Chrome durcit sa politique de sécurité
Fin Janvier, Chrome affichera clairement une alerte de sécurité sur les sites sans protocole https.
Avec une part de marché représentant plus de 50% des navigateurs, Chrome – donc Google – profite de sa position dominante pour continuer d’assainir Internet.
Aujourd’hui, l’avertissement est caché : il faut cliquer sur l’icône d’information pour voir l’alerte.
Avec la nouvelle version 56, prévue pour fin janvier, l’alerte sera directement visible dans la barre d’adresse. Cette alerte sera diffusée dans un premier temps uniquement sur les pages qui recueillent des mots de passe ou des numéros de cartes de crédit. Très rapidement, cette alerte sera visible sur toutes les pages si l’internaute est en mode « Navigation Privée ».
A terme, toutes les pages d’un site en http seront visées par l’alerte en navigation normale : un triangle rouge avec la mention « Non sécurisé » apparaitront juste devant l’URL.
Quelle différence entre http et https?
Le HTTP est un mode de communication entre votre site (le serveur d’hébergement) et l’ordinateur de votre visiteur (le client).
Son but est de transférer les fichiers de votre site afin que ce dernier s’affiche dans le navigateur de votre visiteur. En retour, grâce au http, votre serveur peut également recevoir des informations de votre visiteur (coordonnées, mot de passe, numéro de carte bleue…).
Le souci, c’est que ces informations peuvent être interceptées à tout moment par des programmes malveillants car elles ne sont pas protégées.
C’est là le but du HTTPS : sécuriser l’échange des informations entre le serveur et le client, grâce à un cryptage et au certificat d’authentification (le fameux SSL). Ce dernier est fourni par une autorité tierce, et sa validité permet d’avoir le petit cadenas vert rassurant affiché dans la barre d’adresse.
Quel est l’impact sur votre site?
Vous êtes immédiatement concerné si vos visiteurs peuvent se connecter à votre site avec un identifiant : client ecommerce, forums de discussion, espace privé, … .
Contactez-nous rapidement pour mettre en place votre certificat et basculer en https.
Dans le cas contraire, vous avez un peu de temps, mais ne vous faites pas d’illusion, Google a décidé de bannir le http de la toile et la machine est lancée depuis 2014 …