Google va commencer à diffuser des alertes de sécurité en 2020 sur Chrome si vous vous rendez sur certains sites web. Si vous en voyez, cela signifie que ces sites utilisent des normes de sécurité beaucoup trop vieilles.

Vous utilisez Google Chrome pour aller sur le net ? À partir du 13 janvier 2020, vous verrez peut-être des alertes de sécurité en vous rendant sur certains sites web. En effet, la firme de Mountain View a pour projet de se débarrasser des plus vieilles versions d’un protocole de sécurité très courant sur le web, TLS, mais qui sont aujourd’hui jugées obsolètes pour protéger correctement les internautes.

Précisément, ce sont les versions 1.0 et 1.1 de TLS (Transport Layer Security), un protocole qui sert à sécuriser les liaisons en ligne, entre l’ordinateur de l’internaute et le serveur du site web sur lequel il se rend, qui sont dans le viseur de Google. Ces deux normes datent respectivement de 1999 et 2006. Or, il existe aujourd’hui deux moutures plus récentes : TLS 1.2, sortie en 2008, et surtout TLS 1.3, arrivée en 2018.

« Bien que l’utilisation des vieilles branches de TLS ait diminué, nous voyons encore plus de 0,5 % de pages chargées avec ces versions obsolètes », observe Google. Les internautes n’y sont pour rien dans cette histoire : ce sont les gérants des sites web en cause qui sont en faute. Si TLS 1.3 est certes très récente, la version qui se trouve juste avant n’est pas sortie l’avant-veille : elle a déjà dix ans d’existence.

Google Chrome TLS blocage
Courant 2020, Google Chrome bloquera par défaut ces connexions, mais il sera toujours possible de demander une exception. // Source : Google

Serrage de vis en deux temps

Dans un premier temps, à partir de la branche 79 de Chrome, les internautes se rendant sur lesdits sites verront une indication selon laquelle la sécurité de leur connexion n’est pas optimale. En cliquant dessus, un panneau d’information expliquera que « ce site utilise une configuration de sécurité désuète, qui peut exposer vos informations (par exemple, mots de passe ou cartes bancaires) lorsqu’elles sont envoyées sur ce site ».

Dans un second temps, avec Chrome 81, qui arrivera au cours du printemps 2020, la mise en garde se transformera en interdiction : les liaisons établies avec les normes 1.0 et 1.1 de TLS seront bloquées par défaut. Bien sûr, l’internaute aura toujours la possibilité de passer outre l’avertissement de Google en demandant une exception. Ce sera alors à ses risques et périls.

Chrome n’est pas le seul navigateur d’importance à se détourner des normes obsolètes de TLS. Les trois autres grands acteurs du marché de la navigation en ligne, à savoir Microsoft (avec Edge), Mozilla (avec Firefox) et Apple (avec Safari) sont sur la même trajectoire. Eux aussi préparent l’abandon en 2020 de ces deux branches. La bascule doit se faire au cours du premier semestre prochain, comme Google.

Partager sur les réseaux sociaux