L'extension HTTPS Everywhere, qui sert à se connecter automatiquement aux sites web de manière sécurisée, tire sa révérence. En 2022, elle sera désactivée. Elle n'est plus utile, maintenant que le web est globalement chiffré.

C’est vers une retraite bien méritée que se dirige HTTPS Everywhere. L’extension web, qui est disponible pour les principaux navigateurs web, doit en effet être retirée du service actif à partir de 2022. La raison ? Le web n’a plus vraiment besoin d’elle pour protéger les internautes. Les navigateurs intègrent tous ou presque, de façon native, un équivalent à HTTPS Everywhere.

La décision de mettre de côté HTTPS Everywhere a été annoncée le 21 septembre par l’Electronic Frontier Foundation (EFF), une puissante organisation américaine dédiée à la défense des libertés numériques, que l’on retrouve actuellement dans un autre grand chantier : Let’s Encrypt. Ce dernier consiste à faciliter l’accès aux certificats de sécurité au plus grand nombre, là aussi pour augmenter la sécurité du web.

HTTPS Everywhere, le module qui voulait chiffrer le web

L’extension HTTPS Everywhere sert à activer le protocole HTTPS quand celui-ci est disponible, au lieu d’utiliser la version HTTP (d’où le nom de HTTPS Everywhere : c’est pour avoir du HTTPS partout). Le projet est très ancien, plus ancien encore que les révélations faites par Edward Snowden en 2013, qui ont accéléré la tendance au tout chiffrement. En effet, le projet de HTTPS Everywhere a émergé en 2010.

Le HTTPS sert à signaler à l’internaute que la connexion entre son navigateur et le site web est sûre. Cette protection est symbolisée par un cadenas fermé dans la barre d’URL. Le HTTPS repose sur un protocole de chiffrement qui est décisif pour consulter des ressources en ligne, y compris sensibles (banque, site marchand, mail), car il empêche à la fois l’interception, la lecture et l’altération des échanges.

Avec le temps, HTTPS Everywhere (HTTPS est un sigle qui signifie HyperText Transfer Protocol Secure) s’est déployé sur de nombreux navigateurs web : on le retrouve aujourd’hui sur Google Chrome, Firefox Microsoft Edge, Opera, Brave (inclus nativement) et Tor (idem). Sur mobile, il est aussi disponible, mais à plus petite échelle. Firefox, Brave, Tor et Onion le proposent, sur Android ou iOS.

L’accès sécurisé aux sites grâce au chiffrement de la connexion est devenu très courant sur le web. // Source : Let’s Encrypt

Dès 2011, HTTPS Everywhere s’avérait relativement utile, car le protocole HTTPS pouvait être activé sur plus de mille sites, dont quelques-uns de tout premier plan. Il n’était juste pas proposé par défaut. L’extension visait donc à forcer cette connexion sécurisée, en attendant le jour où cette liaison serait active de base, sans avoir besoin d’un module complémentaire. Et puis Edward Snowden est arrivé.

Ses révélations au sujet des programmes de surveillance de masse sur Internet mis en place par les grandes agences de renseignement ont constitué un véritable tournant dans la montée en puissance du HTTPS. Paradoxalement, cette affaire a été une opportunité inespérée pour le projet de l’EFF de chiffrer tout le web, en protégeant les communications des internautes.

« Depuis que nous avons commencé à offrir HTTPS Everywhere, la bataille pour le chiffrement du web a fait des bonds en avant : ce qui était autrefois un argument technique difficile est maintenant une norme courante offerte sur la plupart des pages web », se félicite l’ONG, même s’il a fallu du temps pour arriver à ce résultat. Plus de dix ans séparent cette annonce du lancement du module.

Le HTTP est en voie de disparition

Aujourd’hui, tous les signaux sont au vert pour le HTTPS, qui est devenu très largement majoritaire dans le paysage du web — Google a également eu une influence, en faisant en sorte que le HTTPS devienne aussi un critère pour un bon référencement. Le tableau de bord proposé par Google, qui permet de suivre le degré d’utilisation du chiffrement sur le web, est sans équivoque.

Ainsi, la quasi-totalité des 100 principaux sites web utilisait le HTTPS par défaut, en date du 1er janvier 2019 (le chiffre n’a pas été actualisé depuis, mais il n’a pu que progresser). Et Google Chrome, qui constitue une excellente vigie de suivi de ce qui se passe sur le net, car c’est le navigateur le plus utilisé au monde, constate que 90 % du temps, la navigation se fait en HTTPS — 95 % pour la France.

Firefox
Les navigateurs web comme Firefox intègrent nativement des équivalents à HTTPS Everywhere.  // Source : Mozilla

On retrouve des statistiques équivalentes avec le site de suivi HTTP Archive. Les requêtes HTTPS étaient à peine de l’ordre de 20 % en janvier 2016. En 2021, elles sont au-dessus de 90 %. Certes, toute cette progression n’est pas à mettre qu’au crédit de l’extension de l’EFF : bien d’autres facteurs ont joué (Google, les révélations de Snowden, l’initiative Let’s Encrypt). Cependant, le module a fait sa part.

Et puis il y a aussi l’action des navigateurs. Comme cela a été indiqué, ils intègrent tous ou presque nativement un équivalent à HTTPS Everywhere. C’est le cas de Google Chrome et Firefox par exemple — nous en avions parlé à l’époque. Mais Microsoft Edge et Safari sont aussi sur cette trajectoire. Ces intégrations sont arrivées certes assez tardivement, mais il fallait être sûr que le HTTP soit bien en voie de disparition.

L’EFF a conscience que son module est encore présent dans bien des navigateurs. Elle n’a donc pas l’intention de faire une transition brutale : l’extension sera certes dépréciée, mais en 2022. Elle passera alors dans un mode maintenance et ne sera plus vraiment mise à jour. Puis elle sera désactivée. Ces quelques mois permettent de laisser une marge aux personnes pour faire une bascule aussi douce que possible.

« L’objectif de HTTPS Everywhere a toujours été de devenir redondant. Cela signifierait que nous aurions atteint notre objectif principal : un monde où le HTTPS est si largement disponible et accessible que les utilisateurs n’ont plus besoin d’une extension de navigateur supplémentaire pour l’obtenir. Maintenant, ce monde est plus proche que jamais », écrit l’EFF.

Mission accomplie.

Partager sur les réseaux sociaux

La suite en vidéo