Cela fait plusieurs années déjà que Google déploie des efforts concertés pour inciter les sites Web à utiliser uniquement le protocole HTTPS afin d'offrir une expérience de navigation plus sûre. Pour inciter les développeurs Web à n'utiliser que le protocole HTTPS sur leurs sites, le géant de la recherche en ligne a introduit ce protocole comme facteur de classement dans les SERP (Search Engine Result Page). Cela signifie que les développeurs qui n'hébergent pas un site sécurisé ont subi une baisse potentiellement mineure de leur classement dans les résultats de recherche de Google. Cette mesure semble avoir porté ses fruits.
En effet, selon la section "HTTPS encryption on the Web" (Chiffrement HTTPS sur le Web) du rapport de transparence de Google, plus de 90 % de toutes les connexions dans Chrome utilisent actuellement une connexion HTTPS. Pour continuer sur cette lancée, Google a annoncé que Chrome n'indiquera plus si un site que vous visitez est sécurisé, mais seulement si vous visitez un site non sécurisé. En fait, actuellement, lorsque vous visitez un site sécurisé, Google Chrome affiche une petite icône verrouillée indiquant que votre communication avec le site est chiffrée, comme indiqué ci-dessous.
La plupart des communications entre sites Web étant désormais sécurisées, Google teste actuellement une nouvelle fonctionnalité qui supprime l'icône de verrouillage pour les sites sécurisés. Cette fonctionnalité est expérimentale dans Chrome 93 Beta et Chrome 94 Canary, mais vous pouvez la tester en activant l'indicateur "Omnibox Updated connection security indicators". Lorsque cette fonction est activée, Chrome n'affiche les indicateurs de sécurité que lorsque le site n'est pas sécurisé. Google a toutefois prévu une option pour permettre aux entreprises de le réactiver l'indicateur de sécurité HTTPS.
Google a ajouté une stratégie d'entreprise pour Chrome 93 appelée "LockIconInAddressBarEnabled" qui peut être utilisée pour réactiver l'icône de verrouillage dans la barre d'adresse. Pour rappel, le HTTPS est un mécanisme qui permet à votre navigateur ou à votre application de se connecter de manière sécurisée à un site Web. C'est l'une des mesures mises en place pour sécuriser votre navigation, ce qui est important, par exemple, lorsque vous vous connectez au site Web de votre banque ou lorsque vous saisissez des informations de carte de paiement dans une boutique en ligne.
Pour ceux qui souhaitent tester la désactivation de la fonctionnalité des indicateurs de sécurité de Chrome, vous pouvez l'activer dans Chrome 93 Beta ou Chrome 94 Canary en suivant ces instructions.
- saisissez chrome://flags dans la barre d'adresse et appuyez sur la touche Entrée ;
- recherchez "indicateurs de sécurité" (security indicators) ;
- lorsque l'indicateur "Omnibox Updated connection security indicators" s'affiche, cliquez sur "Default" et sélectionnez "Enabled" ;
- relancez ensuite le navigateur lorsque vous y êtes invité.
Google ne vous indiquera plus si un site est sécurisé et n'affichera un indicateur que lorsque vous visiterez un site non sécurisé. Il est important de noter que Google a annoncé ce changement depuis 2018. « Les utilisateurs doivent s'attendre à ce que le Web soit sécurisé par défaut, et ils seront avertis en cas de problème. Étant donné que nous commencerons bientôt à marquer toutes les pages HTTP comme étant “non sécurisées”, nous supprimerons les indicateurs de sécurité positifs de Chrome afin que l'état non marqué par défaut soit sécurisé », a-t-il déclaré à l'époque.
« Chrome va l’implémenter au fil du temps, en commençant par supprimer le libellé "Secure" et le schéma HTTPS en septembre 2018 (Chrome 69) », a ajouté Emily Schechter de Google. Cette approche s'inscrit dans le cadre des efforts de l'entreprise pour tenter de remodeler la barre d'adresse de Chrome. En mars dernier, Google a annoncé que la barre d'adresse de Chrome utilisera désormais "https://" par défaut. Selon l'entreprise, cela devrait permettre d'améliorer la confidentialité et la vitesse de chargement des sites Web prenant en charge ce protocole.
Puis dans un billet de blogue le mois dernier, Google a indiqué qu'un mode HTTPS-First sera ajouté à Chrome pour empêcher les attaquants d'intercepter ou d'écouter le trafic Web des utilisateurs. « Lorsqu'un navigateur se connecte à des sites Web via HTTPS, les espions et les attaquants sur le réseau ne peuvent pas intercepter ou modifier les données partagées via cette connexion (y compris les informations personnelles ou la page elle-même). Ce niveau de confidentialité et de sécurité est vital pour l'écosystème Web, c'est pourquoi Chrome continue d'investir pour rendre le HTTPS plus largement pris en charge », avait-il expliqué.
À partir de Chrome 94, le navigateur proposera le mode HTTPS-First, qui tentera de mettre à niveau tous les chargements de page vers HTTPS et affichera un avertissement sur une page entière avant de charger les sites qui ne le prennent pas en charge. Comme pour encourager les internautes, Google explique que « les utilisateurs qui activent ce mode ont l'assurance que Chrome les connecte aux sites via HTTPS dans la mesure du possible et qu'ils verront un avertissement avant de se connecter aux sites via HTTP.
« Sur la base des commentaires de l'écosystème, nous tenterons à l'avenir de faire du mode HTTPS-First le mode par défaut pour tous les utilisateurs. Mozilla a également partagé son intention de faire du mode HTTPS uniquement l'avenir de la navigation Web dans Firefox », a annoncé l'entreprise. Google fait partie des entités qui ont beaucoup encouragé l'industrie à passer au HTTPS. Nous pouvons citer plusieurs de ses initiatives :
- en août 2014, l’algorithme de recherche de Google a commencé à utiliser HTTPS comme un critère de classement pour donner un peu plus de poids aux sites utilisant le protocole sécurisé dans ses résultats de recherche. Fin 2015, Google a annoncé que son moteur de recherche a commencé à indexer les pages HTTPS par défaut ;
- en 2017, sous Chrome 62, Google a commencé à marquer les connexions en HTTP comme étant « non sécurisées ». En août de la même année, les développeurs Web dont les sites étaient toujours en HTTP ont été prévenus par courriel émanant de Google. L'éditeur a tout de même précisé que cela se ferait dans deux situations additionnelles : lorsque les utilisateurs entrent des données sur une page en HTTP (une attention particulière sur les sites où les utilisateurs rentrent des informations sensibles comme des mots de passe ou des numéros de crédit depuis la version 56 du navigateur) et lorsqu’ils visitent des pages HTTP via le mode de « navigation privée ».
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous du choix de Google de n'afficher un avertissement que si le site Web n'est pas sécurisé ?
Pensez-vous que l'approche de Google conduira tous les développeurs à adopter les connexions HTPPS ?
Voir aussi
Chrome 94 va ajouter le mode HTTPS-First et Google prévoit de remplacer l'icône de cadenas affichée lorsqu'un site se charge via HTTPS, l'éditeur estime qu'il prête à confusion
Google annonce que la barre d'adresse de Chrome utilisera désormais "https://" par défaut pour améliorer la confidentialité et la vitesse de chargement des sites Web prenant en charge ce protocole
Chrome ne va plus afficher le label « Sécurisé » pour les connexions HTTPS à compter de septembre 2018