fermer
Navigateurs Web

Chrome a lâché une bombe sur des sites Web non chiffrés

chromesecurity apr12.2e16d0ba.fill 1440x81.max
Chrome considère tous les sites Web non chiffrés comme « non sécurisés »

Le populaire navigateur de Google, Chrome, répertorie désormais tous les sites non chiffrés comme explicitement « non sécurisés », en commençant par la version actuelle de Chrome 68. La modification s’applique également à tous les sites HTTP, qui affichent désormais une image « Non sécurisée » dans la barre d’adresse. Les sites compatibles HTTPS ne sont pas affectés par ce changement.

D’abord annoncé en février dernier, le changement de conception de Chrome est le dernier mouvement de Google pour offrir un Web plus sécurisé. Les sites offrant une mire de connexion ont affiché des avertissements « non sécurisés » analogues depuis 2016, avec des alertes progressivement déployées pour des certificats expirés.

En outre, Google a également subtilement boosté les sites compatibles HTTPS dans les classements de recherche depuis 2014, une incitation significative pour que les webmasters adoptent ce protocole. Pour ceux qui l’ignorent, le HTTPS est une forme de chiffrement Web qui sécurise la connexion entre l’utilisateur et les sites qu’il visite. Les sites Web et les réseaux publicitaires diffusés sans chiffrement sont vulnérables à l’injection de logiciels malveillants, une tactique courante pour les cybercriminels de bas niveau.

Dans un article de blog annonçant le changement, Google l’a décrit comme « un jalon pour la sécurité de Chrome ».

Treatment of HTTP Pages1x.max

Google souhaite sécuriser le Web

Les choses deviendront encore plus évidentes en octobre. Si des sites Web non chiffrés acceptent la saisie de données utilisateur, la légende « Non sécurisé » deviendra rouge, avec un triangle d’avertissement rouge lorsque l’utilisateur commencera à taper. Chrome a déjà signalé les pages non chiffrées comme « non sécurisées » lorsque des personnes saisissent leurs données sur une page HTTP, ainsi que sur chaque page HTTP visitée lorsque le navigateur est en mode de navigation « privée ».

Treatment of HTTP Pages with User Input

Parallèlement aux attentions apportées sur ses produits, Google a également financé d’importantes recherches sur les normes de chiffrement sous-jacentes à HTTPS, en faisant don de temps de serveur pour démontrer une collision SHA-1 en février 2017.

Les certificats et protocoles HTTPS sont largement disponibles — et souvent gratuits — soit par des réseaux de distribution de contenu tels que Cloudflare, soit par des projets de service public tels que Let’s Encrypt. Cette disponibilité a encouragé une plus grande adoption au cours des dernières années. Les propres statistiques HTTPS de Google montrent que 84 % des pages chargées par les utilisateurs de Chrome sont actuellement chiffrées, contre seulement 47 % en juillet 2015.

Tags : Chrome
Yohann Poiron

The author Yohann Poiron

J’ai fondé le BlogNT en 2010. Autodidacte en matière de développement de sites en PHP, j’ai toujours poussé ma curiosité sur les sujets et les actualités du Web. Je suis actuellement engagé en tant qu’architecte interopérabilité.