Chrome va bientôt pointer du doigt les sites non sécurisés

Nicolas Furno |

Google est déterminé à sécuriser la totalité du web avec des connexions HTTPS pour tous les sites. Le géant de la recherche poussait déjà les créateurs de site à franchir le pas en favorisant les sites sécurisés dans ses résultats de recherche. L’algorithme du moteur de recherche étant très complexe, l’effet n’a pas été jugé suffisant pour motiver les sites et Google veut activer un nouveau levier.

À partir de 2017, Chrome va inverser la logique des avertissements affichés à l’utilisateur. Jusque-là, le navigateur fonctionnait comme les autres en affichant un cadenas vert pour les sites sécurisés et une alerte rouge pour les sites en HTTPS mal configurés. Une future version du navigateur de Google affichera aussi un avertissements pour les sites en HTTP, c’est-à-dire ceux qui ne sont pas sécurisés du tout.

La nouvelle nomenclature de Google : sécurisé, pas sécurisé et mal sécurisé (par exemple, en cas de certificat non valide). C’est l’icône au milieu qui est nouvelle, jusque-là le navigateur n’affichait rien.
La nouvelle nomenclature de Google : sécurisé, pas sécurisé et mal sécurisé (par exemple, en cas de certificat non valide). C’est l’icône au milieu qui est nouvelle, jusque-là le navigateur n’affichait rien.

Dans un premier temps, seuls les sites non sécurisés qui permettent de se connecter et ceux qui demandent un moyen de paiement seront marqués comme tels. Mais Google compte bien augmenter le nombre d’alertes l’an prochain. Par exemple, les sites non sécurisés qui proposent des téléchargements seront, eux aussi, marqués de l’avertissement gris dans le courant de l’année 2017.

Plus que l’algorithme de recherche, épingler un site par le biais du navigateur et donc par les retours des utilisateurs est le plus efficace pour sécuriser le web tout entier. C’est la même stratégie que Firefox a commencé à mettre en place depuis l’an dernier. L’objectif des deux acteurs est le même : que le web sécurisé devienne la norme et que l’icône du cadenas devienne superflu. À terme, le navigateur n’affichera d’icône qu’en cas de problème, si le site web n’est pas sécurisé, ou s’il y a un problème dans sa sécurité.

Google, comme Mozilla, font partie des nombreux soutiens au projet Let’s Encrypt qui offre une solution simple et gratuite pour obtenir un certificat et activer le HTTPS sur son site. Il reste encore du chemin à parcourir toutefois : les derniers chiffres de Google montrent que l’on est actuellement à peine au-dessus de la moitié des sites visités (avec Chrome) qui sont sécurisés.


avatar jeremiou | 

Il faudra un jour que l'on m'explique l'intérêt de crypter un site web destiné à être publique donc visible par tous

avatar romain90 | 

@jeremiou

On ne chiffre pas le site mais la connection.
L'intérêt c'est que si tu dois entrer un mot de passe il ne transite pas en clair entre toi et le site.

avatar frankynov | 

@romain90

J'aurais pas dit mieux ( à part que c'est une conneXion ;) )
En effet, c'est indispensable de crypter les échanges entre le client et le serveur, let's encrypt est génial pour les petits sites genre blogs, forums, etc.

avatar françois bayrou | 

Je n'aurais pas dit mieux.
A part qu'on dit chiffrer et pas crypter ;)

avatar bonnepoire | 

J'allais l'écrire.

avatar IceWizard | 

Eviter que quelqu'un ne remplace le site par le sien, pour voler des données ou diffuser des informations erronées.

avatar aMac | 
avatar nayals | 

@jeremiou :

Je te l'explique aujourd'hui.

Prenons l'exemple d'un site "banal" d'actualité comme The Guardian, Wikipedia ou encore Google. Chiffrer la connexion en HTTPS évite que :

- un intermédiaire puisse observer quelles pages tu visites, les questions que tu te pose, etc. Pour lui c'est un moyen aisé de trouver tes secrets et de te faire chanter. Par exemple, dans un réseau d'entreprise ou universitaire. "Oui, mais mon patron il est gentil". D'accord, mais peut-être pas le hacker qui a infecté le réseau de l'entreprise et qui surveille les connexions (histoire vraie). Évidemment, ça permet aussi à la NSA et consorts de collecter des infos sur toi.

- un intermédiaire puisse bloquer certaines pages en particulier (la Chine l'a fait avec certains articles du Guardian.) Avec HTTPS, elle doit bloquer tout le site ou rien

- un intermédiaire puisse modifier ce qui apparaît à ton écran (ex: page Wikipédia sur Vladimir Poutine) en te faisant croire que c'est de l'information fiable

Ça ne te change peut-être rien à toi personnellement, mais ça concerne des millions de personnes. Convaincu cette fois ?

avatar nayals | 

MacG, vous prévoyez de passer au HTTPS bientôt ?

avatar Nicolas Furno | 

@nayals

C'est prévu, mais c'est plus compliqué que ça en a l'air. On a commencé le travail néanmoins.

avatar MacRicow | 

C'est vrai que c'est compliqué, a fortiori sur un site en production, réparti sur plusieurs plateformes avec des frontaux, des LB, des ressources externes (CDN, bibliothèques, publicités…), des applicatifs divers à paramétrer… Une seule ressource en http dans la page et ça brise la chaîne du https…

Avec Let's Encrypt, c'est une ligne de commande pour installer les certificats et un paramétrage serveur (nginx et/ou Apache) pour les mettre en œuvre, donc relativement "facile" (toujours se méfier du mot facile), en tout cas plus simple et moins coûteux qu'installer des certificats commerciaux.

Mais le certificat, en soi, est juste la partie visible de l'iceberg en effet…

avatar Sica | 

Notre site intranet est mal sécurisé: certificats non reconnus... mais c'est un intranet, alors c'est pas trop grave... mais si les navigateurs m'empêchent d'y accéder, ça va être compliqué ?

avatar bonnepoire | 

Tu pourras ajouter des exceptions.

CONNEXION UTILISATEUR