Google prévoit d’afficher une alerte pour les sites non sécurisés

Le na­vi­ga­teur Google Chrome a annoncé que l’in­di­ca­tion « not secure » (non sécurisé) allait être affichée ex­pli­ci­te­ment dans la barre d’adresse HTTP des in­ter­nautes lorsque ceux-ci visitent un site non sécurisé. Cette version 56 est prévue pour janvier 2017. Néanmoins, tous les sites ne seront pas concernés par ce nouvel ajus­te­ment. Les sites Web concernés seront ceux qui, d'après Google Chrome, trans­met­tent des données sensibles en clair dans un en­vi­ron­ne­ment à risque (par exemple des mots de passe ou encore des coor­don­nées bancaires). Quel impact aura cette mesure sur le long terme ? Quelles sont les con­sé­quences pour les ad­mi­nis­tra­teurs de sites Web, ainsi que pour les in­ter­nautes ?

Si la Version 56 de Chrome est lancée comme prévu début 2017, seuls les sites HTTP (Hyp­ter­text Transfer Protocol) trans­met­tant des coor­don­nées bancaires et données d’iden­ti­fi­ca­tion non chiffrées seront signalés comme étant des sites à risque. Jusqu’à présent, le na­vi­ga­teur indique si un site Web utilise des cer­ti­fi­cats TLS/SSL à l’aide de dif­fé­rentes icônes, pour informer les in­ter­nautes s’ils bé­né­fi­cient d’une connexion sécurisée. Une étude menée par Google, en col­la­bo­ra­tion avec l’uni­ver­sité de Ca­li­for­nie, a démontré que la majorité des uti­li­sa­teurs du na­vi­ga­teur ne prennent pas en compte les icônes comme le cadenas vert indiquant qu’ils visitent un site sécurisé. Dans les versions à venir de Google Chrome, les aver­tis­se­ments de sécurité seront donc sys­té­ma­ti­que­ment signalés. Il est également question d’afficher la mention « not secure » en mode na­vi­ga­tion privée du na­vi­ga­teur pour toutes les pages HTTP. L’objectif est de répondre également aux attentes des uti­li­sa­teurs, qui sont toujours plus sensibles à la question de la sécurité sur Internet. Les barres d’adresses URL peuvent également être dotées d’un triangle de sig­na­li­sa­tion rouge afin de marquer encore plus les failles de sécurité d’un site Internet.

Google a annoncé en août 2014 que le protocole HTTPS est pri­vi­lé­gié en tant que facteur de ré­fé­ren­ce­ment, dans le but de garantir la sécurité de tous les in­ter­nautes. Ainsi, les ad­mi­nis­tra­teurs de sites Web sont également en­cou­ra­gés à corriger les failles de sécurité de leur site et de prendre en charge la cer­ti­fi­ca­tion. De plus, le prix de l’ac­qui­si­tion d’un cer­ti­fi­cat SSL a largement baissé ces dernières années, et il convient de souligner que l’in­ves­tis­se­ment est faible au regard de l’enjeu. Cela a largement contribué, en plus de l’im­por­tance du ré­fé­ren­ce­ment, à faire augmenter le nombre de sites Web sécurisés. Il sera donc difficile pour les ad­mi­nis­tra­teurs de sites Web d’échapper à cette nouvelle offensive de Google : selon les chiffres de w3schools, environ deux tiers des in­ter­nautes utilisent Chrome pour effectuer leurs re­cherches sur le Web, et cette tendance est à la hausse.

Aujourd’hui, lorsque les uti­li­sa­teurs accèdent à une page Web depuis leur na­vi­ga­teur, ils ne se con­ten­tent gé­né­ra­le­ment pas de cliquer sur un nouvel article, mais laissent une empreinte numérique. Cette empreinte n’est pas seulement le résultat de logiciels espions, de cookies, ou d’outils de tracking méconnus. L’ins­crip­tion à des news­let­ters, la création de profils ou la par­ti­ci­pa­tion à des forums, tout comme votre activité sur les réseaux sociaux né­ces­si­tent souvent de com­mu­ni­quer une adresse email ou d’autres in­for­ma­tions per­son­nelles, voire sensibles.

Gé­né­ra­le­ment, les in­for­ma­tions comme les mots de passe, les adresses ou bien les coor­don­nées bancaires sont trans­mises du na­vi­ga­teur à la base de données du site en question par le protocole de transfert hy­per­texte (HTTP). Ce protocole affiche des résultats re­mar­quables depuis ses débuts, mais il lui manque toutefois un protocole de cryptage des in­for­ma­tions trans­por­tées. De cette manière tous les paquets de données transmis entre un na­vi­ga­teur et un serveur Web via HTTP ap­pa­rais­sent en clair. Les cy­ber­cri­mi­nels peuvent ainsi accéder sans problèmes aux données d’iden­ti­fi­ca­tion de votre boîte email, de votre service bancaire ou encore obtenir votre adresse. Le recours au protocole SSL/TLS permet aux ad­mi­nis­tra­teurs de crypter leurs données de manière à ce qu’elles ne soient pas ac­ces­sibles pour des tiers. 

Comme Google l’a annoncé, la gé­né­ra­li­sa­tion du protocole HTTPS est iné­luc­table avec la version 56 et a pour objectif de rendre Internet plus sûr. Comme la majorité des sites Web ne sont pas encore sécurisés, le na­vi­ga­teur vise à rendre les in­ter­nautes plus sensibles à la question de la sé­cu­ri­sa­tion des données et à mieux les informer, en les amenant à éviter les sites non sécurisés.

De plus, Google pri­vi­lé­giera les sites sécurisés parmi les résultats de recherche affichés, et il sera de plus en plus difficile pour les Web­mas­ters de ne pas adopter le protocole HTTPS afin d’éviter d’être pénalisés. De plus, le poids du protocole HTTPS en tant que facteur de po­si­tion­ne­ment pour l’al­go­rithme de ré­fé­ren­ce­ment de Google devrait prendre de l’im­por­tance, mais de manière très pro­gres­sive, afin de laisser aux ad­mi­nis­tra­teurs Web le temps né­ces­saire pour changer du protocole HTTP en HTTPS.