Concernant Google, les connexions internet HTTP non chiffrées vivent leurs dernières heures.
En 2014, lors de la conférence I/O, Google a déclaré le “HTTPS everywhere” comme une priorité cybersécurité pour tout le trafic web, suivie en 2015 par la décision de déclasser des URLs HTTP simples dans les résultats de recherche en faveur des connexions HTTPS (quand ces dernières sont disponibles).
Il y a un an, il a commencé à étiqueter comme “non sécurisée” les sites offrant des connexions ou collectant des cartes de crédit sans connexion sécurisée HTTPS.
Dans un moment symbolique, il a maintenant confirmé qu’avec la sortie de Chrome 68 en juillet, cette labellisation sera appliquée à tous les sites n’utilisant pas de connexion sécurisée HTTPS.
Il s’agit d’un petit changement qui simplifie la façon légèrement déroutante dont Chrome signalait la présence ou l’absence de HTTPS dans les barres d’adresse. À partir de juillet, l’icône “i” ambiguë utilisé pour marquer de nombreux sites non HTTPS aujourd’hui, sera complété par une étiquette plus claire “non sécurisée”. Le rendu final sera comme suit :
D’autres navigateurs (Firefox, Edge, Opera) utilisent des symboles de cadenas verts ou gris pour désigner les sites HTTPS, renvoyant à plus d’un type d’icône gris pour la connexion HTTP non sécurisée.
Mais Google Chrome est le seul à utiliser des mots et pas simplement des symboles et des couleurs pour désigner l’utilisation d’une connexion sécurisée HTTPS. Google apporte les précisions suivantes :
La nouvelle interface de Chrome aidera les utilisateurs à comprendre que tous les sites HTTP ne sont pas sécurisés et continuera à faire évoluer le web vers un web HTTPS sécurisé par défaut.
Vous êtes prêt ?
Un coup d’œil sur les chiffres de Google suggère que cette stratégie consistant à persuader les propriétaires de sites web et les utilisateurs de l’importance de la connexion sécurisée HTTPS fonctionne, avec 68% du trafic Chrome sur Android et Windows se connectant aux sites HTTPS. 81 des 100 principales destinations web l’utilisent par défaut.
De manière surprenante, certains sites populaires tels que la BBC l’appliquent de manière incohérente, en utilisant le protocole HTTPS pour ses pages d’accueil mais en retombant en HTTP pour les pages de contenu individuelles (par rapport au New York Times, qui utilise le protocole HTTPS partout).
Mais comme de plus en plus de sites adoptent le protocole HTTPS, l’histoire montre que l’adhésion des derniers pourcentages pourrait prendre un certain temps.
L’autre problème de Google est illustré par le vieil adage qui dit de faire bien attention à ce que l’on souhaite réellement : en effet, des cybercriminels ont déjà exploités des connexions HTTPS pour gagner la confiance des utilisateurs.
Le rêve de Google concernant le “HTTPS everywhere” est certes louable, mais il reste encore beaucoup de travail à faire !
Billet inspiré de You have five months to switch your website to HTTPS, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.