Une page va se tourner dans l’histoire du web : l’icône du cadenas, qui sert à indiquer quand une connexion à un site web est sûre, ne sera plus montrée par défaut sur Chrome. Elle sera déplacée dans un sous-menu. Google juge que ce symbole n’est plus nécessaire aujourd’hui et qu’il peut même être contreproductif.

C’est un chambardement important qui s’annonce pour le web. À partir de Chrome 117, qui doit sortir au mois de septembre 2023, l’icône en forme de cadenas ne sera plus visible par défaut directement dans la barre d’adresse du navigateur. Elle sera retirée et déplacée dans une fenêtre regroupant divers paramètres en rapport avec le site visité.

Le calendrier de retrait a été précisé dans une actualité parue le 2 mai sur le site de développement de Chromium, le navigateur sur lequel repose Google Chrome. La décision prise ici par Google est considérable, compte tenu du degré d’utilisation de Chrome dans le monde — un peu plus de six internautes sur dix utilisent ce logiciel pour surfer sur le web.

Source : Google
Le cadenas est déplacé dans un sous-menu, qui regroupe divers paramètres liés au site web visité. // Source : Google

Le cadenas sert à indiquer lorsque la connexion à un site web est sécurisée avec le protocole HTTPS (Hypertext Transfer Protocol Secure). Cela signifie que la liaison établie entre votre navigateur et le site est protégée par une couche de chiffrement, afin de garantir la confidentialité, la sécurité et l’intégrité des données circulant entre les deux.

Historiquement, cette petite icône existe depuis très longtemps — elle remonte même jusque dans les années 90 avec l’antique navigateur Netscape. Tout le monde s’en sert aujourd’hui : Firefox, Edge (et avant Internet Explorer), Safari, Opera, etc. Il a pris à travers le temps divers aspects. À une époque, le cadenas était de couleur verte, par exemple, avant de devenir gris.

L’intérêt de montrer un cadenas directement dans la barre d’adresse, là où s’affiche l’URL du site que vous visitez, était évident lorsque le HTTPS était loin d’être adopté par tout le monde. Mais aujourd’hui, le HTTPS équipe « de série » tout le web — ou presque. La quasi-totalité des statistiques sur le sujet montre des taux d’adoption au-delà de 90 %, voire 95 %.

Même les sites malveillants utilisent HTTPS

En fait, l’emploi du HTTPS est aujourd’hui tellement répandu que même les sites malveillants font en sorte de l’adopter pour afficher le cadenas — et ainsi mettre en confiance les internautes imprudents. Les sites de phishing s’en servent pour piéger leurs victimes, en imitant des sites légitimes, pour qu’elles renseignent toutes sortes d’informations personnelles et bancaires.

Cette situation est due au fait que les internautes ne comprennent pas le sens qu’il y a derrière l’icône cadenas : ce symbole ne dit pas que le site est digne de confiance. Il dit que la liaison entre le site et vous exploite un protocole de chiffrement — qui sert à éviter des interceptions tierces. En clair, vous pouvez tomber dans la gueule du loup même avec une liaison en HTTPS.

HTTPS connexion liaison sécurisée chiffrement
Le symbole d’une connexion sécurisée, un cadenas fermé. // Source : Sean MacEntee

« Notre étude de 2021 a montré que seuls 11 % des participants à l’étude avaient bien compris la signification précise de l’icône du cadenas », explique Google. La firme de Mountain View dit avoir tenté plusieurs modifications visuelles (comme le changement de couleur de vert à gris) pour corriger la mauvaise interprétation des internautes, mais sans succès.

Nous l’avions relevé également dans un article de 2022 titré « Le sigle HTTPS n’est plus un gage de sécurité pour un site web ». Il montre que les escrocs savent très bien s’adapter à l’évolution du panorama pour continuer à piéger des malheureux. Signe, d’ailleurs, que les internautes ne saisissent pas ce qu’est le HTTPS : cet autre article s’efforce de rappeler le rôle exact de ce sigle.

« Presque tous les sites d’hameçonnage utilisent HTTPS et affichent donc l’icône du cadenas. Les malentendus sont si répandus que de nombreuses organisations, dont le FBI, publient des conseils explicites indiquant que l’icône du cadenas n’est pas un indicateur de la sécurité d’un site web ». Dans ces conditions, constate Google, il est temps de mettre ce symbole de côté.

Le cadenas a été utile quand le HTTPS n’était pas partout

Mais Google reconnaît que le HTTPS a été utile dans les années 2000 et 2010, au moment où il fallait faire œuvre d’évangélisation pour inciter le web à se mettre au HTTPS. Les initiatives se sont multipliées en ce sens : Google en a fait un critère de bon classement dans son moteur de recherche. Les révélations faites par Edward Snowden en 2013 sur les activités de la NSA ont aussi joué.

On se rappelle en 2014 d’une campagne pour simplifier le chiffrement sur le web, avec l’initiative Let’s Encrypt — une initiative militante qui a changé la face du net. Ou bien, en 2010, avec le module HTTPS Everywhere, qui a depuis tiré sa révérence. Les navigateurs aussi ont été mobilisés, à l’image de Firefox, Edge ou Chrome pour n’en citer que trois.

chiffrement
Symbole de la sécurisation sur le net, le cadenas va se faire beaucoup plus discret sur Chrome. // Source : Illustration Lucie Benoit pour Numerama

Cela étant, Google précise bien qu’il ne fait pas disparaître totalement le cadenas de Chrome. L’indicateur est déplacé dans un sous-menu, où l’on trouve des options de personnalisation — est-ce que vous voulez activer la localisation sur ce site ; est-ce que vous autorisez l’accès au micro et à la webcam ; est-ce que vous voulez afficher les cookies, et ainsi de suite.

Il y a une autre mesure que Google va continuer à appliquer, lorsque vous vous rendrez sur un site web non sécurisé, c’est-à-dire qui n’emploie pas le protocole HTTPS. Le navigateur Chrome émettra toujours un avertissement de sécurité pour vous dire que vos données échangées circulent sans chiffrement entre vous et le site. Libre à vous de décider ensuite de poursuivre, ou non.


Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !