Le 31 janvier, la version finale du navigateur Google Chrome 56 devrait être disponible. Et avec elle, des alertes spécifiques concernant les sites non sécurisés (en HTTP). Le navigateur Chrome va afficher l’indication « Not Secure » dans sa barre d’adresse. Un plan de durcissement qui ira grandissant.
Selon Google, 50 % des requêtes passées sur Chrome proviennent de sites HTTPS. Les 50 % restants devront donc afficher la même politique de sécurité s’ils ne veulent pas être délaissés par les internautes de plus en plus méfiants… Car avec Chrome 56, l’indication « not secure » s’affichera devant l’adresse des sites qui transmettent des données sensibles sans chiffrement, à commencer par les mots de passe et numéros de carte bancaire.
Dans les versions suivantes de Google Chrome, l’indication « not secure » devrait être précédée d’un triangle rouge pour davantage de visibilité pour le surfeur.
“Chrome signale actuellement les connexions HTTP non sécurisée d’un indicateur “neutre”. Cela ne reflète pas le réel manque de sécurité des connexions HTTP. Quand vous chargez un site sous HTTP, quelqu’un d’autre sur le réseau peut voir ou modifier le site avant qu’il n’arrive à vous”, prévient Google. “Notre intention d’étiqueter les sites HTTP plus clairement et plus précisément comme non sécurisés se fera progressivement, sur la base de critères de plus en plus stricts. À compter de janvier 2017, Chrome 56 signalera les pages HTTP comportant des champs de mot de passe ou de carte de crédit comme étant «non sécurisées», étant donné leur nature particulièrement sensible», indique-t-il.
Se mettre en conformité rapidement au risque de perdre des visiteurs/clients
Pour Christophe Le Jeune, directeur de la société Alfa Safety, spécialiste des solutions d’hébergement pour les entreprises, les entreprises ont tout intérêt à sécuriser leur site pour ne pas “risquer de voir les internautes s’en détourner”. “Google n’a pas tort sur le fond, il ne fait que tirer les conséquences de l’augmentation des attaques sur Internet“, estime-t-il. Avant de constater : “Si les entreprises ont été sensibilisées, beaucoup d’entre-elles, surtout parmi les PME, ont retardé une dépense modeste mais perçue comme non indispensable. Seuls les grands groupes ou marques à forte notoriété ont été plus prudentes et ont agi depuis longtemps. Même les collectivités locales, qui sont pourtant très informées des risques de sécurité par l’ANSII, négligent souvent de déployer un certificat SSL.”
Un certificat SSL, qui apporte des fonctionnalités de sécurité (échanges cryptés entre le site et l’internaute pour préserver la confidentialité des données, contrôle du domaine vérifié par l’organisme fournisseur du certificat, ajout d’un cadenas vert suivi de “https” dans la barre d’adresse), coutant une centaine d’euros à l’année pour le 1er niveau, la dépense, modeste, vaut la peine.