Google a publié officiellement un communiqué précisant que Google Chrome va changer les indications des sites HTTP à l'horizon 2017 (pour Chrome 56 en janvier 2017) au sein de la barre d'adresse du navigateur web. L'objectif est de dévoiler aux utilisateurs si la connexion est sécurisée ou non et donc de les laisser naviguer en conscience.
Le communiqué évoque notamment les sites HTTP qui transmettent des mots de passe ou des données bancaires sans la surcouche de cryptage fournit par les certificats SSL et HTTPS. Par conséquent, la barre d'adresse verra un nouveau "label" s'afficher lorsqu'un site sera considéré comme risqué pour les données des utilisateurs (tous les sites ne devraient donc pas voir ce changement). En anglais le libellé est "Not secure" (original non ? ^^) donc je vous laisse le soin de deviner son alias en français. ;-)
Google souhaite que l'ancien affichage neutre soit modifié pour les sites qui présentent des risques pour les données des utilisateurs, et cela semble être plutôt une bonne chose. Dans le même temps, la firme précise que depuis la publication d'un rapport sur l'usage de l'HTTPS en février 2016, 12% des sites du top 100 mondial ont basculé vers HTTPS. Selon les analyses, plus de 50% des sites affichés sur Chrome seraient passés en HTTPS à l'heure actuelle, la communication répétée et active de Google a donc fait son effet.
Dans les faits, je rappelle toujours que l'HTTPS est loin d'être la solution miracle en termes de sécurité, cela ne fait que crypter des données lors des transferts (entre bases de données et serveur, entre sites et emails, etc.). Cela ne change pas tout mais la distinction entre les sites HTTP sans risque (label neutre) et ceux qui utilisent des données d'utilisateurs non cryptés (label "Not secure") semble plutôt cohérente.
Google a constaté que de nombreux utilisateurs ne portent plus vraiment attention au protocole HTTP ou HTTPS. De ce fait, ils ne font plus attention aux risques parfois encourus pour leurs données lorsque les sites sont non sécurisés. Avec cette nouvelle indication, la firme entend bien faire réagir les usagers qui naviguent sur les sites à "risque" (et indirectement les webmasters pour qu'ils réagissent vite). Rappelons que seuls quelques cas sont dans le viseur à ce jour :
- Sites avec formulaires non sécurisés.
- Sites avec système de paiement et transmission de données bancaires en HTTP.
- Sites utilisant des mots de passe non sécurisés via HTTP (connexion, comptes clients, etc.).
Google projette déjà l'avenir des autres versions de Chrome et précise que le libellé sera ajouté à terme dans les navigations privées car les utilisateurs sont encore plus sensibles pour leurs données personnelles. Le navigateur devrait également notifier le libellé "Not secure" en rouge pour mettre encore plus en avant les risques encourus.
