Chrome 68 disponible, les sites sans HTTPS marqués comme « non sécurisés »

Chrome 68 est disponible, et avec lui un changement de comportement attendu depuis longtemps : les sites n’utilisant pas le HTTPS sont marqués comme « non sécurisés ». Le navigateur de Google est l’un des premiers à effectuer cette bascule, prévue par tous les concurrents.

Depuis longtemps, l’internaute peut identifier un site « sécurisé » par le petit cadenas vert situé à gauche de l’adresse du site. Il symbolise la présence d’une connexion HTTPS, signifiant que les données échangées avec le serveur sont chiffrées.

Ce cadenas (ou bouclier selon les navigateurs) a eu des vertus éducatives et devait inciter l’utilisateur à faire confiance. Une condition bien importante pour faire notamment décoller le commerce en ligne. Mais les choses ont bien changé, notamment sous l’impulsion d’initiatives comme Let’s Encrypt (qui a récemment passé la barre des 100 millions de certificats SSL/TLS, avec les dangers que cela comporte).

Maintenant que le HTTPS est utilisé par une grande majorité de sites, les navigateurs placardent depuis plusieurs mois maintenant une alerte pour signaler ceux qui ne le proposent pas quand des données sont sur le point d’être échangées. Deux exemples simples : l’envoi d’identifiants et les achats en ligne.

Il est désormais temps de franchir une nouvelle étape.

Les sites sans HTTPS deviennent « non sécurisés »

Chrome 68 introduit un changement aux vertus éducatives. Les sites avec HTTPS gardent leur cadenas et leur « Sécurisé », mais ceux ne l’ayant pas sont affublés d’un « Non sécurisé » gris. Les internautes vont donc apprendre progressivement ces deux facettes du web, avant d'affronter des changements plus radicaux.

Bon nombre d’internautes ne remarqueront sans doute même pas cette nouveauté. C’est d’ailleurs l’idée : accompagner l’adresse d’une information discrète, mais essentielle. Les utilisateurs n’auront cependant que quelques semaines pour s’y faire avant que Chrome n’aille plus loin.

Chrome 69 et 70 fermeront la marche

En septembre et octobre, les futures moutures du navigateur termineront ce travail éducatif. Dans un premier temps, Chrome 69 va supprimer l’étiquette « Sécurisé » pour un site possédant HTTPS. Le cadenas restera en place mais perdra sa couleur verte pour un simple gris. De quoi insister encore sur l’idée qu’une connexion chiffrée est la norme.

Environ six semaines plus tard, Chrome 70 viendra accentuer la pression sur les sites sans certificat. Déjà signalés comme non sécurisés, le navigateur colorera son avertissement en rouge dès que l’internaute inscrira des données dans un formulaire.

Après ces trois versions successives, Google espère que l’internaute aura compris le message : seuls les sites n’utilisant pas HTTPS seront pointés du doigt. Un changement conséquent et une inversion de philosophie qui devraient concourir à améliorer encore la sécurité générale du web. Car en dépit des efforts réalisés, la marge d’amélioration reste importante.

Selon Google, le trafic via Chrome montre ainsi une utilisation déjà massive de HTTPS, mais avec parfois de gros écarts. Au 21 juillet par exemple, 84 % des sites visités aux États-Unis étaient chargés via HTTPS. En France, le chiffre est presque aussi élevé : 82 %. L’Indonésie, la Turquie et le Japon sont cependant loin derrière, avec respectivement 68, 67 et 66 %.

Un mouvement général

Chrome est le premier à marquer tous les sites sans HTTPS comme non sécurisés. Safari, depuis sa mouture 11.1, affiche bien un message en rouge, mais uniquement pour les pages contenant des formulaires. Chrome 68 généralise son avertissement, bien qu’il faille attendre la version 70 pour l'arrivée du rouge sur les pages à formulaires.

Mais Google a beau être le premier à se jeter dans le grand bassin, les autres suivent ou prévoient de le faire. Côté Firefox, un cadenas barré d’un trait rouge apparait quand une page sans HTTPS propose un champ d’identification. À terme, le navigateur l’affichera pour toutes les pages avec du simple HTTP, mais Mozilla n’a pour l’instant pas de calendrier. Dans le menu about:config, on peut néanmoins forcer cet affichage, via le réglage security.insecure_connection_icon.enabled. Il suffit alors de le basculer en « true ».

Les navigateurs reposant sur la base Chromium vont hériter du changement introduit par Google et devraient donc proposer le même comportement au cours des prochains mois. Quant à Edge, il suit pour l’instant le comportement courant : un cadenas pour les pages HTTPS, rien pour les pages classiques et une étiquette « Non sécurisé » si ces dernières présentent un formulaire. Microsoft n’a pas encore évoqué la suite du programme.

Notez que même si HTTPS n’est pas une protection absolue, il reste crucial pour s’assurer – autant que possible – que les données échangées n’ont pas été modifiées par un tiers. Le changement introduit par Chrome est donc important, et ce d’autant plus qu’il est le navigateur le plus utilisé au monde (environ 59 % selon StatCounter).

Enfin, ceux souhaitant aller un peu plus loin pourront se pencher sur l’extension HTTPS Everywhere de l’EFF, qui s’assure de toujours basculer sur une connexion HTTPS si le serveur contacté l’autorise. Elle est disponible pour Chrome, Firefox et Opera. Le navigateur Brave l'intègre directement.