IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Troy Hunt publie la liste des sites les plus populaires qui ne se servent toujours pas du protocole HTTPS


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    9 000
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 9 000
    Points : 208 125
    Points
    208 125
    Par défaut Troy Hunt publie la liste des sites les plus populaires qui ne se servent toujours pas du protocole HTTPS
    Troy Hunt publie la liste des sites les plus populaires qui ne se servent toujours pas du protocole HTTPS,
    les sites américains et chinois se partagent les 20 premières places

    Dans leur quête d'une amélioration de la sécurité en ligne, les acteurs du web (à l'instar des éditeurs de navigateurs Web, des autorités de certification, des personnalités de l'industrie de la cybersécurité) se sont fait les promoteurs de HTTPS. Pour inciter les développeurs et administrateurs de site Web à opter pour le protocole HTTPS, Google a procédé par étapes sur plusieurs de ces services. Prenons l'exemple de Google Search :
    • En août 2014, l’algorithme de recherche de Google a commencé à utiliser HTTPS comme un critère de classement pour donner un peu plus de poids aux sites utilisant le protocole sécurisé dans ses résultats de recherche. Concrètement lorsque deux URL du même domaine semblaient avoir le même contenu, Google choisissait d’indexer l’URL HTTPS.
    • En décembre 2015, Google a annoncé que son moteur de recherche avait commencé à indexer les pages HTTPS par défaut.

    Du côté de Chrome, en janvier 2016, Google a annoncé le lancement d'un nouveau panneau de sécurité dans la section DevTools de Chrome 48, promettant un déploiement général au courant des prochains jours. Le but étant d'aider les développeurs à déployer HTTPS sur leurs sites et services. L'éditeur a décidé de marquer les connexions en HTTP comme étant non sécurisées dès Chrome 52.

    Et ces différentes stratégies des acteurs du web ont payé : les sites internet ont été de plus en plus nombreux à adopter le protocole HTTPS. D'ailleurs, Troy Hunt, le créateur du site haveibeenpwned, a entrepris d’investiguer pour voir ce qu’il en est véritablement avec l’ensemble des sites web sur la toile. Pour cela, il s’est tourné vers Scott Helme, le chercheur en sécurité et créateur du site securityheaders.io afin d’analyser les sites figurant dans le top 1 million du classement Alexa (le site fournissant les statistiques sur le trafic web mondial) et qui redirigent les navigateurs des utilisateurs de HTTP vers HTTPS. En février 2017, Troy Hunt a déclaré que le protocole HTTPS a atteint un point critique à partir duquel l’on pourra le voir devenir la « norme » du web plutôt que l’exception qu’il a été dans le passé.

    Mais la collaboration des deux spécialistes ne s'est pas arrêtée là. En juin 2018, ils ont mis sur pieds un projet visant à suivre les plus grands sites Web du monde qui n'implémentent pas HTTPS par défaut. Ils l'ont baptisé Why No HTTPS? (Pourquoi pas de HTTPS?) et cela a permis aux utilisateurs de voir quels sont les plus grands sites Web qui ne se servent pas de cette couche de sécurité. Ils ont également diffusé la liste pays par pays et cela est rapidement devenu un moyen de mettre en évidence les failles de sécurité et de servir de « liste de honte ». Troy Hunt affirme qu'il a eu de nombreuses organisations qui l'ont contacté pour lui demander de barrer la mention de leurs noms une fois qu'elles avaient correctement implémenté le TLS. Il en a déduit que la plateforme conduit à un bon comportement. Raison pour laquelle il a décidé de partager la première mise à jour depuis novembre de l'année dernière.

    Nom : https.png
Affichages : 11876
Taille : 57,2 Ko

    Il a commencé par les statistiques d'adoption du HTTPS : « Nous sommes passés de 70 % de toutes les requêtes HTTP sur le schéma sécurisé à 80 %, ce qui est un assez bon effort en relativement peu de temps. Mais, bien sûr, ce sont les sites Web qui desservent les 20 % de trafic restants sur lesquels je veux me concentrer ici ».

    Lorsque le site a été lancé, il s'appuyait sur l'index Alexa. Cependant, cette liste du million de sites avec le plus de trafic est vite devenue difficile à utiliser comme Scott l'a expliqué en octobre : « J'ai utilisé Alexa Top 1 million pour cette recherche, mais j'ai eu des problèmes avec la liste. Ils ont essayé de supprimer l'accès à un moment donné et même si j'ai réussi à le restaurer, il y a aussi d'autres problèmes. L'exactitude des données a été remise en question et la liste elle-même a récemment eu des problèmes étranges comme ne pas renvoyer 1 million d'entrées... Oui, c'est vrai, la liste Alexa Top 1 million ne renvoie, dans certains cas, que ~ 650 000 entrées récemment, ce qui est bien sûr un problème ».

    Résultat : il existe certaines différences dans le classement des sites et, par conséquent, il y a des apparences inattendues. Par exemple, le 21e plus grand site de la liste mondiale est googletagmanager.com. Évidemment, ce n'est pas un site Web dans le sens où les gens s'y rendent à la recherche de contenu utile, mais d'après les données de Tranco, c'est l'un des sites Web les plus fréquentés au monde, il est donc à la portée de ce projet.

    Les 10 premiers sites ne sont constitués que de sites chinois et américains et il faut attendre la 27e place pour voir apparaître un site d'une autre nationalité (mexicaine en l’occurrence). D'ailleurs, le podium est uniquement chinois occupé respectivement par les 11e, 16e et 61e sites les plus fréquentés. Nous pouvons retrouver dans cette liste le site d'Apache, celui du W3C (bien qu'un clic sur le lien renvoie désormais à une version HTTPS), le site du MIT.

    Nom : liste.png
Affichages : 9186
Taille : 52,9 Ko

    Parmi les sites français figurant sur la liste se trouve reverso.net, 708e mondial. Nous pouvons également citer OVH, 1515e mondial, Le Parisien, 2555e mondial, le site de l'Assemblée nationale, 12766e mondial ou encore celui du Sénat, 13548e mondial.

    Nom : france.png
Affichages : 9088
Taille : 45,9 Ko

    Listes des sites les plus populaires ne disposant pas d'une connexion HTTPS (classement possible par pays)

    Source : billet Troy Hunt

    Et vous ?

    Que pensez-vous de cette initiative ?
    Êtes-vous surpris de voir des sites comme celui de l'Assemblée nationale ou du Sénat figurer sur cette liste ? Dans quelle mesure ?
    Que pensez-vous de l'idée selon laquelle un site statique n'a pas besoin de faire appel au protocole HTTPS ?

    Voir aussi :

    Chrome 79 est disponible avec le gel des onglets, le blocage par défaut des « subresources » non sécurisées HTTP sur les pages HTTPS et d'autres fonctionnalités
    DuckDuckGo propose Smarter Encryption, une fonctionnalité qui vous redirige automatiquement en HTTPS et dont le code est open source
    Microsoft annonce que Windows va améliorer la vie privée des utilisateurs en adoptant le protocole DNS-over-HTTPS, l'éditeur en présente les principes directeurs
    Google annonce que Chrome va bloquer par défaut les « subresources » non sécurisées HTTP sur les pages HTTPS, cette mesure sera implémentée à partir de la version 79 et parachevée avec la version 81

  2. #2
    Invité
    Invité(e)
    Par défaut
    Bonjour,

    Que pensez-vous de cette initiative ?
    C'est bien pour constater qui joue le jeu de se mettre à jour ou non . Par contre il faut faire attention au faux positif :

    > ancien url d'une société sans HTTPS qui renvoi un HTTP . Genre http://www.toto.com devient https://www.titi.com ... Il y a de nombreux sites avec plusieurs url qui renvoient sur un site unique Pas pour autant qu'ils sont tous mauvais élèves.
    > les url de redirection ... (genre un vieille url Google qui renvoi sur une autre page ... )
    > url de test ou url vitrine aussi

    Êtes-vous surpris de voir des sites comme celui de l'Assemblée nationale ou du Sénat figurer sur cette liste ? Dans quelle mesure ?
    Non , car les sites institutionnels sont rarement à jours dans les premiers ...

    Que pensez-vous de l'idée selon laquelle un site statique n'a pas besoin de faire appel au protocole HTTPS ?
    Maintenant même un site frauduleux peut avoir du HTTPS ... qu'on applique ou non les normes PCIDSS les usurpateurs arrivent à se faire passer pour des sites légitimes . Eventuellement pour le chiffrement ou cryptage en cas de transmission . Statique ou non , si un malveillant veut écouter / capter le trafic du HTTP/HTTPS il arrivera à le faire :/

Discussions similaires

  1. Réponses: 1
    Dernier message: 30/01/2015, 16h14
  2. Liste des classes les plus utilisées
    Par mayer_450 dans le forum Android
    Réponses: 2
    Dernier message: 20/06/2014, 12h46
  3. Faire un top 10 des sites les plus visité [fichier csv]
    Par nioko dans le forum Macros et VBA Excel
    Réponses: 1
    Dernier message: 10/12/2013, 15h32
  4. Liste des sessions les plus consommatrices
    Par orafrance dans le forum Contribuez
    Réponses: 0
    Dernier message: 30/12/2011, 15h34
  5. Liste des enregistrements les plus récents
    Par calagan99 dans le forum Langage SQL
    Réponses: 2
    Dernier message: 19/03/2008, 12h39

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo