Les deux plus grands sites porno au monde passent au chiffrement HTTPS (et voilà pourquoi ça aura un impact sur la sécurité du web dans son ensemble)

Atlantico : Les célèbres sites pornographiques Pornhub et Youporn ont changé de protocole de sécurité pour passer du HTTP au HTTPS . Est-ce une réelle avancée pour la protection des données des 75 millions d'utilisateurs quotidiens de Pornhub ? Quel niveau de protection ce nouveau protocole apporte ?

Frédéric Mouffle : C'est une avancée pour la protection des utilisateurs. Cela permet de protéger le trafic entre votre navigateur et le site internet pour, par exemple éviter que votre opérateur (Fournisseur d’Accès Internet) ne sache dans le détail ce que vous faites sur certains sites, comme par exemple les sites pornographiques Pornhub ou Youporn. C'est une évolution en termes de sécurité concernant le protocole de navigation.

L'entreprise Let's Encrypt a été la première à proposer des certificats gratuits. La vente de certificat SSL est un marché florissant, leur cout peut être élevé et ils expirent au bout d’un certain temps.

Cette société entre autre a permis la diffusion des protocoles HTTPS à grande échelle. Et cette "normalisation" va de pair avec une préoccupation grandissante des internautes pour la protection de leurs données personnelles, notamment depuis l'affaire Snowden. Le passage au SSL permet entre autre de se protéger de certains malwares. Il réduit sensiblement certaines attaque type Man In the Middle. Cette attaque consiste, pour un individu malveillant à se placer entre vous et le serveur lui permettant d’intercepter vos communications mais également d’injecter du code malveillant ou encore modifier le contenu d’une page que vous consultez. Il faut noter qu’un https mal implémenté peut présenter des vulnérabilités. Il y a cinq ans, personne chez les utilisateurs lambda n’allaient vérifier la présence du cadenas vert, juste devant le « https » dans la barre d’adresse, ce qui indique que le site est sécurisé ou encore que le site était authentique en vérifiant le nom de domaine. Aujourd'hui, ces bonnes pratiques sont beaucoup plus rependues, la consultation des comptes bancaires en ligne par exemple a été vecteur de sensibilisation important pour les internautes, comprenant qu’ils avaient intérêt à procéder à ces vérifications car ils pourraient être victime et voir leurs comptes bancaires vidés. 

Concernant les sites pornographiques plus précisément, ce changement de protocole peut paraître comme quelque chose d'anodin pour un internaute Français, mais pour un internaute qui habite dans un pays moins démocratique cela peut être vital. Un exemple très concret : si vous adepte de films pornographiques gay et habitez en Tchétchénie, ce changement de protocole peut vous éviter bien des ennuis (répression, chantage …). Il faut comprendre qu'avant le HTTPS, c'était du grand n'importe quoi, tout ce qu'on faisait sur internet, tous les sites, les liens sur lesquels vous cliquiez sur des sites utilisant le http pouvaient être consultés par votre fournisseur d'accès ou une autre personne connectée sur le même réseau que vous. Sur un site HTTPS, quand bien même quelqu'un intercepterait tout le flux, ils se retrouveraient avec des données entièrement chiffrées.

Ce qui est clair c'est que beaucoup de firmes sont déjà passées en HTTPS. Cette normalisation est en cours. D'autant plus que maintenant ce changement peut être réalisé à moindre frais sur l’achat des certificats gratuit mais reste un projet technique lourd à mettre en œuvre. Google avait annoncé en 2014 que les sites en https seront mieux référencés mais jusqu’en 2016, il est difficile de vérifier que cela est réel. D’où l’inquiétude des SEO sur le référencement des sites. MindGeek n'a, selon moi pas initié la tendance. A mon avis, d'ici trois ou quatre ans, presque tous les sites seront passés en HTTPS. Les nouveaux sites crées sont majoritairement en HTTPS. Néanmoins je pense que cette initiative aura son influence. Commercialement, d'autres sites pornographiques vont forcément se faire la réflexion d'une mise à jour par crainte de perdre des visiteurs. Cela a certainement stimulé la concurrence au bénéfice de l’intenaute.  C'est aussi pour MindGeek une démarche qui vise à faire en sorte que l'utilisateur du site internet donné soit en confiance et n'ai pas peur de se connecter. Elle se positionne dans une dynamique de captation de parts de marché dans des pays ou les internautes n’ont pas forcément les même mœurs ou libertés.

Aujourd'hui on estime que seulement 50% des connexions sont codées en https. Pourquoi un tel retard et comment sécuriser sa connexion internet ?

D'abord parce que c'est long un changement de protocole et extrêmement technique, notamment pour des sites comme Pornhub ou Youporn. Ensuite, effectivement, de nombreux sites ne sont pas en HTTPS, d'abord parce qu'une grande partie des sites internet ne sont pas faits par des professionnels ou ont un faible trafic. Toutefois une normalisation est en cours et, à termes, tous le seront. Ensuite car tous les sites n'ont pas forcément besoin d'être codés en HTTPS.

Ce protocole n'est pas la priorité, par exemple, d'un petit club sportif municipal qui créé son site internet pour afficher le résultat des matchs. Niveau sécurité, il y a déjà de bonnes pratiques à observer avant toute chose. D'abord évidemment ne pas se connecter à un wifi public. On ne sait jamais qui est derrière et si la connexion sera sécurisée. Ensuite, préférer les sites en HTTPS rentre également dans le cadre des bonnes pratiques, ou encore utiliser le mode de navigation privée dans votre navigateur. L'internaute peut aussi installer et utiliser un VPN pour générer un flux chiffré. Le VPN est un logiciel qui va prendre le relais de la connexion. Grâce à cela, votre opérateur n'est plus capable de vous identifier.