Google annonce de nouvelles mesures à venir prochainement pour renforcer la part de connexions sécurisées utilisées lors d’une navigation sur internet. Cela fait plusieurs années maintenant que Google milite activement pour chiffrer la connexion entre Chrome et un serveur grâce au protocole HTTPS. Il y a deux ans, son navigateur web a commencé à privilégier la connexion sécurisée par défaut lorsque l’utilisateur saisissait un nom de domaine sans protocole (macg.co par exemple), mais ne modifiait pas la requête de l’utilisateur s’il l’incluait (http://macg.co). Dans ce cas, si le serveur web qui héberge le site ne faisait pas la redirection lui-même, l’utilisateur restait sur une connexion non sécurisée.

C’est ce point qui va changer avec ces nouvelles mesures. Chrome ne va plus se contenter de choisir une connexion sécurisée quand le protocole n’est pas précisé, le navigateur va tester systématiquement le HTTPS même si vous cliquez sur un lien ou que vous collez une URL en HTTP. Si le certificat nécessaire est bien présent sur le serveur web, la connexion sécurisée sera automatiquement utilisée. Si ce n’est pas le cas, Chrome reviendra en toute transparence sur le HTTP, ce qui devrait ainsi assurer un fonctionnement normal pour les sites indisponibles en HTTPS.

Google va activer progressivement ce nouveau comportement pour tous ses utilisateurs, mais vous pouvez le tester dès maintenant avec la version 115 de Chrome. Dans les flags du navigateur, cherchez « HTTPS Upgrades » et passez l’option sur « Enabled ». Après un redémarrage, les sites seront d’abord testés en HTTPS, avant de revenir au HTTP s’ils ne répondent pas de manière sécurisée. La généralisation de cette mesure devrait être rapide, car elle ne devrait casser aucun usage courant du web.

Pour ceux qui souhaitent aller encore plus loin, le géant de la recherche propose une option nettement plus contraignante. Cette fois, non seulement les sites sont d’abord testés en HTTPS, mais un message d’erreur s’affiche avant de pouvoir accéder à un site accessible uniquement en HTTP. Ce mode considère les connexions en clair comme étant aussi problématiques qu’un mauvais certificat pour les connexions chiffrées. Pour le moment, il n’est pas encore question de l’activer par défaut, mais vous pouvez le faire, cette fois dans les réglages classiques de Chrome¹.

À terme, ce mode plus agressif pourrait être activé dans quelques cas de figure. Google l’envisage par défaut pour les utilisateurs qui activent la Protection Avancée, pour le mode privé, pour des sites qui ont une connexion sécurisée connue et peut-être pour les utilisateurs qui n’affichent jamais de sites en HTTP. On est au stade de l’expérimentation, car ce mode bloquera des sites et donc des usages légitimes s’il est activé par défaut trop largement.

Dans le même ordre d’idée, Chrome affichera à partir de la mi-septembre un avertissement lors du téléchargement de fichiers jugés sensibles en HTTP. L’avertissement permettra d’effectuer le téléchargement malgré tout et il dépendra du format des fichiers : les photos, vidéos et l’audio seront épargnés, mais pas une archive ou un exécutable. Vous pouvez également tester cette fonctionnalité dès maintenant en activant le flag nommé « Insecure download warnings ».