Google Chrome signale que tous les sites HTTP ne sont pas sécurisés à compter d'aujourd'hui

Si vous utilisez le navigateur Web Google Chrome pour votre navigation, au moins partiellement, vous avez peut-être remarqué une augmentation du nombre de sites signalés comme non sécurisés par le navigateur.

À compter d’aujourd’hui, Google Chrome signale que tous les sites Web utilisant encore HTTP pour les connexions ne sont pas sécurisés dans son interface. Le navigateur a traité les choses différemment avant. Il affichait une icône devant l'URL du site et révélait aux utilisateurs que le site n'était pas sécurisé si les utilisateurs interagissaient avec l'icône.

À partir de Chrome 68, publié aujourd'hui, Chrome affiche l'avertissement non sécurisé directement à côté de l'adresse, ce qui le rend beaucoup plus visible. Les utilisateurs de Chrome peuvent toujours cliquer sur l'avertissement "non sécurisé", mais cela n'affiche qu'une description générale des raisons pour lesquelles les sites HTTP sont moins sécurisés que les sites HTTPS.

Le changement affecte les sites Internet et Intranet.

La description se lit comme suit: Votre connexion à ce site n'est pas sécurisée. N'entrez aucune information sensible sur ce site (par exemple, mots de passe ou cartes de crédit), car elle pourrait être volée par des attaquants.

Le lien en savoir plus mène à une page d’aide du site officiel d’assistance Google Chrome qui contient des informations supplémentaires:

Chrome utilise trois icônes pour indiquer la sécurité d'une connexion: vert pour les connexions sécurisées, une icône d'information blanche (i) pour "info ou non sécurisé" et un point d'exclamation rouge pour "non sécurisé ou dangereux".

Une des options dont disposent les utilisateurs consiste à essayer de se connecter à la version HTTPS des sites signalés comme non sécurisés par Chrome. Si le site maintient HTTP et HTTPS comme protocoles valides, l'ajout de "s" à l'URL pourrait suffire à sécuriser la connexion.

Une extension de navigateur telle que HTTPS Everywhere peut aider les utilisateurs car elle peut effectuer la modification automatiquement pour de nombreux sites.

Google prévoit d'ajouter une couleur d'avertissement rouge à la notification non sécurisée dans la barre d'adresse de Chrome dans Chrome 69 lorsque les utilisateurs sont sur le point de saisir des données sur des sites.

Impact

Les sites qui utilisent encore HTTP exclusivement pour les connexions peuvent remarquer une baisse du nombre de visites ou davantage de rebonds à cause de cela. Les utilisateurs peuvent ne pas vouloir se connecter à des sites que Chrome ne marque pas comme sécurisés, même s'il n'y a pas vraiment de danger, par exemple lors de la récupération d'un article sur un sujet donné à partir du site.

Les sites qui utilisent HTTPS peuvent constater une augmentation du trafic provenant de sites qui utilisent encore HTTP.

Les webmasters qui gèrent des sites qui utilisent uniquement HTTP vont probablement commencer à accélérer la migration vers HTTPS, et c'est ce que Google espère réaliser avec la mise en œuvre.

Les sites qui ne sont plus maintenus ne seront pas mis à jour.

Le déménagement augmentera certainement les demandes d'assistance; les webmasters peuvent recevoir une augmentation des e-mails et des notifications des visiteurs du site, et les entreprises peuvent remarquer une augmentation des demandes d'assistance de Helpdesk.

Il est intéressant de noter que Google envisage de supprimer l'étiquette sécurisée de la barre d'adresse de Chrome pour des connexions sécurisées. L'entreprise prévoit d'afficher l'icône de cadenas uniquement lors de la sortie de Chrome 69 en septembre 2018, puis de la supprimer.

L'idée centrale derrière ce changement est que les connexions sécurisées devraient être la norme et qu'aucune étiquette ne signifie que la connexion est sécurisée.

Il est actuellement possible d'inverser le changement ou de le modifier:

  1. Chargez chrome: // flags / # enable-mark-http-as dans la barre d'adresse de Chrome.
  2. Définissez la préférence sur l’un des paramètres disponibles, par exemple désactivé pour l’éteindre, ou encore plus strict pour voir l’impact des modifications que Google appliquera ultérieurement.