Des chercheurs évaluent les conséquences du « S » dans HTTPS

Des chercheurs de l’Université Carnegie Mellon (États-Unis), de l’École polytechnique de Turin (Italie) et de Telefonica Research (Espagne) ont étudié les conséquences induites par le protocole de transfert hypertexte sécurisé HTTPS (HyperText Transfer Protocol Secure). Leur analyse (« The Cost of the « S » in HTTPS ») a été présentée la semaine dernière à Sydney, Australie, lors de l’événement CoNEXT.

1,6 milliard de ventes perdues en 1 seconde

HTTPS combine le protocole HTTP (HyperText Transfer Protocol) avec une couche de chiffrement des échanges, comme TLS (Transport Layer Security) ou SSL (Secure Sockets Layer), et implique l’obtention d’un certificat d’authentification par une autorité tierce. La généralisation du protocole est désormais engagée. Aujourd’hui HTTPS représente 50% de l’ensemble des connexions HTTP. Cela signifie que « le coût de déploiement se justifie et peut être géré par de nombreux services », selon les auteurs de l’étude. Mais l’augmentation du temps de latence, particulièrement critique pour les réseaux mobiles, impacte les performances et les budgets, « surtout dans un monde ou 1 seconde peut coûter 1,6 milliard de ventes », ajoutent-ils. Le protocole peut aussi limiter le fonctionnement de dispositifs intermédiaires (middleboxes) comme les pare-feux (firewalls).

Les conséquences indirectes de HTTPS

Elles ne sont pas négligeables puisque des services réseau peuvent ne pas fonctionner du tout avec des données chiffrées. La perte de la mise en cache, par exemple, pourrait coûter aux fournisseurs 2 teraoctets (To) de données ascendantes supplémentaires par jour et se traduire par une augmentation de 30% de la consommation d’énergie pour les utilisateurs finaux dans certains cas, d’après l’étude. D’autres services comme le contrôle parental ou le scan antivirus sont également affectés. Mais l’impact est ici plus difficile à mesurer, notent les chercheurs. HTTPS peut aussi avoir un impact négatif sur la durée de vie des batteries des appareils connectés, des terminaux mobiles en particulier, en raison du temps CPU (temps passé par un programme sur le processeur) supplémentaire requis pour les opérations de chiffrement, et de téléchargements plus longs.

Tirer profit de la généralisation du protocole

Malgré tout le jeu en vaut la chandelle : la généralisation du protocole permet de mieux protéger la confidentialité des données de la surveillance à grande échelle et d’attaques ciblées. Pour tirer profit de HTTPS, selon les chercheurs, l’écosystème devrait donc poursuivre les travaux visant à limiter les temps de latence web, comme peut le tenter Google avec le protocole expérimental QUIC (Quick UDP Internet Connections). Et développer l’usage de serveurs mandataires de confiance (proxies) afin de restaurer l’usage de « middleboxes » lors de sessions HTTPS.

Lire aussi :
Dominique Loiselet, Blue Coat : « Généraliser le HTTPS va rendre la sécurité aveugle »
Officiel : Google va privilégier le référencement des sites HTTPS