Blog GlobalSign

30 oct. 2018

Passez au HTTPS pour éviter d’être pointé du doigt par Google

Chers lecteurs, il existe bel et bien un rapport entre :

  • un site web consacré aux actualités sur les technologies financières
  • de multiples quotidiens basés en Nouvelle-Angleterre
  • un organisateur de prix d’excellence dans le domaine des technologies
  • et, jusqu’à récemment, le site e-commerce d’une bijouterie réputée, ainsi qu'un acteur clé dans le secteur du e-commerce

Avez-vous deviné lequel ?

Pour Google Chrome, ces sites ne sont pas sécurisés ; pas terrible pour les affaires…

blog image 1 of url bar

Exemple de site « non sécurisé » dans Chrome v69. Source : badssl.com

Lorsqu’ils s’apercevront que votre site est montré du doigt par Google, vos clients seront très probablement frustrés et mécontents. Chrome étant le navigateur de prédilection d’une majorité d’utilisateurs (près de 60 %, selon de récentes estimations), je mettrais ma main à couper qu’aucun dirigeant ne souhaite un tel scénario.

À vrai dire, on compte aujourd’hui plusieurs centaines de milliers de sites marqués comme n’étant pas sécurisés. Que se passe-t-il ? Pourquoi un tel nombre de sites épinglés ?

Depuis Chrome 68, tous les sites sans le préfixe HTTPS sont considérés comme « non sécurisés »

Depuis plusieurs années, Google mène campagne en faveur du chiffrement SSL/TLS pour tout le Web — c’est-à-dire la technologie derrière le HTTPS. Autrefois, les sites qui utilisaient le SSL étaient marqués comme « sécurisés », mais depuis Chrome 68, Google a changé son fusil d’épaule. Dorénavant, les sites qui n’utilisent pas le SSL seront marqués comme « non sécurisés ».

blog image 2

Source : Google

Ce changement est effectif depuis juillet. D’autres changements interviendront plus tard dans le mois avec le lancement de Chrome 70. À ce stade, le navigateur affichera une étiquette rouge pour indiquer que le site est « non sécurisé » dès qu’un utilisateur commencera à saisir des informations (comme son nom d’utilisateur/mot de passe, des données financières) ou qu’il commencera à remplir un formulaire sur un site sans HTTPS. L’idée est de sensibiliser davantage les utilisateurs à l’absence de chiffrement des informations qu’ils sont sur le point de renseigner avec les risques d’interception ou d’espionnage que cela génère.

blog image 3

Source : Google

Pourquoi le HTTPS ?

Le HTTPS est une version plus sécurisée du protocole HTTP. Il empêche toute modification intrusive des communications entre vos sites Web et les navigateurs utilisés par vos visiteurs. Le HTTPS complique également la tâche de ceux qui seraient tentés d’espionner ce qui transite entre le navigateur et le serveur. Vos sites et vos visiteurs sont également protégés contre les injections par des tiers de publicités susceptibles de créer des failles de sécurité ou contre l’exploitation des images, cookies, scripts, etc. d’un site par des personnes mal intentionnées pour, par exemple, injecter des malwares ou n’importe quel autre programme néfaste.

Malgré les avantages évidents du HTTPS sur le plan de la sécurité, de nombreux sites sont manifestement encore à la traîne pour faire évoluer leurs sites dans ce sens. Nous espérons que les récents changements apportés par Google à son navigateur pousseront les exploitants de sites à se confronter à la réalité pour enfin franchir le pas. La transition exigera cependant une certaine organisation et des efforts, mais la démarche est essentielle pour éviter un effondrement du nombre de visiteurs sur votre site.

Comment basculer votre site en HTTPS

Bien que l’opération ne soit ni très coûteuse ou compliquée à mettre en œuvre, la conversion d’un site en HTTPS exige quelques efforts. La démarche s’effectue en quatre grandes étapes :

Important : vérifiez que votre site est traité en HTTPS !

Pour toute conversion d’un site en HTTPS, assurez-vous que les redirections 301 appropriées sont en place côté serveur pour que les utilisateurs et les moteurs de recherche puissent être redirigés vers la version HTTPS. Il semblerait que dernièrement certains sites n’aient pas avoir correctement configuré cette redirection. Les utilisateurs ont donc continué à être dirigés vers les versions HTTP de ces sites désormais marqués « non sécurisés ».

Vous vérifierez également que chaque page de votre site est sécurisée en SSL, pas uniquement les pages qui recueillent des renseignements personnels ou des données de paiement.

Vous pouvez aussi envisager la mise en œuvre du HSTS (HTTP Strict Transport Security), un mécanisme de sécurité qui force le traitement de toutes les connexions en HTTPS, même si un utilisateur tape manuellement une adresse en HTTP. Avec le HSTS, les utilisateurs ne peuvent se connecter au site que s’il existe un certificat valide et fiable ; toutes les autres connexions sont bloquées, sans possibilité de cliquer pour se connecter.

Pour en savoir plus sur le HSTS et accéder aux consignes de mise en œuvre, consultez notre article sur le sujet : Qu’est-ce que le HSTS et comment le met-on en œuvre ?

Vous pouvez retrouver l’intégralité de cet article sur le site du Journal du Net.

Partager ce blog

Poursuivez votre lecture avec :

Les sept qualités d’un excellent RSSI