De la pédagogie pour HTTP/2

Face à l'accroissement préoccupant de l'insécurité sur Internet, le HTTP Working Group a récemment rendu public les trois options qu'il étudie pour améliorer la protection des échanges :

http://lists.w3.org/Archives/Public/ietf-http-wg/2013OctDec/0625.html

 

Il étudie trois  options que nous reproduisons ci-dessous :

 

A. Opportunistic encryption for http:// URIs without server authentication -- a.k.a. "TLS Relaxed" as per draft-nottingham-http2-encryption.

B. Opportunistic encryption for http:// URIs with server authentication -- the same mechanism, but not "relaxed", along with some form of downgrade protection.

C. HTTP/2 to only be used with https:// URIs on the "open" Internet. http:// URIs would continue to use HTTP/1 (and of course it would

still be possible for older HTTP/1 clients to still interoperate with https:// URIs).

 

C'est la troisième possibilité qui semble avoir la préférence du HTTP Working Group, qui doit statuer début 2014. Nous n'avons pas ici compétence pour juger de la meilleure solution, mais cette "annonce", à suivre, nous appelle deux réflexions.

 

1.     Certains articles de presse français ont assez mal traduit ces trois options, et l'un a titré que ce nouveau standard appelé http/2 permettrait de se protéger contre les écoutes de la NSA. On doute vraiment que la puissance de calcul et de décryptage de la NSA soit quelque peu arrêtée par ce nouveau protocole. Les calculs seront peut-être un peu plus longs …

2.     Il faudra un effort de pédagogie auprès des utilisateurs qui ne sont pas des "geeks" – soit 99,9999 % de la population. Le commun des internautes mortels est aujourd'hui peu informé et peu à l'aise avec  HTTPS, le petit cadenas dans la barre du navigateur et les certificats. Et je ne parle pas seulement des particuliers, mais aussi des employés dans les entreprises et organisations. Si cela évolue encore, il faudra leur expliquer, pour qu'ils deviennent conscients de ce qui est mieux protégé qu'avant et de ce qui ne l'est toujours pas. Qui fera cette pédagogie ?

 

Il nous semble que la direction des systèmes d'information doit réfléchir à informer et former les utilisateurs dans l'entreprise sur les précautions à prendre sur certaines opérations et avec certains sites, la signification des protocoles et des pictogrammes leur indiquant le niveau de protection.

 

Pour le consommateur privé, il risque d'être un peu laissé dans l'ignorance, comme aujourd'hui. Franchement que comprendra-t-il à la différence entre http 1 et http 2 ?