Le blog de Genma
Vous êtes ici : Accueil » Veille Technologique » Liste de points à vérifier sur un service web avant de l’utiliser

Liste de points à vérifier sur un service web avant de l’utiliser

D 17 novembre 2014     H 09:00     A Genma     C 1 messages   Logo Tipee

TAGS : Chiffrement Ghostery

C’est du billet écrit par SwissTengu Dis tous tes secrets à Kevlar que j’ai extrait cette sorte de liste de points à vérifier pour valider un site Internet qui prétend nous offrir un service de chiffrement. Certains points sont valables pour tout type de site webs (dans le cadre de la protection des données personnelles). Pour chacun de ces points, je donne une petite explication.

Le site n’est pas en SSL

Le SSL, pour simplifier, c’est le cadenas/le https. Si l’on doit transmettre des informations personnelles (identifiant, mot de passe ou autre) au site, il faut que le site soit accessible en https. C’est un minimum.
Rq : ce site n’est pas en https car Free ne propose pas cette option pour les hébergements des pages personnelles.

Google Analytics

Le script de Google Analytics est bloqué par les extensions comme Ghostery car il permet au webmaster du site de récueillir un certain nombres d’informations statistiques, mais également à Google d’avoir ces mêmes informations. Et de comparer, pour une même adresse IP, quelles pages sont consultées, la durée de consultation, et tout un tas d’informations, pour tous les sites que vous consultez... Si Google Analytics est présent sur le site, le site ne respecte pas votre vie privée.

Google Fonts

Google Fonts est un service d’hébergement gratuit de polices d’écritures pour le Web. Comme pour Google Analytics, si un site utilise des polices stockées chez Google, à chaque fois qu’une de ces polices est utilisée par le navigateur, Google sait (une fois de plus) que vous consultez le site web, quand et à quelle moment...

Pour ce point, je vous invite à lire le billet Se passer des polices Google sans s’en passer.

Il n’y a pas de chiffrement Javascript côté client

Dans le cas d’une messagerie qui se veut chiffrée et donc sécurisée. Si il n’y a pas de chiffrement Javascript côté client (au niveau du navigateur), cela signifie que dans le cadre du chiffrement la clef privée est du côté du serveur. L’administrateur du serveur est donc à même de déchiffré le contenu, vu qu’il a la clef privée. Le service fourni n’est donc pas confidentiel, sécurisé comme il le prétend.

Cloudflare (+DNS géré par Cloudflare)

Sur la problématique de Cloudfare, je vous invite à lire ce que j’avais écrit ici Cloudfare, Akamai et notre vie privée. Le problème est que ces services sont gérés par très peu de sociétés. Plus il y a de sites qui les utilisent et plus il y a de chances que pour la consultation de sites divers et variés, on passe par le même service. Cela est tout à fait transparent pour l’utilisateur, mais pour ces sociétés, le recoupement d’informations leurs permets de savoir de façon très simple la la liste des sites que l’on consulte (Il leurs suffit pour cela d’analyser les logs). Et que font-ils ensuite de ces informations ? Qu’en est-il du respect de notre vie privée ?

La politique de confidentialité

Quand on voit que pour les sites qui exposent les conditions d’utilisation du service, avec des textes si long que personne ne le lit, avec des clauses qui sont limites (voir complètement) abusives (Voir à ce sujet le site Terms of services didn’t read, la politique de confidentialité est très importante. Les clauses peuvent être amenés à changer.

Pas de détails sur les algos, la technique etc.

La sécurité par l’obscurité ? Est-ce que c’est du logiciel libre, le code est-il auditable, disponible où ? Là encore, toutes ces informations doivent clairement être indiquées pour que l’on puisse se poser la question d’accorder un minimum de confiance et envisager d’utiliser le service.

1 Messages

  • « Si Google Analytics est présent sur le site, le site ne respecte pas votre vie privée. »

    Une petite mésaventure personnelle m’amène à moduler cette formulation.

    J’ai cru que D* utilisait GoogleAnalytics (!!!) parce que Ghostery me le signalait...

    En fait, l’explication est toute bête : un post dans D* utilisait un widget SoundCloud qui, lui, faisait référence à GoogleAnalytics (entre autres). Pas la faute de D* donc.

    Ça ne change pas le fond de ta remarque mais ça peut expliquer des (pseudos-) surprises

    ;-)