Le mode HTTPS-First de Chrome : Avertissement sur une connexion non sécurisée.
Au cours des dernières années, Google a mené une croisade contre les éléments qui rendent le Web peu sûr et dangereux. Sachant que tous les utilisateurs ne sont pas forcément conscients de leurs mauvaises pratiques en matière de sécurité ou ne veulent pas faire l’effort de les modifier, Google essaie de faire respecter la sécurité de son côté en utilisant Chrome comme carotte et bâton pour les propriétaires et administrateurs de sites Web.
Pendant des années, la société a fait valoir que le protocole HTTPS était le seul et unique moyen pour les sites Web de diffuser du contenu, mais elle n’a pas obtenu un succès total. Google annonce aujourd’hui des fonctionnalités et des changements à venir dans le navigateur Chrome, qui permettront de résoudre le problème des récalcitrants au HTTPS tout en laissant les utilisateurs décider de leur propre sort, à leurs propres risques.
Selon Google, plus de 90 % des pages chargées dans Chrome utilisent déjà le protocole HTTPS, mais il est indéniable que des centaines d’autres ne le font pas. Chrome indique actuellement les pages qui utilisent HTTPS et celles qui ne le font pas, mais cela s’arrête là. Si les utilisateurs ne font pas attention à ces indications, ils ne seront pas immédiatement conscients des dangers qui les guettent.
Dans la version 94 de Chrome, prévue pour septembre, Google testera une option “HTTPS-First Mode” qui tentera de charger toutes les pages en HTTPS. Plus important encore, Chrome affichera un avertissement en pleine page si la page ne peut pas être mise à niveau vers HTTPS, laissant ainsi les utilisateurs décider s’ils veulent prendre le risque de continuer ou non.
Ce mode sera facultatif, mais Google pourrait en faire un mode par défaut si la fonctionnalité reçoit suffisamment de réactions positives.
Les sites HTTPS peuvent encore être un peu mystérieux pour certaines personnes. Ils peuvent présumer qu’un site est digne de confiance simplement parce qu’il fournit du contenu via HTTPS alors qu’en fait, c’est uniquement la connexion entre le navigateur et le serveur qui peut être considérée comme sécurisée.
De plus, Chrome utilise une icône en forme de cadenas pour indiquer une connexion HTTPS, ce qui ne fait qu’accentuer le malentendu.
À partir de Chrome 93, Google expérimente la suppression de cet indicateur. Au lieu d’un cadenas, il affichera simplement une flèche dirigée vers le bas sur laquelle les utilisateurs pourront cliquer pour vérifier que la connexion est sécurisée.
Les pages chargées à l’aide du protocole HTTP porteront toujours la mention “Non sécurisé” afin de l’indiquer clairement. Google espère que cela réduira la confusion, mais pourrait utiliser une autre mise en œuvre si l’expérience ne donne pas les résultats escomptés.
