Google prévoit d’afficher une alerte pour les sites non sécurisés

Le navigateur Google Chrome a annoncé que l’indication « not secure » (non sécurisé) allait être affichée explicitement dans la barre d’adresse HTTP des internautes lorsque ceux-ci visitent un site non sécurisé. Cette version 56 est prévue pour janvier 2017. Néanmoins, tous les sites ne seront pas concernés par ce nouvel ajustement. Les sites Web concernés seront ceux qui, d'après Google Chrome, transmettent des données sensibles en clair dans un environnement à risque (par exemple des mots de passe ou encore des coordonnées bancaires). Quel impact aura cette mesure sur le long terme ? Quelles sont les conséquences pour les administrateurs de sites Web, ainsi que pour les internautes ?

Si la Version 56 de Chrome est lancée comme prévu début 2017, seuls les sites HTTP (Hyptertext Transfer Protocol) transmettant des coordonnées bancaires et données d’identification non chiffrées seront signalés comme étant des sites à risque. Jusqu’à présent, le navigateur indique si un site Web utilise des certificats TLS/SSL à l’aide de différentes icônes, pour informer les internautes s’ils bénéficient d’une connexion sécurisée. Une étude menée par Google, en collaboration avec l’université de Californie, a démontré que la majorité des utilisateurs du navigateur ne prennent pas en compte les icônes comme le cadenas vert indiquant qu’ils visitent un site sécurisé. Dans les versions à venir de Google Chrome, les avertissements de sécurité seront donc systématiquement signalés. Il est également question d’afficher la mention « not secure » en mode navigation privée du navigateur pour toutes les pages HTTP. L’objectif est de répondre également aux attentes des utilisateurs, qui sont toujours plus sensibles à la question de la sécurité sur Internet. Les barres d’adresses URL peuvent également être dotées d’un triangle de signalisation rouge afin de marquer encore plus les failles de sécurité d’un site Internet.

Google a annoncé en août 2014 que le protocole HTTPS est privilégié en tant que facteur de référencement, dans le but de garantir la sécurité de tous les internautes. Ainsi, les administrateurs de sites Web sont également encouragés à corriger les failles de sécurité de leur site et de prendre en charge la certification. De plus, le prix de l’acquisition d’un certificat SSL a largement baissé ces dernières années, et il convient de souligner que l’investissement est faible au regard de l’enjeu. Cela a largement contribué, en plus de l’importance du référencement, à faire augmenter le nombre de sites Web sécurisés. Il sera donc difficile pour les administrateurs de sites Web d’échapper à cette nouvelle offensive de Google : selon les chiffres de w3schools, environ deux tiers des internautes utilisent Chrome pour effectuer leurs recherches sur le Web, et cette tendance est à la hausse.

Aujourd’hui, lorsque les utilisateurs accèdent à une page Web depuis leur navigateur, ils ne se contentent généralement pas de cliquer sur un nouvel article, mais laissent une empreinte numérique. Cette empreinte n’est pas seulement le résultat de logiciels espions, de cookies, ou d’outils de tracking méconnus. L’inscription à des newsletters, la création de profils ou la participation à des forums, tout comme votre activité sur les réseaux sociaux nécessitent souvent de communiquer une adresse email ou d’autres informations personnelles, voire sensibles.

Généralement, les informations comme les mots de passe, les adresses ou bien les coordonnées bancaires sont transmises du navigateur à la base de données du site en question par le protocole de transfert hypertexte (HTTP). Ce protocole affiche des résultats remarquables depuis ses débuts, mais il lui manque toutefois un protocole de cryptage des informations transportées. De cette manière tous les paquets de données transmis entre un navigateur et un serveur Web via HTTP apparaissent en clair. Les cybercriminels peuvent ainsi accéder sans problèmes aux données d’identification de votre boîte email, de votre service bancaire ou encore obtenir votre adresse. Le recours au protocole SSL/TLS permet aux administrateurs de crypter leurs données de manière à ce qu’elles ne soient pas accessibles pour des tiers. 

Comme Google l’a annoncé, la généralisation du protocole HTTPS est inéluctable avec la version 56 et a pour objectif de rendre Internet plus sûr. Comme la majorité des sites Web ne sont pas encore sécurisés, le navigateur vise à rendre les internautes plus sensibles à la question de la sécurisation des données et à mieux les informer, en les amenant à éviter les sites non sécurisés.

De plus, Google privilégiera les sites sécurisés parmi les résultats de recherche affichés, et il sera de plus en plus difficile pour les Webmasters de ne pas adopter le protocole HTTPS afin d’éviter d’être pénalisés. De plus, le poids du protocole HTTPS en tant que facteur de positionnement pour l’algorithme de référencement de Google devrait prendre de l’importance, mais de manière très progressive, afin de laisser aux administrateurs Web le temps nécessaire pour changer du protocole HTTP en HTTPS.