Comment Google compte forcer tous les sites à migrer vers le HTTPS ? - Arobasenet.com

Comment Google compte forcer tous les sites à migrer vers le HTTPS ?



L’équipe de Google en charge de la sécurité de Chrome annonce que le navigateur va bientôt marquer ou labelliser les sites non sécurisés via HTTPS et qui transmettent des données de mots de passe et de cartes de crédit de façon non protégée.

Comment Google compte forcer tous les sites à migrer vers le HTTPS ?

Il s’agit là d’un projet de l’équipe Google Chromium que je vous détaillais ici en Décembre 2014. Et c’est donc ce projet qui va entrer en application dès le mois de Janvier 2017.

Ainsi, fort de sa désormais première place des navigateurs Web, la prochaine version du navigateur Chrome va inclure une nouvelle fonctionnalité d'alerte pour toute connexion à un site non sécurisé via HTTPS.

Chrome 56, dont le lancement est prévu pour le mois de Janvier 2017, marquera les pages de connexion HTTP comme “Non sécurisées” dans une fenêtre à l’intérieur de la barre d’adresse.

Car, une page de connexion en HTTP non cryptée est potentiellement dangereuse pour l’utilisateur du fait qu’elle pourrait permettre à un pirate d’intercepter les mots de passe lorsqu’ils transitent à travers l’internet.



Toutes les pages non-HTTPS seront marquées


A partir de Janvier 2017, Google va donc commencer par signaler que les sites de connexion (espaces membres) et les sites autorisant des paiements par carte bancaire hébergés sur des serveurs non-sécurisés (si, si, ça existe).

Histoire de prévenir les utilisateurs que leurs données personnelles sont menacées.

Mais, à lire le post de Google, il ne va pas s’arrêter là. Car, il compte bien transformer cet essai en envisageant de décourager tous les utilisateurs. Tout simplement en les alertant qu'ils vont visiter un site non-HTTPS qui ne protègera pas leurs données de navigation. Comme c’était déjà prévu en Décembre 2014.

Ainsi, beaucoup plus tard, toute page visitée en HTTP, donc non sécurisée, affichera le symbole “triangle rouge d’alerte” avec le label "Non sécurisé" dans le champ d’adresse, comme dans l’image ci-dessous, actuellement utilisé pour signaler des irrégularités de certificats SSL sur les pages HTTPS.

Images via Google

Et l’équipe de la sécurité de Google Chrome de justifier leur intention :

Chrome indique actuellement les connexions HTTP avec un label neutre. Cela ne reflète pas le vrai manque de sécurité pour les connexions HTTP. Lorsque vous chargez un site Web via HTTP, quelqu'un d’autre sur le réseau peut regarder ou modifier le site avant qu’il arrive à vous.

Cette faiblesse peut être utilisée pour injecter des malwares en toute transparence dans le trafic web non chiffré, communément appelé une attaque par injection.

Maintenant, reste à savoir si ce symbole du “Triangle rouge d’alerte” va dissuader les utilisateurs de visiter un site et les webmasters de migrer massivement vers le HTTPS.

Mais, ce dont on peut être sûr, c’est que Google s’en donnera les moyens…