Les équipes de Google Chrome travaillent sur un nouvel outil permettant de bloquer les téléchargements qui passent d’une façon ou d’une autre par une source HTTP, non sécurisée.
Une arme de plus sur ordinateur pour prévenir et protéger les utilisateurs et utilisatrices des sites utilisant encore le protocole HTTP, considéré désormais comme non sécurisé par Google et les autres acteurs du Net.
Un outil toujours en production
C’est le site 9to5Google qui a remarqué de nouvelles lignes de code, associées à des commentaires de développeurs. Celles-ci pointent très clairement vers un outil en préparation, qui viendrait étoffer encore un peu la palette d’options de protection des utilisateurs du navigateur Chrome. « Lorsque le signalement précédemment ajouté est activé, il montrera un avertissement pour tout téléchargement qui n’est pas entièrement sécurisé. » En résumé, après sa mise à jour, Google Chrome avertira les personnes lorsque la page initiale du téléchargement est en HTTP, si le fichier final téléchargé n’est pas sécurisé ou si toute redirection pendant le téléchargement se fait vers un lien non sécurisé.
Un exemple simple : si vous êtes sur un site en HTTPS, normal, et que vous cliquez sur un lien qui vous redirige vers un site HTTP, Chrome vous avertira et bloquera le téléchargement tant que vous n’aurez pas confirmé votre volonté de continuer. Dans un autre ordre d’idée, si vous décidez de naviguer sur un site en HTTP, le navigateur bloquera automatiquement tout téléchargement entamé sur ce site. L’outil n’est pas encore déployé et est toujours en construction. De nombreuses extensions permettent à ce jour de sécuriser son site ou de se protéger.
Internet est encore rempli de sites non sécurisés
L’obligation pour un site internet de tourner avec le protocole HTTPS est encore assez récente. Pour rappel, il s’agit d’une évolution de l’HyperText Transfer Protocol (HTTP) auquel a été ajoutée une surcouche de chiffrement pour rendre les sites, à la base collectant des données sensibles, plus sécurisés (le S de HTTPS). Les sites sont obligés de l’utiliser depuis 2017. Rapidement, Google a mis en place des options et des outils pour éviter aux usagers et usagères d’Internet de visiter les sites HTTP, donc considérés comme non protégés et à risque.
Un site HTTP se voit afficher dans la barre d’URL la mention de « site non sécurisé ». À l’été 2021, Google a même ajouté une nouvelle option dans les paramètres de sécurité de son navigateur Chrome : le mode HTTPS Only. Ce mode permet de transformer automatiquement un lien HTTP en son lien HTTPS, s’il existe. Si aucune version HTTPS n’a été trouvée, Chrome affiche une page d’avertissement et revient à la page HTTP. Sur les plus de 1,88 milliard de sites estimés en 2021 dans le monde, il y en a forcément un grand nombre encore en HTTP et non sécurisés, pouvant accueillir des acteurs malveillants en leur sein, volontairement ou non.
