Google introduit une option appelée « HTTPS First » avec Chrome 94. Elle consiste à réclamer uniquement la connexion sécurisée HTTPS au moment de visiter un site web, si elle est disponible.

Annoncée en plein cœur de l’été, la nouvelle fonction de sécurité de Google pour son navigateur Chrome est arrivée. Elle est en effet livrée avec la version 94 du logiciel, qui est disponible depuis le 21 septembre. Les internautes doivent procéder manuellement à la mise à jour de Google Chrome pour en bénéficier, si elle n’a pas déjà été récupérée et installée automatiquement.

Google Chrome accentue la priorisation du HTTPS

Cette fonctionnalité consiste à déployer chez les internautes un mode de connexion appelé « HTTPS First » (soit « HTTPS D’abord »). Avec lui, le navigateur va tenter de charger les pages web demandées par l’internaute avec la connexion sécurisée, au lieu de chercher à les joindre avec une connexion basique, sans protection lorsqu’elle circule sur Internet entre son PC et le serveur informatique qui est contacté.

La connexion sécurisée est symbolisée par l’acronyme HTTPS, qui signifie HyperText Transfer Protocol Secure. C’est la lettre « s » qui est ici importante, car elle indique que la liaison est sûre. Cet acronyme apparaît au début des adresses web (comme pour le site de Numerama), avec la présence d’un symbole de cadenas fermé. En clair, les données qui circulent entre l’internaute et le site sont chiffrées.

Quand ce mode est actif, il cherche donc à établir une connexion en utilisant le protocole HTTPS en priorité. Si ce n’est pas possible, parce que le site visité ne le prend pas en charge, Google Chrome affiche un avertissement en plein écran. L’internaute garde la possibilité de rentrer quand même dans le site web, sans la liaison sécurisée, mais il aura été prévenu des risques encourus.

Google n’a pas commencé cette bascule avec Chrome 94. Déjà avec Chrome 90, la société cherchait à activer par défaut la liaison sécurisée HTTPS au moment de se connecter au site web.  Avec Chrome 94, il s’agit de prolonger cette politique en cherchant à mettre systématiquement les connexions en HTTPS et, le cas échéant, en affichant une alerte pour les sites qui ne gèrent pas le protocole.

Google Chrome sécurité
Le principe vise à utiliser d’abord une liaison HTTPS pour se rendre sur un site web. Si ce n’est pas possible, Google affichera un avertissement. L’internaute qui le souhaite pourra quand même accéder au site, mais sans protection de la liaison. // Source : Google

Lors de son annonce, Google a prévenu que ce mode serait dans un premier temps inactif : c’est à l’internaute de l’allumer en se rendant dans les paramètres du navigateur. À terme néanmoins, l’entreprise américaine pourrait imposer par défaut le « HTTPS First ». Aucun calendrier n’a toutefois été esquissé pour une bascule éventuelle. La société dit vouloir tenir compte des retours de sa communauté.

Un autre navigateur web s’est lui aussi positionné sur ce créneau : Firefox. La sortie en novembre 2020 de la version 83 du navigateur a donné le coup d’envoi du mode « HTTPS Uniquement ». Lui aussi est facultatif. Lui aussi est à activer dans les réglages du logiciel. Et lui aussi pourrait à terme devenir le mode de connexion par défaut. La méthode pour l’avoir est décrite dans ce sujet.

Le caractère facultatif des modes HTTPS First et HTTPS Uniquement traduit une certaine prudence chez Mozilla et Google, qui ne souhaitent pas bombarder les internautes de pages d’avertissement à chaque fois qu’ils visitent en HTTP. Cela étant, les sites web qui n’ont aucune prise en charge du HTTPS ne courent plus les rues. Ils ne représentent plus qu’une toute petite minorité.

Partager sur les réseaux sociaux

La suite en vidéo