Google a publié un communiqué le 23 février 2018 concernant la sécurité des données sur Google Chrome qui annonce qu'à partir de la version 68 du navigateur (juillet 2018), tous les sites HTTP seront notés comme non sécurisés. Jusqu'à présent, seulement certains lots de sites HTTP portaient la mention d'insécurité potentielle, mais ce message deviendra la norme pour l'ensemble des sites en HTTP, sans exception.
Cela signifie que les derniers sites en HTTP ont tout intérêt à migrer vers HTTPS dans les mois à venir, sous peine de perdre une partie de leur trafic provenant de Google Chrome. Allons plus loin en supposant même que Mozilla Firefox risque très fort de suivre son compère Chrome dans ce genre d'aventure. HTTPS ne révolutionne pas du tout la sécurité web, mais c'est un petit plus alors les leaders mondiaux forcent la main des webmasters pour aller dans le sens de la protection des données. J'avoue avoir beaucoup de mal à comprendre l'intérêt de forcer le passage à l'HTTPS pour bon nombre de sites qui ne transfèrent aucune donnée (sites vitrines et CV en ligne notamment), qui imposent quelques contraintes de migration évitables si aucun risque n'existe.
Google Chrome s'appuie sur les bons chiffres de migration vers HTTPS pour achever le travail. En effet, plusieurs statistiques plaident en faveur du protocole sécurité :
- plus de 68 % du trafic Chrome sur Android et Windows provient de sites en HTTPS ;
- plus de 78 % du trafic Chrome sur Chrome OS et Mac est sécurisé ;
- 81 des 100 premiers sites sur le Web utilisent le protocole HTTPS par défaut.
La question qu'il faut se poser est simple : est-ce que tous les autres sites web nécessitent vraiment l'usage d'HTTPS ? On peut effectivement se demander pourquoi le W3C et les autres instances dominantes laissent encore l'HTTP en route puisque plus personne ne semble en vouloir. Pourquoi ne pas tout passer par défaut en HTTPS ? Si je comprends bien que les webmasters doivent tendre vers un maximum de sécurité, je n'accepte pas trop la démarche forcée et surtout le fait de mettre tous les sites dans le même panier. Cela démontre qu'il s'agit d'une solution de facilité pour gagner du temps, mais je ne vois pas du tout en quoi un petit site vitrine sans base de données est non sécurisé par exemple. Bref, il faut s'y faire, l'avenir s'inscrit en HTTPS... ;-)