29 avril 2017

Google Chrome et HTTPS : L’avertissement «non sécurisé»

Google Chrome et HTTPS : L’avertissement «non sécurisé»

Nous allons aborder dans cet article les icônes et messages d’avertissement de Chrome, relatifs à la sécurité de la connexion. Ces indications évoluent rapidement avec les nouvelles versions du navigateur. L’objectif de Google étant de sensibiliser toujours plus de visiteurs et de webmasters à la sécurité des échanges de données sur la toile.

Info

Dans la version actuelle de Chrome les sites en HTTP s’affichent de la manière suivante :

google chrome https ssl message

Une  icône grise avec un « I » s’affiche à côté de l’adresse, en cliquant dessus le message suivant apparaît :

Dans le cas où la page contient un formulaire ou une saisie de mot de passe, la mention « non sécurisée » vient s’ajouter à côté de l’adresse.

google chrome https ssl non scurisé password formulaire
Cependant, l’équipe de développement de Chrome a déjà prévenu que ce message d’avertissement allait devenir de plus en plus explicite.

 

Non sécurisé ou dangereux

Annonce sur le blog de Google (https://developers.google.com/web/updates/2016/10/avoid-not-secure-warn) :

Chrome affichera un avertissement non sécurisé pour toutes les pages sur HTTP, que la page contienne ou non des champs de saisie sensibles. Vous devriez envisager de migrer votre site pour utiliser HTTPS pour toutes les pages.

Dans quelques mois, dans les nouvelles versions de Chrome, la notification « Information » sera donc remplacée par une icône bien plus voyante et anxiogène pour les visiteurs. Il s’agit d’un triangle rouge avec un point d’exclamation accompagné de la mention « Non sécurisé ». Cette notification est déjà activable manuellement depuis la version 56,  elle va devenir l’option par défaut dans les prochaines versions.

Pour en faire vous-même l’expérience, procédez comme suit :

  • Assurez-vous d’avoir la dernière version à jour de Chrome. Dans Aide > A propos de Google Chrome.
  • Tapez dans la barre d’adresse la commande suivante : [dt_code]chrome://flags/#mark-non-secure-as[/dt_code]
  • Sélectionnez « Toujours marquer les pages http comme dangereuses »
  • Cliquez en bas à Gauche sur « Relancer Maintenant » (n’ayez crainte les pages ouvertes seront restaurées)
  • Puis rendez-vous sur un site web en HTTP

Voici le résultat obtenu. Il correspond à ce que verront bientôt les visiteurs en se rendant sur une page qui ne bénéficie pas d’un certificat SSL pour crypter ses échanges :

google chrome https non sécurisé

Cette évolution de la part du premier navigateur mondial annonce clairement la couleur. Elle poursuit deux objectifs : Avertir le visiteur que tout ce qu’il saisira sur ce site n’est pas crypté et encourager les webmasters à crypter leurs sites au moyen d’un certificat SSL.

Ce logo rouge apparaît déjà aujourd’hui de manière systématique quand est détectée la présence de logiciels malveillant ou qu’une tentative de phishing est en cours. Mais également dans le cas où par exemple une page de paiement ne bénéficie pas du HTTPS ou que son certificat est défaillant.

Dans ces cas l’avertissement peut devenir bien plus explicite est venir remplacer la page web par un message d’avertissement.

Message avertissement Chrome

 

Sécurité garantie

Le célèbre petit cadenas vert, présent depuis longtemps sur les pages de paiement, indique que le certificat est conforme et que votre connexion est sécurisée.

Cela apporte à l’internaute 3 bénéfices en termes de sécurité :
Identité : l’utilisation du certificat permet de garantir au visiteur qu’il échange des données avec un site authentique qui correspond à celui apparaissant dans la barre d’adresse du navigateur.
Confidentialité : la totalité des données transitant entre le site et le terminal de l’internaute sont cryptées et donc illisibles par une personne mal intentionnée.
Intégrité : le protocole SSL garantie que les données ne peuvent pas être interceptées et modifiées par un tiers, pour y injecter un malware par exemple.

google chrome https ssl sécurisé

Il peut arriver que l’URL d’un site comporte bien HTTPS, mais que la notification du navigateur soit rouge, barrée ou grise. Dans la plupart des cas il s’agit d’une erreur de certificat ou de ce que l’on appelle du « mixed content », qui indique au visiteur que le site intègre des modules ou sources extérieurs qui ne sont pas sécurisés.
Pour en savoir plus sur ce sujet, lisez notre article « Comment réparer l’erreur HTTPS Mixed content ? » ou « Les erreurs fréquentes de certificat SSL ».

Conclusion

Les changements intervenus dans les versions de Chrome pour avertir l’utilisateur que le contenu n’est pas sécurisé viennent s’ajouter au bonus de référencement accordé par le moteur de recheche aux sites HTTPS. Il est désormais clair que Google a décidé de déclarer la guerre aux sites http au nom d’un web plus sûr. Le passage au HTTPS est devenu indispensable pour maintenir son référencement et rassurer ses visiteurs.