Le géant Google, grand promoteur de la navigation sécurisée HTTPS, dévoile qu’une petite partie du trafic mondial sur internet se fait sur l’ancien protocole HTTP, laissant ouverte la porte à des intrusions.
L’entreprise de Mountain View en a profité pour dévoiler une série de mesures pour les navigateurs Chromium afin de prioriser l’apparition des liens HTTPS, jugés bien plus sécurisés puisque chiffrés. Rien n’a encore été trouvé cependant pour remplacer complétement la masse énorme de sites non sécurisés que ce soit sur les smartphones ou les ordinateurs.
Un pourcentage non négligeable du web n’est pas sécurisé
Depuis des années maintenant, les sites web utilisent le protocole dit HTTPS en lieu et place de l’historique HTTP. Il s’agit simplement du même protocole de connexion, sur lequel a été ajoutée une couche de chiffrement. Les sites recueillant les données personnelles des visiteurs notamment, étaient parmi les premiers à l’utiliser. Depuis, le protocole est devenu quasiment un standard, utilisé par tous les navigateurs. Google a publié une vue globale du chiffrement HTTPS du web depuis son apparition. Bien que le protocole soit apparu il y a plus de 10 ans, le géant indique qu’environ 10 % du trafic internet mondial se fait de manière non sécurisée, via des sites en HTTP. Un chiffre qui reste stable depuis 2018.
Cela donne tout de même 90 % de navigations sécurisées, quelle que soit la plateforme (Mac, Android ou Windows). Plusieurs causes expliquent qu’il est encore difficile d’atteindre les 100 % de trafic sécurisé. Google montre que c’est sur mobiles que se fait la majorité du trafic non sécurisé. En cause, l’utilisation parfois trop régulière d’appareils ou d’OS trop anciens, qui ne sont pas compatibles avec les systèmes de chiffrement modernes ou les nouveaux standards et protocoles. De quoi donner matière à réflexion aux constructeurs de smartphones pour offrir des appareils plus durables et qui peuvent bénéficier de plus de mises à jour importantes de leur OS…
L’autre cause, selon Google, vient de l’avertissement dans la barre de navigation lorsqu’une personne se rend sur une page non sécurisée. Pour l’entreprise, cet avertissement n’est pas suffisant. « Non seulement les gens ne le remarquent pas, mais le temps qu’ils s’en aperçoivent, les dommages peuvent déjà avoir été provoqués. »
Des mesures prises
Google, pour les navigateurs Chromium, a commencé il y a quelques années à mettre en place ce qu’il appelle le mode HTTPS Uniquement, permettant au navigateur de transformer automatiquement un site en HTTPS. Si la manœuvre rate, l’utilisateur doit confirmer qu’il veut bien se rendre sur ce site jugé non protégé. L’objectif à long terme est d’activer ce mode auprès de toutes et tous. Mais avant d’y arriver, le géant prend une série de mesures permettant une transition plus douce :
- Le mode HTTPS Uniquement pour les utilisateurs utilisant le programme de protection avancée et qui sont également inscrits sur Chrome.
- Google prévoit d’activer par défaut le mode HTTPS Uniquement sur les fenêtres de navigation privée.
- Chrome affichera un avertissement dès lors qu’une tentative de télécharger un fichier potentiellement dangereux via une connexion non sécurisée. L’utilisateur peut tout de même décider de télécharger le fichier s’il comprend le risque. « À moins que le mode HTTPS Uniquement soit activé, Chrome ne n’affichera pas l’avertissement lorsque vous téléchargerez de manière non sécurisée des fichiers comme des images, de l’audio ou des vidéos, ces types de fichiers étant relativement sécurisés. Ces avertissements arriveront au mois de septembre.