Je viens de passer sous Gmail avec Firefox et l'extension CustomizeGoogle permet d'utiliser Gmail de manière sécurisée via le https : c'est utile ?

Empiriquement, je dirais oui

c'est bien là le fond de ta pensée ?

dans l'absolu c'est utile (les mots de passe et les contenu des mails est chiffré) mais en réalité, le danger n'est pas pendant le transport de l'information mais bien pendant le stockage dans la base de donnée.

comme pour tout service sécurisé (banques...), non ?
 
donc retour à ma question...

Cela dépend de la configuration derrière. S'ils utilisent de l'imap-ssl ou pas.
 
Sinon, le https ne sert qu'à sécuriser la page de login.

Sachant que la base de donnée est censé se trouver dans un endroit controler par ton provider, l'utilité d'un transport chiffré entre les serveurs web et les base de données est toute relative. Surcharge de machine inutile (amha).
 
Pour avoir évoluer dans des réseaux avec seulement des hubs, je pense que le transport entre le client et le serveur web DEVRAIT etre chiffré, pour la connexion (transport des login/mot de passe) et par la suite pour la navigation sur le webmail (écriture de mail et lecture). Ensuite dans un environnement switcher, bien que pas a la venu de n'importe quel utilisateur, il n'est pas tres difficile de sniffer le traffic.
 
Donc a mon humble avis, si le LAN client est sous l'entiere autorité de l'utilisateur, un transport sécurisé n'est pas "vital".
Si l'utilisateur souhaite se connecter depuis n'importe quel LAN le chiffrement devient nécessaire.

j'ai pas tout saisi (pourtant j'ai lu 2 x)

il parle d'une architecture serveur 3 tiers; on distingue la présentation, l'application et la BDD (ex : reverse proxy, serveur web, BDD). Il peut arriver qu'on crypte les données entre le reverse proxy et le serveur Web (https) ou entre le serveur web et la bdd (SSL)

et pour ma question, une réponse adaptée au niveau d'un newbie qui veut quand même savoir, ça donnerait quoi ?  

ca veut dire que n'importe qui entre toi et le serveur peut avoir acces a tes données si c'est pas chiffré ...

Pas n'importe qui dans le sens, n'importe quel gusse sur internet.
 - Quelqu'un se trouvant sur le meme brin réseau que toi (avec un hub ou un switch (dans certaines condition)) : oui
 - tous les opérateurs par lequel transit tes données : oui
 - les personnes ayant acces au réseau de ton fournisseurs de mail
 
Les réseaux d'opérateurs et de ton fournisseurs de mail sont par nature supposés de confiance (sinon ou va t'on : on change de fournisseurs de mail/d'opérateur).
 
Le point sensible c'est ton réseau... et quelque attaques (sur les DNS, ou sur un site qui se fait passer pour ton fournisseur de mail) qui pourraient éventuellement détourner ton traffic et ainsi récupérer ton compte.

enfin pour mémoire chez les opérateurs, il y a une obligation légale dans certains pays qui permet au gouvernement d'inspecter le trafic (chez cisco, la fonctionnalités s'appelle Lawful Intercept, mais ça doit etre implémenté par tous les constructeurs je pense)

donc c'est mieux que rien c'est ça ?

Moi je trouve utile

A ma connaissance, en france et au USA c'est la loi. Au USA, la loi s'appelle CALEA
 
Apres entre ce que la loi dit et ce qui est réellement mis en place... il y a de la marge

Vu que l'authentification se fait par un couple login/mdp, il suffit de keylogger la machine cliente pour avoir accès au compte.  
 
C'est donc seulement utile si tu te connectes uniquement depuis des machines "de confiance", et donc jamais depuis chez un ami/cyber/...  
 
Bienvenue dans le monde de la paranoia