Alors que le HTTPS devient la norme sur Internet, Google décourage les sites non cryptés : à partir de ce mercredi (24), avec la sortie de Chrome 68, le navigateur signalera toutes les pages HTTP comme “non sécurisées ?
Dans le passé, le HTTPS était considéré comme important uniquement pour les sites traitant des données sensibles (comme votre banque sur internet), mais Google a commencé à stimuler le cryptage parce que “les intrus, qu’ils soient malins ou bénins, exploitent toutes les ressources non protégées qui existent entre votre site et les utilisateurs”.
Par conséquent, Chrome 68 affichera un avertissement “Unsafe” à côté de la barre d’adresse de tout site HTTP, quelle que soit l’action de l’utilisateur. La transition a été progressive : dans le Chrome 56, publié en janvier 2017, le navigateur affiche désormais un “i” pour signaler les sites HTTP ; dans le Chrome 62, d’octobre 2017, les sites HTTP qui avaient une certaine forme ont reçu un avertissement “Unsafe” rouge.
Les dernières données indiquent que plus de 68% du trafic passant par Chrome sur Android et Windows est déjà crypté ; dans les versions pour Chrome OS et macOS, c’est 78%, selon Google. Cependant, il existe de grands sites qui n’ont pas adopté le cryptage. Le chercheur en sécurité Troy Hunt a publié Why in HTTPS, qui répertorie les plus grands sites avec HTTP.
La plupart des sites web sans HTTPS se trouvent en Chine ; Baidu est le plus grand, étant considéré comme le quatrième site le plus visité au monde, selon Alexa. Dans le classement français, le “mur de la honte” est dirigé par les sites Clearload (130e le plus consulté), Torrents Command (1 069e), Ministry of Finance (1 085e), TechTudo (1 124e) et April (1 283e).
La prochaine étape de Google consiste à rendre le cryptage officiel en tant que norme : à partir de Chrome 69, les sites HTTPS ne seront plus marqués comme “sécurisés”.