Au sujet du HTTPS, Google a indiqué « qu'il se base sur le chiffrement (SSL ou TLS) pour sécuriser la connexion. Vous êtes ainsi protégé contre les dispositifs d'écoute, les attaques dites "de l'homme du milieu" et les pirates informatiques qui usurpent l'identité de sites Web de confiance. En d'autres mots, ce système déjoue les tentatives d'interception de vos informations et assure l'intégrité des données que vous recevez et transmettez ».
Google fait partie des entités qui ont encouragé l'industrie à passer au HTTPS. Nous pouvons citer plusieurs de ses initiatives :
- En août 2014, l’algorithme de recherche de Google a commencé à utiliser HTTPS comme un critère de classement pour donner un peu plus de poids aux sites utilisant le protocole sécurisé dans ses résultats de recherche. Fin 2015, Google a annoncé que son moteur de recherche a commencé à indexer les pages HTTPS par défaut.
- En 2017, sous Chrome 62, Google a commencé à marquer les connexions en HTTP comme étant « non sécurisées ». En août de la même année, les développeurs web dont les sites étaient toujours en HTTP ont été prévenus par courriel émanant de Google. L'éditeur a tout de même précisé que cela se ferait dans deux situations additionnelles : lorsque les utilisateurs entrent des données sur une page en HTTP (une attention particulière sur les sites où les utilisateurs rentrent des informations sensibles comme des mots de passe ou des numéros de crédit depuis la version 56 du navigateur) et lorsqu’ils visitent des pages HTTP via le mode de « navigation privée ».
- Pour prêcher par l'exemple, Google vise un chiffrement total de l’ensemble de ses produits et services (à la date du 4 juillet 2021, Google indiquait avoir procédé au chiffrement de 95 % de ses produits et services dans son rapport de transparence).
Obstacles au chiffrement
Plusieurs difficultés techniques et politiques entravent le chiffrement complet de l'ensemble du trafic Web. Par exemple, certains pays ou zones géographiques et organisations bloquent le trafic HTTPS ou le dégradent. Certaines entreprises et organisations manquent de ressources techniques pour implémenter le protocole HTTPS ou ne le considèrent pas comme une priorité. Chez Google, la gestion des certificats peut s'avérer difficile pour des produits comme Blogger, où le domaine d'un utilisateur autre que Google peut être utilisé et risque de ne pas prendre en charge le protocole HTTPS.
HTTP-First dans Chrome
Dans un billet de blog, Google a indiqué qu'un mode HTTPS-First sera ajouté au navigateur Web Chrome pour empêcher les attaquants d'intercepter ou d'écouter le trafic Web des utilisateurs. Et d'expliquer que :
« Lorsqu'un navigateur se connecte à des sites Web via HTTPS (vs HTTP), les espions et les attaquants sur le réseau ne peuvent pas intercepter ou modifier les données partagées via cette connexion (y compris les informations personnelles, ou même la page elle-même). Ce niveau de confidentialité et de sécurité est vital pour l'écosystème Web, c'est pourquoi Chrome continue d'investir pour rendre le HTTPS plus largement pris en charge.
« Heureusement, l'adoption de HTTPS a parcouru un long chemin ces dernières années, et la plupart des systèmes d'exploitation voient désormais plus de 90 % des chargements de pages via HTTPS dans Chrome. Néanmoins, nous pouvons faire davantage pour aider à faire de HTTPS le protocole préféré sur le Web et mieux protéger les utilisateurs sur la tranche restante du Web qui ne prend pas encore en charge HTTPS. Nous partageons donc aujourd'hui certains travaux futurs dans ce domaine ».
À partir de M94, Chrome proposera le mode HTTPS-First, qui tentera de mettre à niveau tous les chargements de page vers HTTPS et affichera un avertissement sur une page entière avant de charger les sites qui ne le prennent pas en charge. Comme pour encourager les internautes, Google explique que « les utilisateurs qui activent ce mode ont l'assurance que Chrome les connecte aux sites via HTTPS dans la mesure du possible et qu'ils verront un avertissement avant de se connecter aux sites via HTTP. Sur la base des commentaires de l'écosystème, nous explorerons à l'avenir de faire du mode HTTPS-First le mode par défaut pour tous les utilisateurs. Mozilla a également partagé son intention de faire du mode HTTPS uniquement l'avenir de la navigation Web dans Firefox ».
L'expérience avec l'icône de cadenas
« Alors que nous approchons d'un futur HTTPS, nous réexaminons également l'icône de cadenas que les navigateurs affichent généralement lorsqu'un site se charge via HTTPS. En particulier, nos recherches indiquent que les utilisateurs associent souvent cette icône à un site digne de confiance, alors qu'en fait, seule la connexion est sécurisée. Dans une étude récente, nous avons constaté que seulement 11% des participants pouvaient identifier correctement la signification de l'icône de cadenas. Pour essayer de réduire cette confusion, Chrome lancera une expérience dans M93 qui remplacera le cadenas dans la barre d'adresse par un point d'entrée plus neutre pour les informations de page (exemple ci-dessous). Nous espérons que cette expérience améliorera la découverte des informations et des contrôles critiques de confidentialité et de sécurité fournis dans les informations de page, tels que les autorisations de site. Il est important de noter qu'un indicateur "Non sécurisé" continuera à s'afficher sur les sites sans prise en charge HTTPS, et l'expérience comprend une politique d'entreprise au cas où les organisations souhaiteraient se retirer. Dans tous les cas, nous vous informerons à l'avance si nous décidons d'aller de l'avant avec un lancement complet.
Protéger les utilisateurs sur le Web HTTP
« Bien que nous soyons ravis de voir les utilisateurs adopter le mode HTTPS-First dans les futures versions de Chrome, les connexions HTTP continueront d'être prises en charge et Chrome prendra des mesures supplémentaires pour protéger et informer les utilisateurs chaque fois qu'ils utilisent des connexions non sécurisées. Dans la continuité de nos efforts passés pour restreindre les nouvelles fonctionnalités aux origines sécurisées et déprécier les fonctionnalités puissantes des origines non sécurisées, nous évaluerons un large éventail de fonctionnalités de la plateforme Web pour déterminer si elles doivent être limitées ou restreintes sur les pages Web HTTP ».
HTTPS-First Mode déjà disponible pour les utilisateurs de Chrome Canary
La nouvelle fonctionnalité est actuellement testée dans les Preview de Chrome 93 Canary pour Mac, Windows, Linux, Chrome OS et Android.
Si vous souhaitez tester la fonctionnalité expérimentale dès maintenant, vous devrez activer le drapeau "HTTPS-Only Mode Setting" en allant dans chrome://flags/#https-only-mode-setting
Cela ajoutera une option "Toujours utiliser des connexions sécurisées" aux paramètres de sécurité de Chrome qui, une fois activé, configurera le navigateur Web pour mettre à niveau toute la navigation vers HTTPS et afficher des alertes avant de charger des sites Web qui ne le prennent pas en charge.
Google n'est pas le premier fournisseur de navigateur Web à envisager, notamment la mise à niveau automatique de toute la navigation vers HTTPS. Par exemple, Mozilla a ajouté un mode HTTPS-Only depuis Firefox 83 pour sécuriser la navigation Web en réécrivant les URL pour utiliser le protocole HTTPS (même si désactivée par défaut, cette fonctionnalité peut être activée à partir des paramètres du navigateur).
Microsoft Edge peut désormais également être configuré pour basculer les utilisateurs vers des connexions HTTPS sécurisées lors de la connexion à des sites Web via HTTP après avoir activé une nouvelle option expérimentale HTTPS automatique disponible dans les Preview que vous pouvez télécharger dans les canaux Canary et Developer, la version stable devrait être disponible plus tard ce mois-ci.
Google a également précédemment mis à jour Chrome pour qu'il utilise par défaut HTTPS pour toutes les URL saisies dans la barre d'adresse si l'utilisateur ne spécifie pas de protocole.
Sources : Google, rapport de transparence Google
Et vous ?
Que pensez-vous du mode HTTPS-First ?
« Nos recherches indiquent que les utilisateurs associent souvent cette icône à un site digne de confiance, alors qu'en fait, seule la connexion est sécurisée. Dans une étude récente, nous avons constaté que seulement 11 % des participants pouvaient identifier correctement la signification de l'icône de cadenas ». Qu'en pensez-vous ?
Que pensez-vous de la proposition visant à remplacer l'icône de cadenas pour éviter la confusion chez les internautes ?