmes avec la liste. Ils ont essayé de supprimer l'accès à un moment donné et même si j'ai réussi à le restaurer, il y a aussi d'autres problèmes. L'exactitude des données a été remise en question et la liste elle-même a récemment eu des problèmes étranges comme ne pas renvoyer 1 million d'entrées... Oui, c'est vrai, la liste Alexa Top 1 million ne renvoie, dans certains cas, que ~ 650 000 entrées récemment, ce qui est bien sûr un problème ».
Résultat : il existe certaines différences dans le classement des sites et, par conséquent, il y a des apparences inattendues. Par exemple, le 21e plus grand site de la liste mondiale est googletagmanager.com. Évidemment, ce n'est pas un site Web dans le sens où les gens s'y rendent à la recherche de contenu utile, mais d'après les données de Tranco, c'est l'un des sites Web les plus fréquentés au monde, il est donc à la portée de ce projet.
Les 10 premiers sites ne sont constitués que de sites chinois et américains et il faut attendre la 27e place pour voir apparaître un site d'une autre nationalité (mexicaine en l’occurrence). D'ailleurs, le podium est uniquement chinois occupé respectivement par les 11e, 16e et 61e sites les plus fréquentés. Nous pouvons retrouver dans cette liste le site d'Apache, celui du W3C (bien qu'un clic sur le lien renvoie désormais à une version HTTPS), le site du MIT.
Parmi les sites français figurant sur la liste se trouve reverso.net, 708e mondial. Nous pouvons également citer OVH, 1515e mondial, Le Parisien, 2555e mondial, le site de l'Assemblée nationale, 12766e mondial ou encore celui du Sénat, 13548e mondial.
Listes des sites les plus populaires ne disposant pas d'une connexion HTTPS (classement possible par pays)
Source : billet Troy Hunt
Et vous ?
Que pensez-vous de cette initiative ?
Êtes-vous surpris de voir des sites comme celui de l'Assemblée nationale ou du Sénat figurer sur cette liste ? Dans quelle mesure ?
Que pensez-vous de l'idée selon laquelle un site statique n'a pas besoin de faire appel au protocole HTTPS ?
Voir aussi :
Chrome 79 est disponible avec le gel des onglets, le blocage par défaut des « subresources » non sécurisées HTTP sur les pages HTTPS et d'autres fonctionnalités
DuckDuckGo propose Smarter Encryption, une fonctionnalité qui vous redirige automatiquement en HTTPS et dont le code est open source
Microsoft annonce que Windows va améliorer la vie privée des utilisateurs en adoptant le protocole DNS-over-HTTPS, l'éditeur en présente les principes directeurs
Google annonce que Chrome va bloquer par défaut les « subresources » non sécurisées HTTP sur les pages HTTPS, cette mesure sera implémentée à partir de la version 79 et parachevée avec la version 81
Partager