La sécurité est l'une des préoccupations les plus importantes de ces dernières années. En tête de gondole, c'est HTTPS et les certificats SSL qui dominent le marché, à tel point que Google en a fait un (minuscule) critère de positionnement et que de nombreux outils en font fait leur cheval de bataille. Par exemple, WordPress empêche l'accès à certaines de ses API si vos sites ne sont pas en HTTPS, de même que Mozilla Firefox et Google Chrome marquent les sites comme "non sécurisés" à la moindre occasion.
En soi, HTTPS ne révolutionne en rien la sécurité, il faut tout de même l'avouer. Son objectif est de protéger les transferts de données (par exemple, entre un formulaire en ligne et une base de données, etc.), mais moult sites n'ont aucun transfert de données au sens propre notamment, alors pourquoi rendre HTTPS quasi obligatoire dans ce cas ? Le débat est ouvert mais quoi qu'il advienne, les sites web doivent en passer par là sous peine de passer pour les méchants de service. Rentrez dans le rang... :-(
Murat Yatagan, un ex-Google de l'équipe Search Quality, a partagé sur Twitter un récent article de Google au sujet des progrès réalisés par l'HTTPS dans Google Chrome (cette tendance semble être généralisée, c'est juste que les calculs ont été effectués par le navigateur de Google...). Rappelons que depuis quelques mois, Google Chrome affiche à côté des adresses web le fait qu'un site est non sécurisé s'il n'est pas en HTTPS, ou pire, si la totalité des ressources internes d'une page ne sont pas en HTTPS (les liens vers les images internes, Javascript, CSS...). Firefox va également dans le même sens, allant même jusqu'à afficher des avertissements de sécurité dans certains cas de ce genre...
À ce jour, Google Chrome affiche la mention "non sécurisée" dans trois cas particuliers (avant que d'autres ne viennent compléter la liste...) :
- marquage automatique pour les pages qui collectent des données sensibles (numéro de carte de crédit, mots de passe...) sans être en HTTPS ;
- affichage du "not secure" quand les utilisateurs ont des formulaires à remplir sur des pages en HTTP (quel que soit l'importance du formulaire à priori...) ;
- marquage si le site en HTTP est visité dans le mode de navigation privée.
Sachant cela, de plus en plus de marquages anti-HTTP sont développés dans Google Chrome, mais la firme se targue d'avoir connu une nette progression des sites en HTTPS. En effet, sur la dernière année écoulée, plus de 37% de sites en plus ont migré vers le protocole HTTPS. Cela porte le nombre de sites sécurisés à 71% des sites présents sur Chrome au total, pas mal du tout. Ajoutons à cela que sur Android, un constat identique a été fait puisque 64% du trafic provenant de Chrome est en HTTPS (augmentation de 42% sur la dernière année), et 75% des sites sont protégés selon Chrome OS et Mac. En d'autres termes, il reste en moyenne seulement un tiers des sites en HTTP sur Chrome. Récemment, j'avais également partagé des résultats similaires pour Mozilla Firefox, donc la tendance est bel et bien nette et sans bavure...
HTTPS est donc sur la bonne voie, et Google confirme même que cela est mondial (les certificats SSL ont connu un boom au Japon et en Chine notamment). La firme a décidé de continuer son sponsoring pour le projet Let's Encrypt qui offre des certificats SSL gratuits. Il ne reste donc qu'à espérer que tout reste pour le mieux à l'avenir en termes de sécurité, même si, je le rappelle, HTTPS ne change pas grand chose dans une large majorité de cas...