Le HTTPS devient la norme sur Chrome, le HTTP est sanctionné.

Le 25 juillet 2018, Google a mis à jour Chrome dans sa version 68. C’est la première version qui affiche publiquement qu’un site n’est pas sécurisé. Un changement de philosophie par rapport à ce qui se faisait avant où Google préférait montrer les sites dits « sécurisés ». Chrome 68 est un premier pas vers ce nouveau paradigme.

Cela fait des mois que Google milite activement pour le passage des sites web au HTTPS. Cette évolution du protocole HTTP qui vous permet d’accéder aux sites web est plus sécurisée pour l’utilisateur (S signifiant tout simplement secure) dans la mesure où elle authentifie l’intégrité du site web visité et chiffre les informations échangées entre le site et l’internaute.

Le site de l’éducation nationale sur Chrome 67 // Source : Capture d’écran Numerama

 

Le site de l’éducation nationale sur Chrome 68 // Source : Capture d’écran Numerama

Sous Chrome 68, le petit bouton d’information qui alertait sur le côté non sécurisé d’un site est devenu un « Non sécurisé » bien visible. Le site de l’éducation nationale en France ou celui du Parlement Européen sont concernés.

Site du parlement européen sous Chrome 68 // Source : Capture d’écran Numerama
Site du parlement européen sous Chrome 67 // Source : Capture d’écran Numerama

Si l’intention de transformer la sécurité en norme de Google est louable, il faudra veiller à ce que cette sécurité ne soit pas entendue comme absolue par l’utilisateur. Par exemple, un site qui pourrait proposer le téléchargement de logiciels vérolés ou bourrés de malware pourrait être « Sécurisé » s’il est en HTTPS.

Chrome 69 et 70 : la rentrée sous le signe du HTTPS

Aujourd’hui, quand vous visitez Numerama, Chrome vous indique que le site est Sécurisé, en toutes lettres et en vert. En septembre, cette mention disparaîtra : seul le petit cadenas restera affiché pour signifier qu’un site utilise bien le HTTPS. En octobre, pour Chrome 70, ce sont les sites qui ne sont pas en HTTPS qui seront affublés d’un gros Non sécurisé rouge bien visible où se trouve aujourd’hui l’information en gris. Plus tard, il est possible que Google enlève le cadenas des sites en HTTPS, comme le montre le visuel ci-dessous diffusé par l’entreprise.

Ne plus afficher la sécurité des internautes peut paraître contre-intuitif et en décalage par rapport au besoin croissant de transparence sur Internet. Et pourtant, l’argument de Google tient debout : aujourd’hui, le géant estime que l’utilisation du HTTPS devrait être une option par défaut et que la sécurité des données des utilisateurs devrait être banale — la mise en place de ce certificat est plus simple en 2018 qu’il y a quelques années. Dès lors, il a choisi d’invisibiliser le HTTPS et de punir les sites qui n’ont pas adopté cette norme par une mention visuelle. Les responsables techniques ont jusqu’à octobre pour adapter leurs sites… au risque d’effrayer les internautes.

Partager sur les réseaux sociaux