Quand il s’agit de rendre Internet plus sûr, Google mène la charge. Pendant des années, le géant américain a fait campagne contre les sites HTTP non sécurisés qui sollicitaient des informations sensibles comme les détails de paiement et, en 2015, il a commencé à privilégier les sites web utilisant HTTPS, une alternative cryptée à du protocole HTTP dans ses résultats de recherche. La firme de Mountain View vient d’annoncer qu’à partir de juillet 2018, le navigateur Google Chrome commencera à labelliser les sites non chiffrés comme « non sécurisés » avec une étiquette dans la barre d’adresse.
La lutte de Google pour un web plus sûr
On peut dire que c’est la tentative la plus énergique de Google pour encourager l’adoption des certificats SSL. Le navigateur Chrome commencera à étiqueter les sites web utilisant le protocole HTTP comme « non sécurisés ». Google Chrome 68, qui est prévu pour être publié en juillet 2018, viendra avec cette fonctionnalité spéciale afin de pénaliser les sites web ayant recours à des connexions non sécurisées.
Cette mesure fait partie des nombreuses tentatives de Google pour pousser l’utilisation de HTTPS autant que possible. Auparavant, Google avait commencé à donner un classement plus élevé dans ses résultats de recherche aux pages web qui utilisaient le protocole HTTPS.
Ensuite, Google Chrome a commencé à avertir les utilisateurs au niveau des champs de mot de passe sur les pages web non cryptées. En 2017, l’entreprise avait commencé à étiqueter les pages web HTTP comme non sécurisée dans ses fenêtres de navigation privée. En 2018, Google a décidé de le rendre pleinement mainstream, ce qui aura un impact beaucoup plus large que tout ce qui a été fait jusqu’à présent. Selon Google, ces mouvements ont été payants.
Google a annoncé cette décision dans son blog officiel : selon ses analystes, 68% du trafic sur Chrome pour Android et Chrome pour Windows est désormais protégé par des certificats SSL. Pour le trafic sur Chrome OS et Chrome pour Mac, ces chiffres sont encore plus impressionnants, car le taux monte à 78%. De plus, 81 des 100 meilleurs sites web dans le monde utilisent maintenant HTTPS. Ces mesures ont collectivement rendu Internet plus sûr qu’il ne l’a jamais été. Et c’est le succès qui a poussé Google à prendre une décision aussi audacieuse.
Un noble combat
Avec la généralisation du vol de données et des arnaques sur le web, il est plus que temps de prôner un web plus sûr. Le protocole HTTP (Hypertext Transfer Protocol) fut l’un des premiers protocoles permettant de surfer sur le web. Il a rendu bien des services, mais il a un défaut : son niveau de sécurité est bas. Un « bidouilleur » peut renifler les informations échangées entre le visiteur et le serveur où est hébergé le site web qu’il visite. Dans le cas où des mots de passe ou des informations confidentielles comme des numéros de carte de crédits sont échangés, cela devient problématique, car ces informations peuvent être interceptées par des pirates mal intentionnés.
Successeur du protocole HTTP, le HTTPS utilise à présent une technologie de cryptage nommée SSL (Secure Sockets Layer) pour chiffrer les données. Le protocole HTTPS sécurise la connexion entre les visiteurs et les sites web de telle sorte que les données envoyées par les visiteurs ne soient visibles que par les webmasters. Cela signifie que personne ne peut accéder aux informations privées des utilisateurs qui sont transmises via la page web HTTPS. Une page de connexion qui demande aux visiteurs de se connecter doit être protégée par HTTPS afin que personne ne puisse voler le nom d’utilisateur et le mot de passe de vos visiteurs en interceptant le trafic entre le site et les visiteurs.
Acteur dominant du web, Google est donc dans son rôle quand il exige que les sites web migrent vers le HTTPS qui offre une plus grande sécurité aux internautes. Un site utilisant HTTP peut se dédouaner en disant qu’il n’est pas à l’origine d’une fuite de donnée, car les informations peuvent être lues par des tiers. Avec HTTPS, ce genre d’excuse ne sera plus valable et les voleurs de données confidentielles seront plus rapidement démasqués. Le combat de Google vise à protéger les internautes contres des sites véreux, et en ce sens, ce combat est très noble. Il est encore plus noble dans la mesure où Google n’en tire aucun revenu.
Une mesure salutaire pour les internautes
Google apporte ce changement pour rendre l’Internet plus sûr pour tout le monde. Beaucoup d’utilisateurs ne sont même pas conscients de la différence entre les sites sécurisés et les sites non sécurisés, ou les dangers apparents avec des choses comme remplir des formulaires ou donner des informations de carte de crédit sur une connexion non sécurisée. Avec un avertissement simple et facile à comprendre en haut de chaque page HTTP, les utilisateurs devraient comprendre qu’ils ne doivent pas faire confiance aux sites non cryptés.
Techniquement, tout site qui accepte des informations de carte de crédit doit être sécurisé avec SSL ou son prédecesseur TLS (Transport Layer Security) pour être conforme PCI, mais il est plutôt facile pour les sites de mettre en place ces protocoles au début puis de démonter la sécurité après approbation réglementaire. De plus, certains sites ne sécurisent que les pages où on entre les informations de carte de crédit, et non l’ensemble du site lui-même, ce qui rend les choses confuses et dangereuses pour les consommateurs.
Il n’y a vraiment plus d’excuse pour que des sites ne soient pas chiffrés. Les certificats SSL sont disponibles pour un coût nul sur une variété de systèmes, et la plupart des package d’hébergement web sont livrés avec un certificat gratuit. Les propriétaires de sites web non chiffrés, ont jusqu’à juillet 2018 pour les sécuriser. Si cela n’est pas fait, de nombreux visiteurs pourraient abandonner ces sites dès le premier clic.
La mesure de Google de labelliser les sites en HTTP comme « pas sûrs » pourrait être interprétée comme une main mise du géant américain sur le web, mais il n’en est rien du tout. La firme de Mountain View mène un combat d’une incontestable noblesse. Elle veut protéger les internautes de sites véreux qui voudraient exploiter de façon illicite des informations confidentielles que fournissent les visiteurs. En forçant l’ensemble des sites web à adopter le HTTPS, Google est dans son rôle, quoiqu’en disent les mauvaises langues. En réalité, ce combat doit être celui de tous les acteurs du web et non de Google seul. Fort heureusement, cette décision de Google n’est pas inédite : le navigateur Firefox de la fondation Mozilla informe déjà ses utilisateurs par la mention « connexion non sécurisée » lorsqu’ils visitent un site web utilisant l’ancien protocole HTTP. Il faut, à juste titre, se poser des questions sur ces sites web qui freinent des quatre fers pour ne pas passer au HTTPS.