Dans les semaines à venir, les utilisateurs accédant au site de recherche Google via Gmail bénéficieront de requêtes de recherche et de pages de résultats chiffrées (HTTPS), ce qui les mettra à l'abri des regards indiscrets, même s'ils utilisent des canaux non sécurisés. « Cette fonction a toute son importance, particulièrement lors de connexions Internet non sécurisées, comme c'est le cas avec les hotspots WiFi accessibles dans les cybercafés par exemple », a déclaré Google, qui a annoncé cette mise à jour de manière très brève sur un blog officiel. Google ne le mentionne pas, mais l'utilisation du SSL permettra également de cacher les recherches aux FAI.

À ce jour, peu d'utilisateurs ont entendu parler de l'option de recherche SSL activable manuellement, et n'ont sans doute pas non plus encore pris en compte tous les risques de sécurité pouvant survenir dans les recherches effectuées sur la Toile à partir d'un terminal mobile. Désormais, s'ils utilisent Gmail et s'ils sont connectés avec leurs identifiants, les utilisateurs profiteront de cette nouvelle couche de sécurité quand ils effectuent leurs recherches. Cette petite mise à niveau aura probablement un impact plus significatif pour les webmasters, puisqu'ils recevront moins de données à partir des requêtes effectuées en mode de recherche crypté qu'en mode non-SSL. Quant à ceux qui craignent de perdre une certaine visibilité sur les centres d'intérêt des utilisateurs, Google les invite à utiliser son système Webmaster Tools qui permet de voir les 1 000 premières requêtes de recherche effectuées sur un site donné.

Mise à niveau des équipements

Le SSL a mis du temps à se généraliser. Introduit sur Gmail en option depuis juillet 2008, le cryptage a finalement été proposé en activation manuelle par défaut depuis janvier 2010 en passant par le site https://encrypted.google.com. Twitter a commencé à utiliser le SSL par défaut il y a quelques semaines seulement (et il semble que le processus ne soit pas achevé pour tout le monde). Quant à Facebook, le réseau social l'a offert en option, à ceux qui sont soucieux de la sécurité, plus tôt cette année. Alors, si le SSL est aussi utile pour la sécurité des données échangées, pourquoi ne pas l'activer simplement par défaut pour tous et au même moment ? Le SSL ajoute une surcharge en ouvrant un tunnel entre le serveur et l'utilisateur, qui risque aussi d'ajouter du temps de latence pour l'utilisateur. Google, Twitter et Facebook seront un jour tout-SSL par défaut, mais ils ont besoin de temps pour mettre leurs infrastructures au niveau des exigences requises. Autre question : les utilisateurs en ont-ils réellement besoin, et leurs recherches banales sont-elles si importantes qu'elles doivent être effectuées dans la plus grande confidentialité ?

Firesheep est probablement un bon exemple pou montrer à ceux qui en doutent, à quel point il est facile de voir les résultats de recherche de son voisin, connecté en mode non sécurisé. Ce simple outil, sous forme d'extension à ajouter au navigateur Internet, permet d'intercepter le trafic envoyé par un utilisateur sur un réseau WiFi non crypté. C'est ce qui était arrivé à l'acteur Ashton Kutcher, qui avait découvert à ses dépens que l'interception avait permis à des hackers d'usurper son identité sur Twitter après avoir sniffé ses données de connexion conservées dans un cookie. L'événement avait été en partie à l'origine de  la conversion soudaine de Twitter au SSL.