Google Chrome et HTTPS : vers un protocole plus sécurisé

Google 68 est arrivé le 24 juillet 2018 avec son lot d’évolution, notamment en termes de sécurité. Parmi celles-ci, figurait le renforcement du protocole Google Chrome et HTTPS, qui permettait aux internautes de mieux savoir où ils cliquent.

A ce jour, Google Chrome en est déjà à sa version 83. Les versions 68-70 ont permis de préparer les signaux « non-secure ». Ce qui a également permis de bloquer les problèmes de contenus mixtes (c’est à dire que le http avec https m’est plus possible sur une page https.)

Voici ce qui a changé.

Mise à jour au 17 juillet 2020

Quelles ont été les nouveautés avec Google Chrome 68 ?

Pour rappel, tout a commencé avec la nouvelle version de Chrome (Chrome 68) qui a eu la particularité de devenir HTTPS, autrement dit le HTTP sécurisé. Ce qui veut dire que plus aucun site HTTP n’était considéré comme sécurisé sur le navigateur de Google à partir de cette date.
Une évolution qui s’est échelonnée dans les mois qui ont succédé. En effet, par la suite, les sites HTTPS n’affichaient plus le mot « sécurisé » dans la version Chrome 69 puisque le format HTTPS est un gage de sécurité en lui-même. Ensuite, un avertissement rouge  » Non sécurisé  » s’affichait quand les utilisateurs entraient des données sur des pages HTTP avec la version Chrome 70. Cette évolution s’est aussi mise en place sur Mozilla Firefox.

Pourquoi avoir fait le choix du HTTPS ?

Il s’agit en réalité plutôt d’une évidence voire même d’une obligation qu’un réel choix. Il est vrai que certains sites, tels que les sites vitrines sans base de données ni formulaire par exemple, n’en ont pas l’utilité.
Néanmoins, ils apparaissaient dans Google comme étant non sécurisés. Par conséquent, ils perdaient davantage de trafic par manque de confiance des internautes. Ainsi, ils n’ont pas eu vraiment d’autre choix que de passer au format HTTPS. Cela explique que le protocole HTTPS soit quasiment devenu la norme pour les sites Internet.

D’autre part, on constate que dans le Top 100 du Web, 81 sites utilisent le protocole HTTPS par défaut. Autre point notable : plus de 68 % du trafic de Google Chrome sur Android et Windows et 78 % sur Chrome OS et Mac est protégé. Cela laisse peu de place pour les autres.

Qu’est-ce que ça apporte en termes de sécurité ?

Le protocole HTTPS protège les transferts de données uniquement. Il crypte les données à la volée lors des transferts. C’est ce qui le rend intéressant, notamment quand il y a des échanges directs entre formulaires et bases de données.
Pour la sécurité de votre ordinateur et de vos données, Google Chrome offre aussi une protection et un avertissement pour l’utilisateur. On le voit notamment avec les pop-ups, ainsi que dans le cas de tab-under, à savoir quand l’utilisateur est envoyé vers une destination désirée tout en créant un autre onglet avec une destination non désirée.
De plus, Chrome 68 a corrigé 42 vulnérabilités de sécurité.

L’arrivée de Google Chrome 81

L’arrivée de Chrome 81 a automatiquement mis à niveau les images de contenu mixte sans solution de secours. Cela avait le potentiel de casser des sites Web. C’est donc plutôt une bonne nouvelle pour les éditeurs de sites web.

En effet, parfois, les sites Web se chargent en HTTP sans rediriger vers HTTPS. Il y a aussi la situation où un site peut avoir d’anciens éléments d’image codés avec http, peut-être en utilisant des URL absolues (http: // www) au lieu d’URL relatives (/images/example.jpg).

Ce que Chrome 81 permet, c’est de changer l’URL http des images en https afin qu’il soit mis à jour automatiquement vers le protocole https plus sécurisé.

Le changement important pour Chrome 81 c’est qu’il n’y a pas de solution de « rechange ». Cela signifie que si un élément d’image ne se charge pas via https, Google n’affichera pas l’image, ce qui peut casser la page Web.

Pourquoi pas de repli ?

Google explique qu’il y a trois avantages à ne pas afficher de contenu non sécurisé :

1. l’expérience utilisateur est améliorée en proposant un site Web dans un environnement 100% sécurisé.
2. la vitesse du site est améliorée puisque le contenu d’image non sécurisé n’est plus téléchargé.
3. pour l’éditeur Web, l’avertissement de sécurité peut être supprimé, ce qui n’effraie plus potentiellement un visiteur du site avec un avertissement concernant un contenu non sécurisé.

C’est donc un gagnant-gagnant pour les éditeurs et les utilisateurs. Avec cette modification, Chrome n’affichera plus l’avertissement « not secure » pour les sites qui peuvent voir leurs images mises à jour automatiquement ainsi que pour les sites qui ne téléchargeront plus d’images non sécurisées.

Depuis peu, Google a déployé Chrome 83 en mettant l’accent sur la confidentialité et la sécurité. Nous vous en disons plus dans un prochain article dédié.