Google Chrome 68 : le HTTPS devient obligatoire

Juillet 2018, apparaît la nouvelle version du navigateur de Google : Chome 68. C’est un petit tremblement de terre avec l’obligation du HTTPS pour tout contenu de page. En effet, les sites ne disposant pas d’une certification SSL et étant restés sur HTTP seront considérés comme « Non sécurisé ». De quoi alerter les exploitants de site qui ne sont pas totalement à jour. Nous vous expliquons ce qu’est Chrome 68, le HTTPS, les certifications, et de quoi il en retourne.

La mention « non sécurisé » ne vous est certainement pas inconnue : elle apparaissait déjà pour certains cas de figure. En effet, depuis 2016 avec Chrome 56, toute page pour laquelle un mot de passe ou des coordonnées bancaires étaient sollicités était systématiquement marquée comme non sécurisée avec un petit « i » d’information sur Chrome si elle ne possédait pas de certificat SSL/TLS. Aujourd’hui, la mention s’est généralisée à chaque page ne possédant pas de certificat valide. Google ne prend donc plus en compte le type de contenu mais a fait le choix d’avertir systématiquement ses utilisateurs lorsqu’ils pénètrent sur une page qui n’est pas totalement sécurisée. Il appartient ensuite à chacun de décider de continuer ou non sa navigation.

A noter, Chrome 68 traite chaque page une à une. Ainsi, le navigateur vérifie avant d’atterrir sur une page si cette dernière est bien chiffrée. Si la connexion est établie par HTTP, le message d’avertissement fait irruption. Il n’est donc plus possible de prendre son site de manière globale : à chaque page non chiffrée HTTPS, vous risquez d’apparaître comme un site non sécurisé.

Auparavant, la distinction entre une page possédant un certificat valide se faisait grâce à une petite lettre dans la barre de navigation : le « S » additionnel de HTTPS, signifiant « Secure ». Toutefois, selon une étude menée par Google, cette distinction aurait peu d’impact sur les utilisateurs. Un message « Not secure » capte en revanche beaucoup plus leur attention et leur permet de faire un choix en réel connaissance de cause. En bref, le nouvel avertissement permet un étiquetage plus clair des pages.

Pour passer au HTTPS, il est nécessaire que vos données soient chiffrées avec un protocole SSL (Secure Sockets Layer). Si vous n’êtes pas propriétaire de cette licence, vous restez en HTTP. Le HTTPS chiffre l’ensemble des informations qui circulent entre le site Web et l’internaute. Il sécurise la transmission de données.

D’après le blog de Google traitant des questions de sécurité, déjà bon nombre de sites aurait adopté le HTTPS. Dans la publication du moteur de recherche annonçant la transition à Chrome 68, des chiffres assez intéressants montrent que le Web s’est déjà emparé du HTTPS : non seulement 81 des 100 meilleurs sites Internet l’utiliseraient par défaut, mais le HTTPS représenterait aussi 68% du trafic Chrome sur Windows et Android. La transition devrait donc s’imposer à 32% du Web (Windows et Android seulement pris en compte), un pourcentage qui reste tout de même non négligeable.

Pour Google, l’argument numéro un en faveur du HTTPS est la sécurité des internautes. Le HTTP appartient en effet à une autre ère, et ne répond pas à tous les enjeux de sécurité que le Web pose aujourd’hui. Le chiffrement HTTPS en revanche est beaucoup plus performant et sûr. Il permet de protéger les sessions, notamment lorsque des données sensibles doivent être échangées, comme des coordonnées bancaires. Les hackers peuvent beaucoup plus facilement s’emparer des pages HTTP et capter les informations transmises. Dès 2014, Google avait commencé à tirer la sonnette d’alarme sur les sites HTTP, pour mettre en place deux ans plus tard des avertissements sur certaines pages.

Les fraudes vont bon train, qu’ils s’agissent de vol de cookies, de redirection, de phishing, d’attaque de l’homme du milieu, de spoofing ou de simple espionnage. En interceptant des messages, les hackers développent des techniques toujours plus crédibles pour pénétrer dans l’intimité des utilisateurs, les tromper et tirer profit de leur vulnérabilité. Les pages Web doivent donc être protégées au mieux pour éviter l’intervention de toute tierce partie non autorisée. En cas de faille de sécurité, les données peuvent rapidement être utilisées et détournées. Le HTTPS vise à empêcher ces désagréments.

Critère clé pour Chrome 68, le HTTPS est maintenant plus qu’un gage de sécurité. Il influence le classement des sites sur les moteurs de recherche et devient ainsi un enjeu SEO.

Cela paraît logique : les internautes, plus susceptibles de fuir les pages HTTP, augmente le trafic des pages HTTPS. Ces dernières sont donc doublement récompensé : avec un taux de rebond plus faible et une conformité aux critères de Chrome 68, il est tout naturel qu’elles grimpent dans leur référencement naturel. Attention toutefois, le HTTPS s’applique page par page. Si l’une des pages de votre site ne présente pas de certificat SSL valide, elle peut être déclassée. Par ailleurs, le HTTPS est plus performant (identique HTTP/2), ce qui participe de nouveau à un meilleur classement.

Enfin de manière générale, il en va de la crédibilité de votre site, et ce d’autant plus si vous possédez une boutique en ligne. Vos visiteurs ne sont qu’à un clic de la concurrence. Une image fiable et professionnelle pour le e-commerce est donc vital à votre survie. Les internautes ne réfléchissent pas à deux fois lorsqu’ils voient un message « non sécurisé » sur Google Chrome 68, même s’il s’agit d’un site qu’ils connaissent et auquel ils faisaient auparavant confiance. Internet est mouvant et chaque signe de risque éventuel de fraude freine les utilisateurs dans leur élan. Si cela arrive avant de valider un panier d’achat, c’est la fuite assurée. Il est en effet fort à parier que ce marquage beaucoup plus clair proposé par Chrome 68 influence drastiquement le trafic d’un site Web mais surtout les décisions des utilisateurs. Dans un sondage de novembre 2014, l’autorité de certification Globalsign a constaté que 85% des acheteurs en ligne évitent les sites Web non cryptés.

En mai 2018, Google a annoncé le retrait de la mention « sécurisé » qui apparait actuellement sur tous les sites exploitant le protocole HTTPS. Google estime que les usagers sont aujourd'hui en droit d'attendre que le web soit sécurisé par défaut. L’alerte de couleur rouge restera visible afin de signaler tous les sites qui persistent à se contenter du HTTP comme « non sécurisés ». Comme indiqué sur le blog Google Chromium, ce changement entrera en vigueur avec le déploiement de Chrome 69 en septembre 2018.

Rien de plus simple : il vous faut acquérir un certificat SSL/TLS auprès d’une autorité reconnue.

Le passage à une extension sécurisée du HTTP ne nécessite pas trop de temps. Vous pouvez acquérir un certificat à validation de domaine (niveau d’identification le plus bas). Toutefois, si vous traitez des données hautement sensibles, un niveau de protection plus élevé est nécessaire. Pour un type de validation plus sûre, vous devrez vous tourner vers le certificat à validation d’organisation qui vérifie notamment votre appartenance au registre de commerce de l’entreprise. De nouveau, cette certification n’assure néanmoins pas la meilleure des sécurités. C’est le certificat à validation étendue (EV pour extended validation) qui représente le meilleur niveau d’authentification avec un contrôle strict. Les informations sur votre entreprise sont vérifiées de manière beaucoup plus détaillée et le certificat va permettre, entre autres, de protéger les utilisateurs dans la saisie de leurs données sensibles, comme les numéros de cartes de crédit. Les coûts de ces 3 certificats sont bien sûr croissants.

Certaines erreurs et problèmes peuvent malheureusement apparaître lors de votre réorganisation. Pour les éviter ou les résoudre, vous pouvez consulter notre article complémentaire.

Google étant pionnier dans de nombreux domaines, on peut s’attendre à ce qu’un certain nombre de navigateurs emboîte le pas du géant et revendique au cœur de ses préoccupations la protection des données des utilisateurs. Un sujet particulièrement sensible depuis le scandale Facebook et la mise en place du RGPD en Union Européenne.

Dorénavant, Google Chrome ne fait confiance qu’aux connexions HTTPS. Mais il faut noter une exception : malgré le HTTPS, Google Chrome met en garde les sites Web utilisant un certificat Symantec éxpiré. Ceci est dû à un différend de longue date entre le géant de la Silicon Valley et l’entreprise de certification : selon Google, Symantec aurait émis des certificats incorrects de milliers de domaines qui se seraient avérés peu fiables à plusieurs reprises.

Google a alors progressivement retiré sa confiance, la guerre étant clairement déclarée avec Google 66 : depuis le 17 avril 2018, un avertissement apparaît pour certains sites Web aux certificats Symantec TLS ainsi qu’un message indiquant que les données de ce site peuvent potentiellement être interceptées par des tiers. Google Chrome 68 émet maintenant un message d’avertissement clair : « Non sécurisé ». Avec la mise à jour Chrome 70, prévue pour le 23 octobre 2018, cette note devrait être encore plus visible pour tout certificat issu avant le 1 décembre 2017 : en effet, le « Non sécurisé » devrait apparaître en rouge et être mis en surbrillance lorsqu’un utilisateur entre des données sur un site non sécurisé.

Combien de domaines vont être touchés par ce changement ? Un technicien de sécurité de Airbnb a pris l’initiative de le calculer : le chiffre serait de 11 510, donc près de 10 % selon le classement Alexa des sites Web les plus visités. La raison de ce chiffre très élevé est que Chrome 70 ne se méfie pas seulement des certificats expirés émis directement par Symantec mais aussi de toute la chaîne qui y a recours indirectement (comme GeoTrust, RapidSSL et Thawte). Il est donc conseillé aux utilisateurs de certificats Symantec de vérifier la date d’issue et de remplacer leur certificat gratuitement si nécessaire.