Un tournant pour la sécurité dans Chrome : les pages HTTP désormais signalées comme "non sécurisées"

vendredi 27 juillet 2018

La sécurité est l'un des principes fondamentaux de Chrome depuis ses débuts : nous œuvrons sans relâche pour assurer votre protection (article en anglais) lorsque vous naviguez sur le Web. Il y a près de deux ans, nous avions annoncé (en anglais) que Chrome allait à terme signaler tous les sites non chiffrés avec HTTPS comme étant "non sécurisés". But de la manœuvre : vous permettre de facilement vérifier si les informations personnelles que vous fournissez lorsque, par exemple, vous consultez votre compte bancaire ou vous achetez des places de concert, sont bien protégées lors de leur transit sur le Web. Nous sommes heureux de vous annoncer que le déploiement de ce changement a commence cette semaine, pour tous les utilisateurs de Chrome.


À compter de la dernière version de Chrome (version 68), une nouvelle notification vous informe que les pages HTTP sont "non sécurisées"

Davantage de connexions chiffrées pour une sécurité renforcée

Lorsque vous chargez un site Web via le protocole HTTP ordinaire, votre connexion au site n'est pas chiffrée. Cela signifie que n'importe quel utilisateur connecté au réseau peut consulter les informations en provenance et à destination de ce site, voire modifier le contenu de ce dernier avant qu'il ne vous parvienne. Avec HTTPS, votre connexion au site est chiffrée. Les intrus sont bloqués, et les informations de carte de crédit, de mots de passe, etc. que vous envoyez au site restent privées.
L'avertissement "Non sécurisé" de Chrome vous signale que la connexion au site que vous consultez n'est pas sécurisée, tout en incitant le propriétaire de ce dernier à en améliorer la sécurité. Depuis notre annonce il y a près de deux ans, l'utilisation du protocole HTTPS a fait d'incroyables progrès. Nous avons observé les faits suivants, tels qu'indiqués dans notre rapport de Transparence des informations :
  • 76 % du trafic Chrome sur Android est désormais protégé (contre un maximum de 42 % auparavant)
  • 85 % du trafic Chrome sur ChromeOS est désormais protégé (contre un maximum de 67 % auparavant)
  • 83 des 100 premiers sites sur le Web utilisent le protocole HTTPS par défaut (contre un maximum de 37 auparavant)
Nous savions que le déploiement de l'avertissement sur toutes les pages HTTP prendrait du temps. Nous avons donc commencé par signaler uniquement les pages non chiffrées qui collectaient des mots de passe et des informations de carte de crédit. Ensuite, nous avons commencé à afficher l'avertissement "Non sécurisé" dans deux autres cas (article en anglais) : lorsque les utilisateurs saisissaient des données sur une page HTTP, et sur toutes les pages HTTP consultées en mode navigation privée.
Notre objectif à terme est que la mention "Non sécurisé" de Chrome s'affiche uniquement lorsque vous visitez un site identifié comme non sécurisé alors que son état par défaut (sans notification) (article en anglais) indique le contraire. Nous allons déployer ce changement progressivement, en commençant par supprimer le libellé "Sécurisé" dès septembre 2018. À compter d'octobre 2018, un avertissement rouge "Non sécurisé" s'affichera lorsque les utilisateurs saisiront des données sur des pages HTTP.



Dans la version d'octobre de Chrome (version 70), une notification rouge "Non sécurisé" s'affichera si vous saisissez des données sur une page HTTP


Faciliter le chiffrement

Vous souhaitez migrer votre site vers le protocole sécurisé HTTPS (ou en créer un directement en version HTTPS) ? Bonne nouvelle ! Nous avons fait en sorte de rendre ce processus aussi simple et abordable que possible. Parmi les améliorations à présent disponibles : le HTTPS géré pour Google App Engine, le protocole HTTPS obligatoire et automatique sur tous les domaines .app ainsi que des certificats gratuits et automatisés via Let’s Encrypt (Chrome en est un soutien de niveau "Platinum"). Sachez aussi que si vous migrez actuellement votre site vers HTTPS, vous devriez prochainement recevoir des messages de la Search Console, avec des informations et des conseils complémentaires.
Lorsque vous achetez des places de concert ou que vous utilisez des services bancaires en ligne, soyez assuré que vous serez averti si un site ne protège pas vos données avec le protocole HTTPS. Nous continuerons en outre d'améliorer la sécurité de Chrome pour vous garantir que vous utilisez le navigateur le plus sécurisé du marché.
Posté par Emily Schechter, responsable produit, équipe de sécurité Chrome