Google Chrome 68 : le HTTPS devient obli­ga­toire

Juillet 2018, apparaît la nouvelle version du na­vi­ga­teur de Google : Chome 68. C’est un petit trem­ble­ment de terre avec l’obli­ga­tion du HTTPS pour tout contenu de page. En effet, les sites ne disposant pas d’une cer­ti­fi­ca­tion SSL et étant restés sur HTTP seront con­si­dé­rés comme « Non sécurisé ». De quoi alerter les ex­ploi­tants de site qui ne sont pas to­ta­le­ment à jour. Nous vous ex­pli­quons ce qu’est Chrome 68, le HTTPS, les cer­ti­fi­ca­tions, et de quoi il en retourne.

La mention « non sécurisé » ne vous est cer­tai­ne­ment pas inconnue : elle ap­pa­rais­sait déjà pour certains cas de figure. En effet, depuis 2016 avec Chrome 56, toute page pour laquelle un mot de passe ou des coor­don­nées bancaires étaient sol­li­ci­tés était sys­té­ma­ti­que­ment marquée comme non sécurisée avec un petit « i » d’in­for­ma­tion sur Chrome si elle ne possédait pas de cer­ti­fi­cat SSL/TLS. Aujourd’hui, la mention s’est gé­né­ra­li­sée à chaque page ne possédant pas de cer­ti­fi­cat valide. Google ne prend donc plus en compte le type de contenu mais a fait le choix d’avertir sys­té­ma­ti­que­ment ses uti­li­sa­teurs lorsqu’ils pénètrent sur une page qui n’est pas to­ta­le­ment sécurisée. Il ap­par­tient ensuite à chacun de décider de continuer ou non sa na­vi­ga­tion.

A noter, Chrome 68 traite chaque page une à une. Ainsi, le na­vi­ga­teur vérifie avant d’atterrir sur une page si cette dernière est bien chiffrée. Si la connexion est établie par HTTP, le message d’aver­tis­se­ment fait irruption. Il n’est donc plus possible de prendre son site de manière globale : à chaque page non chiffrée HTTPS, vous risquez d’ap­pa­raître comme un site non sécurisé.

Au­pa­ra­vant, la dis­tinc­tion entre une page possédant un cer­ti­fi­cat valide se faisait grâce à une petite lettre dans la barre de na­vi­ga­tion : le « S » ad­di­tion­nel de HTTPS, sig­ni­fiant « Secure ». Toutefois, selon une étude menée par Google, cette dis­tinc­tion aurait peu d’impact sur les uti­li­sa­teurs. Un message « Not secure » capte en revanche beaucoup plus leur attention et leur permet de faire un choix en réel con­nais­sance de cause. En bref, le nouvel aver­tis­se­ment permet un éti­que­tage plus clair des pages.

Pour passer au HTTPS, il est né­ces­saire que vos données soient chiffrées avec un protocole SSL (Secure Sockets Layer). Si vous n’êtes pas pro­prié­taire de cette licence, vous restez en HTTP. Le HTTPS chiffre l’ensemble des in­for­ma­tions qui circulent entre le site Web et l’in­ter­naute. Il sécurise la trans­mis­sion de données.

D’après le blog de Google traitant des questions de sécurité, déjà bon nombre de sites aurait adopté le HTTPS. Dans la pu­bli­ca­tion du moteur de recherche annonçant la tran­si­tion à Chrome 68, des chiffres assez in­té­res­sants montrent que le Web s’est déjà emparé du HTTPS : non seulement 81 des 100 meilleurs sites Internet l’uti­li­se­raient par défaut, mais le HTTPS re­pré­sen­te­rait aussi 68% du trafic Chrome sur Windows et Android. La tran­si­tion devrait donc s’imposer à 32% du Web (Windows et Android seulement pris en compte), un pour­cen­tage qui reste tout de même non né­gli­geable.

Pour Google, l’argument numéro un en faveur du HTTPS est la sécurité des in­ter­nautes. Le HTTP ap­par­tient en effet à une autre ère, et ne répond pas à tous les enjeux de sécurité que le Web pose aujourd’hui. Le chif­fre­ment HTTPS en revanche est beaucoup plus per­for­mant et sûr. Il permet de protéger les sessions, notamment lorsque des données sensibles doivent être échangées, comme des coor­don­nées bancaires. Les hackers peuvent beaucoup plus fa­ci­le­ment s’emparer des pages HTTP et capter les in­for­ma­tions trans­mises. Dès 2014, Google avait commencé à tirer la sonnette d’alarme sur les sites HTTP, pour mettre en place deux ans plus tard des aver­tis­se­ments sur certaines pages.

Les fraudes vont bon train, qu’ils s’agissent de vol de cookies, de re­di­rec­tion, de phishing, d’attaque de l’homme du milieu, de spoofing ou de simple es­pion­nage. En in­ter­cep­tant des messages, les hackers dé­ve­lop­pent des tech­niques toujours plus crédibles pour pénétrer dans l’intimité des uti­li­sa­teurs, les tromper et tirer profit de leur vul­né­ra­bi­lité. Les pages Web doivent donc être protégées au mieux pour éviter l’in­ter­ven­tion de toute tierce partie non autorisée. En cas de faille de sécurité, les données peuvent ra­pi­de­ment être utilisées et dé­tour­nées. Le HTTPS vise à empêcher ces dé­sa­gré­ments.

Critère clé pour Chrome 68, le HTTPS est main­te­nant plus qu’un gage de sécurité. Il influence le clas­se­ment des sites sur les moteurs de recherche et devient ainsi un enjeu SEO.

Cela paraît logique : les in­ter­nautes, plus sus­cep­tibles de fuir les pages HTTP, augmente le trafic des pages HTTPS. Ces dernières sont donc dou­ble­ment ré­com­pensé : avec un taux de rebond plus faible et une con­for­mité aux critères de Chrome 68, il est tout naturel qu’elles grimpent dans leur ré­fé­ren­ce­ment naturel. Attention toutefois, le HTTPS s’applique page par page. Si l’une des pages de votre site ne présente pas de cer­ti­fi­cat SSL valide, elle peut être déclassée. Par ailleurs, le HTTPS est plus per­for­mant (identique HTTP/2), ce qui participe de nouveau à un meilleur clas­se­ment.

Enfin de manière générale, il en va de la cré­di­bi­lité de votre site, et ce d’autant plus si vous possédez une boutique en ligne. Vos visiteurs ne sont qu’à un clic de la con­cur­rence. Une image fiable et pro­fes­sion­nelle pour le e-commerce est donc vital à votre survie. Les in­ter­nautes ne ré­flé­chis­sent pas à deux fois lorsqu’ils voient un message « non sécurisé » sur Google Chrome 68, même s’il s’agit d’un site qu’ils con­nais­sent et auquel ils faisaient au­pa­ra­vant confiance. Internet est mouvant et chaque signe de risque éventuel de fraude freine les uti­li­sa­teurs dans leur élan. Si cela arrive avant de valider un panier d’achat, c’est la fuite assurée. Il est en effet fort à parier que ce marquage beaucoup plus clair proposé par Chrome 68 influence dras­ti­que­ment le trafic d’un site Web mais surtout les décisions des uti­li­sa­teurs. Dans un sondage de novembre 2014, l’autorité de cer­ti­fi­ca­tion Glo­bal­sign a constaté que 85% des acheteurs en ligne évitent les sites Web non chiffrés.

En mai 2018, Google a annoncé le retrait de la mention « sécurisé » qui apparait ac­tuel­le­ment sur tous les sites ex­ploi­tant le protocole HTTPS. Google estime que les usagers sont au­jour­d'hui en droit d'at­tendre que le web soit sécurisé par défaut. L’alerte de couleur rouge restera visible afin de signaler tous les sites qui per­sis­tent à se contenter du HTTP comme « non sécurisés ». Comme indiqué sur le blog Google Chromium, ce chan­ge­ment entrera en vigueur avec le dé­ploie­ment de Chrome 69 en septembre 2018.

Rien de plus simple : il vous faut acquérir un cer­ti­fi­cat SSL/TLS auprès d’une autorité reconnue.

Le passage à une extension sécurisée du HTTP ne nécessite pas trop de temps. Vous pouvez acquérir un cer­ti­fi­cat à va­li­da­tion de domaine (niveau d’iden­ti­fi­ca­tion le plus bas). Toutefois, si vous traitez des données hautement sensibles, un niveau de pro­tec­tion plus élevé est né­ces­saire. Pour un type de va­li­da­tion plus sûre, vous devrez vous tourner vers le cer­ti­fi­cat à va­li­da­tion d’or­ga­ni­sa­tion qui vérifie notamment votre ap­par­te­nance au registre de commerce de l’en­tre­prise. De nouveau, cette cer­ti­fi­ca­tion n’assure néanmoins pas la meilleure des sécurités. C’est le cer­ti­fi­cat à va­li­da­tion étendue (EV pour extended va­li­da­tion) qui re­pré­sente le meilleur niveau d’au­then­ti­fi­ca­tion avec un contrôle strict. Les in­for­ma­tions sur votre en­tre­prise sont vérifiées de manière beaucoup plus détaillée et le cer­ti­fi­cat va permettre, entre autres, de protéger les uti­li­sa­teurs dans la saisie de leurs données sensibles, comme les numéros de cartes de crédit. Les coûts de ces 3 cer­ti­fi­cats sont bien sûr crois­sants.

Certaines erreurs et problèmes peuvent mal­heu­reu­se­ment ap­pa­raître lors de votre réor­ga­ni­sa­tion. Pour les éviter ou les résoudre, vous pouvez consulter notre article com­plé­men­taire.

Google étant pionnier dans de nombreux domaines, on peut s’attendre à ce qu’un certain nombre de na­vi­ga­teurs emboîte le pas du géant et re­ven­dique au cœur de ses préoc­cu­pa­tions la pro­tec­tion des données des uti­li­sa­teurs. Un sujet par­ti­cu­liè­re­ment sensible depuis le scandale Facebook et la mise en place du RGPD en Union Eu­ro­péenne.

Do­ré­na­vant, Google Chrome ne fait confiance qu’aux con­nexions HTTPS. Mais il faut noter une exception : malgré le HTTPS, Google Chrome met en garde les sites Web utilisant un cer­ti­fi­cat Symantec éxpiré. Ceci est dû à un différend de longue date entre le géant de la Silicon Valley et l’en­tre­prise de cer­ti­fi­ca­tion : selon Google, Symantec aurait émis des cer­ti­fi­cats in­cor­rects de milliers de domaines qui se seraient avérés peu fiables à plusieurs reprises.

Google a alors pro­gres­si­ve­ment retiré sa confiance, la guerre étant clai­re­ment déclarée avec Google 66 : depuis le 17 avril 2018, un aver­tis­se­ment apparaît pour certains sites Web aux cer­ti­fi­cats Symantec TLS ainsi qu’un message indiquant que les données de ce site peuvent po­ten­tiel­le­ment être in­ter­cep­tées par des tiers. Google Chrome 68 émet main­te­nant un message d’aver­tis­se­ment clair : « Non sécurisé ». Avec la mise à jour Chrome 70, prévue pour le 23 octobre 2018, cette note devrait être encore plus visible pour tout cer­ti­fi­cat issu avant le 1 décembre 2017 : en effet, le « Non sécurisé » devrait ap­pa­raître en rouge et être mis en sur­bril­lance lorsqu’un uti­li­sa­teur entre des données sur un site non sécurisé.

Combien de domaines vont être touchés par ce chan­ge­ment ? Un tech­ni­cien de sécurité de Airbnb a pris l’ini­tia­tive de le calculer : le chiffre serait de 11 510, donc près de 10 % selon le clas­se­ment Alexa des sites Web les plus visités. La raison de ce chiffre très élevé est que Chrome 70 ne se méfie pas seulement des cer­ti­fi­cats expirés émis di­rec­te­ment par Symantec mais aussi de toute la chaîne qui y a recours in­di­rec­te­ment (comme GeoTrust, RapidSSL et Thawte). Il est donc conseillé aux uti­li­sa­teurs de cer­ti­fi­cats Symantec de vérifier la date d’issue et de remplacer leur cer­ti­fi­cat gra­tui­te­ment si né­ces­saire.