Dans sa volonté de renforcer la sécurisation du web, Google vient d'indiquer qu'il prenait une décision importante : à compter d'aujourd'hui, le fait de disposer d'un site en HTTPS sera vu comme un signal positif pour le référencement. De quoi inciter tout le monde à sauter le pas ? C'est loin d'être si simple.
S'il est courant de voir les géants du web afficher des sites entièrement en HTTPS depuis quelques années, avec le fameux petit cadenas, c'est encore loin d'être une généralité. Pour rappel, derrière ce symbole se cache le fait qu'un site assure le chiffrement de la connexion entre votre machine et ses serveurs via SSL/TLS à travers le protocole HTTP. Cela empêche donc, en théorie, d'intercepter et de lire les données échangées, ce qui en fait une pratique à étendre le plus possible, surtout pour ce qui est des informations/messages sensibles et autres procédures de connexion.
Le chiffrement des échanges : la majorité des sites s'en passent, Google veut agir
Mais voilà : autant être franc, personne ne sécurise rien, ou presque. S'il est désormais systématique de voir une telle procédure mise en place par les banques, ou les sites de vente en ligne au moment d'un achat, il est tout aussi habituel de ne pas y avoir droit le reste du temps. Vous vous connectez à un site d'information pour accéder à des fonctionnalités supplémentaires, vous échangez des messages privés sur un forum, etc. ? Tous ces échanges seront le plus souvent en clair et pourront donc être lus s'ils sont interceptés, ce qui est assez aisé si vous êtes sur un Wi-Fi public non sécurisé par exemple. Ainsi, si le site auquel vous vous connectez ne protège pas votre mot de passe avant de l'envoyer au serveur, il est transmis et peut donc être intercepté.
Partant de ce désolant constat, Google a décidé de commencer à intervenir, après avoir prévenu de ses intentions lors de la Google I/O en juin dernier. Mais cela se fera en douceur. Ainsi, dans un billet de blog, la société indique qu'elle considérera désormais comme positif le fait qu'un site soit accessible en HTTPS. Cela n'intervient pour le moment que de manière marginale, 1% de ses résultats ayant été concernés lors de ses tests outre-Atlantique. Mais il est déjà prévu que ce critère puisse prendre de l'ampleur avec le temps.
Pour faciliter les choses, les équipes du géant du web vont mettre en place des documentations afin de faciliter la vie des responsables techniques qui devront effectuer cette transition. Car cela va sans doute être douloureux, pour des tas de raisons qui vont commencer à émerger une fois que l'annonce de cette décision sera digérée.
Passser un site en HTTPS : plus facile à dire qu'à faire
Pour le moment, seuls quelques conseils sont donnés comme de bien choisir le type de certificat, s'assurer d'avoir une clef d'au moins 2048 bits, utiliser des URL relatives, ne pas bloquer l'accès au site HTTPS via le fichier robots.txt, etc. Mais une fois ceci dit, il reste encore le plus gros. Car s'il est assuré que les sociétés qui émettent des certificats se frottent les mains, seulement quelques mois après la faille Heartbleed qui leur avait déjà profité, le coût pour une entreprise reste mesuré.
En effet, qu'elle se limite au certificat de base ou qu'elle cherche au passage à assurer ses transactions et à disposer d'un certificat fort qui lui assure la présence de la fameuse « barre verte » le coût sera en général compris entre entre 100 et 400 euros par an et par domaine à protéger. Les ressources consommées sont aussi plus élevées, mais à l'heure actuelle, l'impact n'est plus très important mais pourra prendre de l'ampleur si vous avez énormément d'utilisateurs.
Le site de Mozilla affiche la fameuse barre verte
Le référencement, la publicité, les contenus : tout est à réadapter
Une fois cette barrière franchie, il en reste de nombreuses autres pour les éditeurs de sites. Déjà, il leur faut assurer le déplacement de leur URL, ce qui peut être risqué en termes d'indexation. Google diffuse d'ailleurs un guide par ici, renforcé par un second dédié à la sécurisation des sites accessible par là. Ensuite, il leur faut s'assurer que tous les contenus qu'ils hébergent sont en HTTPS : leurs images, les contenus intégrés comme les vidéos YouTube, etc. Sans quoi, une alerte sera indiquée à l'utilisateur qui pourra ne pas se sentir en sécurité.
Et c'est là qu'intervient l'un des plus gros freins : les régies publicitaires et les agences de leurs clients. Car n'étant pas toujours à la pointe, ces dernières ont le plus souvent tendance à proposer des campagnes qui ne s'intègrent pas à un site sécurisé. Autant dire que pour certains, le risque de voir une partie de leurs espaces ne pas s'afficher pour des questions de chiffrement d'une page web ne contenant que du texte n'est pas vraiment la priorité.
Tout chiffrer ou ne rien chiffrer : telle n'est pas la question
C'est d'ailleurs tout le paradoxe de l'annonce de Google. S'il est sain de vouloir étendre l'utilisation du chiffrement, il serait surtout utile de se focaliser sur les pages et les services qui le nécessitent vraiment. Hors, quel besoin de chiffrer le contenu d'une page publique lorsqu'un utilisateur n'est pas connecté par exemple ?
Reste à voir comment cette décision sera accueillie dans les jours à venir. Il y a fort à parier qu'au retour des vacances, les services techniques vont avoir fort à faire avec les services du marketing et du SEO qui vont pousser à la migration vers HTTPS pour des questions de référencement, sans forcément comprendre toutes les implications que cela peut engendrer. Espérons néanmoins que cela poussera les intermédiaires tels que les régies et agences publicitaires, ainsi que les autres fournisseurs de services intégrables, à se mettre à la page.
