Le populaire navigateur de Google, Chrome, répertorie désormais tous les sites non chiffrés comme explicitement « non sécurisés », en commençant par la version actuelle de Chrome 68. La modification s’applique également à tous les sites HTTP, qui affichent désormais une image « Non sécurisée » dans la barre d’adresse. Les sites compatibles HTTPS ne sont pas affectés par ce changement.
D’abord annoncé en février dernier, le changement de conception de Chrome est le dernier mouvement de Google pour offrir un Web plus sécurisé. Les sites offrant une mire de connexion ont affiché des avertissements « non sécurisés » analogues depuis 2016, avec des alertes progressivement déployées pour des certificats expirés.
En outre, Google a également subtilement boosté les sites compatibles HTTPS dans les classements de recherche depuis 2014, une incitation significative pour que les webmasters adoptent ce protocole. Pour ceux qui l’ignorent, le HTTPS est une forme de chiffrement Web qui sécurise la connexion entre l’utilisateur et les sites qu’il visite. Les sites Web et les réseaux publicitaires diffusés sans chiffrement sont vulnérables à l’injection de logiciels malveillants, une tactique courante pour les cybercriminels de bas niveau.
Dans un article de blog annonçant le changement, Google l’a décrit comme « un jalon pour la sécurité de Chrome ».
Google souhaite sécuriser le Web
Les choses deviendront encore plus évidentes en octobre. Si des sites Web non chiffrés acceptent la saisie de données utilisateur, la légende « Non sécurisé » deviendra rouge, avec un triangle d’avertissement rouge lorsque l’utilisateur commencera à taper. Chrome a déjà signalé les pages non chiffrées comme « non sécurisées » lorsque des personnes saisissent leurs données sur une page HTTP, ainsi que sur chaque page HTTP visitée lorsque le navigateur est en mode de navigation « privée ».
Parallèlement aux attentions apportées sur ses produits, Google a également financé d’importantes recherches sur les normes de chiffrement sous-jacentes à HTTPS, en faisant don de temps de serveur pour démontrer une collision SHA-1 en février 2017.
Les certificats et protocoles HTTPS sont largement disponibles — et souvent gratuits — soit par des réseaux de distribution de contenu tels que Cloudflare, soit par des projets de service public tels que Let’s Encrypt. Cette disponibilité a encouragé une plus grande adoption au cours des dernières années. Les propres statistiques HTTPS de Google montrent que 84 % des pages chargées par les utilisateurs de Chrome sont actuellement chiffrées, contre seulement 47 % en juillet 2015.
