En 2017, le navigateur Chrome de Google a commencé à marquer les sites transactionnels qui n’utilisaient pas la connexion sécurisée HTTPS comme étant “non sécurisés”.
Depuis hier 24 juillet, ce que l’on peut considérer comme une Google Chrompocalypse, à savoir la différence entre les sites “transactionnels” et “tous les autres sites” prend définitivement fin. En effet, à partir de mardi, toutes les pages HTTP seront étiquetées avec l’indication “non sécurisé”, qu’elles soient transactionnelles ou non.
Est-ce important ? À certains égards, pas vraiment. La terre ne s’arrêtera pas de tourner pour autant. Beaucoup de personnes fatiguées par cette mise en garde prendront l’habitude d’ignorer cette petite alerte mentionnant “non sécurisé”, si elles avaient déjà pris la peine, bien sûr, de vérifier la barre d’adresse pour commencer.
D’un autre côté, c’est réellement important, et ce pour plusieurs raisons. Tout d’abord, cela inaugure l’inversion d’une tendance qui était, jusque-là, considérée comme “exceptionnelle”.
Pendant plus d’une décennie, la barre d’adresse du navigateur a été l’endroit où nous regardions tous (avec espoir) pour voir si le site que nous visitions avait le fameux cadenas rassurant “Sécurisé”, nous informant sur le fait que les pages que nous allions visionner nous étaient parvenues via une connexion sécurisée. Ce cadenas nous donne la garantie que personne sur le web ne peut intercepter les informations échangées avec un site donné.
Alors, bien sûr, la barre d’adresse nous montre également le triangle d’avertissement rouge “non sécurisé”. Pour être franc, avec toutes ces icônes, il y avait un peu de trop monde au niveau de cette barre d’adresse, comme nous l’avons souligné récemment.
Dans ses efforts continus pour que les connexions web chiffrées, c’est-à-dire la connexion HTTPS, deviennent la norme, par opposition à l’exception, nous pouvons tous souhaiter la bienvenue à Chrome 68, dont la version stable est attendue mardi.
Avec Chrome 68, Google fait un pas de plus vers la rationalisation de cette barre d’adresse, arrivant au stade où cette dernière informe uniquement les utilisateurs lorsqu’un site n’est pas sécurisé. Sans oublier une dernière amélioration à venir : à partir de la version 69 de Chrome, prévue pour le 4 septembre, l’indication “Sécurisé” disparaîtra des sites HTTPS, et le cadenas vert deviendra gris.
Enfin dans un futur poche, le cadenas ne sera plus, disparaissant complètement de la barre d’adresse, laissant toute la place pour l’URL. Plus besoin de nous dire donc quand nous serons en sécurité (HTTPS). L’avertissement viendra seulement lorsque nous ne serons plus en sécurité (HTTP).
Google a fait des pieds et des mains pour nous amener jusqu’ici.
En 2014, l’entreprise a déclaré qu’elle accorderait un traitement préférentiel aux pages utilisant une connexion HTTPS, déclarant que le “HTTPS everywhere” serait la priorité en matière de sécurité pour tout le trafic web. À partir de là, Google a durci le ton en déclassant les URL HTTP simples dans les résultats de recherche en faveur de celles utilisant le protocole HTTPS, et ce chaque fois que possible.
Google a commencé à étiqueter les sites proposant des logins ou à collecter des cartes de crédit sans connexion HTTPS comme “non sécurisés” à partir de 2016.
Maintenant, nous nous dirigeons vers un monde où la connexion HTTPS est un dû. Mais va-t-il résoudre tous les problèmes de sécurité ?
Bien sûr que non. Rien n’empêche les cybercriminels d’utiliser le protocole HTTPS au niveau de sites malveillants ou de sites de phishing !
Nous devons restez prudents. Ne crions pas victoire tout de suite ! Mais nous saluons chaleureusement l’arrivée de Chrome 68 : c’est une étape importante sur la route vers un web plus sécurisé.
Billet inspiré de Why your website is officially ‘not secure’ from today, sur Sophos nakedsecurity.