Google Chrome rend le HTTPS obligatoire

La prochaine mise à jour de Google Chrome, version 68, modifie l’indication de sécurité du site web visité. Si le HTTPS est un protocole sécurisé pour que l’internaute soit vraiment sûr d’accéder au site sur lequel il souhaite aller, grâce à un certificat d’authentification validé par une autorité tierce, et pour lui assurer la confidentialité des échanges entre son ordinateur ou son smartphone et le serveur qui héberge le site internet.

Techniquement, une couche de chiffrement SSL ou TLS est combinée au protocole HTTP standard et est devenu la norme depuis 2017, année où les navigateurs phares Mozilla Firefox et Google Chrome ont décidé de signaler les sites web qui recueillent des informations concernant l’utilisateur et qui ne sont pas sécurisés. Par information personnelle, on entend les coordonnées bancaires lors d’un achat en ligne, l’adresse postale ou e-mail de l’internaute ou tout simplement son pseudo lors d’un commentaire sur un blog ou un forum. Ces informations sont personnelles et doivent être protégées pour qu’aucun hackeur ne puisse les intercepter et en faire un usage frauduleux. Cela fait partie des recommandations de la CNIL et plus récemment du RGPD.

Google Chrome donc, veut afficher plus clairement quels sites sont protégés mais surtout dénoncer ceux qui ne le sont pas. Jusqu’à présent, seul un cadenas suivi d’un message en vert indiquait les sites HTTPS mais la version 68 du navigateur mais désormais, un message explicite « Non sécurisé » ou « No secure » précédera l’adresse web du site en question.

Par exemple, le site larousse.fr est toujours en http simple (non https) et s’affiche désormais comme un site non sécurisé sur le navigateur internet Google Chrome à partir de la version 68 :

Pour le webmaster ou l’agence qui édite des sites pour ses clients, basculer en HTTPS devient une question de survie sur internet. Les internautes risquent de bouder les sites restés en HTTP_tout_court et les moteurs de recherche vont faire baisser la réputation de ces adresses.

De son côté, l’internaute n’a rien à faire. Il ne peut pas sécuriser lui-même le site internet qu’il visite et il doit donc subir le sérieux de l’organisation qui gère ce site web. Google Chrome affiche l’information, l’internaute en prend connaissance et peut quitter le site pour préférer une alternative plus sûre. Si les sites HTTP ne sont pas un problème pour consommer du contenu (lire un dossier, chercher de l’information), le HTTPS s’avère obligatoire pour acheter en ligne ou accéder à un compte personnel avec identifiant et mot de passe.

En savoir plus sur les nouveautés de Google Chrome 68 et le HTTPS dans cet article 1&1 ainsi que cette page dédiée aux développeurs web.

Quitter la version mobile