Google Chrome va marquer comme « non sécurisés » les sites web en HTTP
Qui collectent des informations sur des mots de passe

Le , par Stéphane le calme, Chroniqueur Actualités
Le navigateur Google Chrome va commencer à signaler les sites web en HTTP recueillant des mots de passe ou des cartes de crédit comme étant « non sécurisé ». Google a expliqué que la seule façon pour les sites web d’éviter d'être ainsi étiquetés est « sécuriser le trafic avec HTTPS » et de suivre le guide des bonnes pratiques de sécurité générale.

« Pour aider les utilisateurs à naviguer en toute sécurité, Chrome indique la sécurité de la connexion avec une icône dans la barre d'adresse. Par le passé, Chrome n'a pas explicitement marqué les connexions HTTP comme non sécurisées. À partir de la version 56, Chrome marquera les pages HTTP qui collectent les mots de passe ou les cartes de crédit comme étant non sécurisées, dans le cadre d'un plan à long terme pour marquer tous les sites HTTP comme non sécurisés. La fonctionnalité se déroulera graduellement au cours des prochaines semaines », a prévenu Vincent Scheib, Web Bluetooth Orthodontist.


Google a également annoncé que Chrome 56 bêta va permettre aux sites web d’interagir avec les appareils Bluetooth Low Energy (BLE) en utilisant l'API Web Bluetooth sur Android, Chrome OS et Mac. « L'API Web Bluetooth utilise le protocole GATT, qui permet aux développeurs web de se connecter à des périphériques Bluetooth tels que des imprimantes et des écrans LED avec quelques lignes de JavaScript. Le Web Bluetooth peut également être combiné à des balises Web physiques pour découvrir et contrôler les périphériques voisins ».

Notons que ces fonctionnalités seront initialement mises en œuvre dans la version bêta du navigateur. Selon le déroulement des tests, elles devraient être prêtes pour la prochaine version stable de Google Chrome qui est attendue pour le début de l'année 2017.

Source : blog Chromium

Voir aussi :

Google donne des précisions sur le déploiement HTTPS sur ses produits et services et fait une liste des pays qui s'en servent le plus

Google Search indexe désormais les URL HTTPS par défaut, lorsque deux URL HTTP et HTTPS d'un même domaine ont le même contenu


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Olivier Famien Olivier Famien - Chroniqueur Actualités https://www.developpez.com
le 28/12/2016 à 11:51
Google précise que Chrome commencera à marquer les connexions HTTP comme non sécurisées à partir de fin janvier
et donne plus de détails sur son plan

Il y a quelques semaines de cela, Google annonçait que Chrome marquerait bientôt les connexions HTTP comme non sécurisées. La firme revient à nouveau pour annoncer qu’à « partir de la fin de janvier, avec Chrome 56, Chrome marquera les sites HTTP qui collectent des mots de passe ou des cartes de crédit non sécurisés ».

Cette nouvelle mesure qui avait déjà fait l’objet de communication depuis plusieurs mois débutera donc à partir de la fin du mois prochain. L’entreprise souligne que « l’activation de HTTPS sur votre site entier est importante, mais si votre site collecte des mots de passe, des informations de paiement ou toute autre information personnelle, il est essentiel d’utiliser HTTPS. Sans HTTPS, les mauvais acteurs peuvent voler ces données confidentielles ».

En effet, sans une connexion chiffrée avec le protocole HTTPS, des tiers malveillants pourraient intercepter les identifiants et autres informations sensibles qui sont envoyés ou reçus sur les sites non sécurisés.

Actuellement, Chrome indique les pages web non sécurisées avec un indicateur neutre. Toutefois, Google explique que des études montrent que les utilisateurs ne perçoivent pas l’absence de l’icône de sécurité sur les connexions HTTP comme un avertissement. À terme, l’entreprise souhaite donc faire prendre conscience aux utilisateurs des risques qu’ils courent en fréquentant les sites web non sécurisés. Aussi l’entreprise a-t-elle mis en place un plan à long terme qui se dévoilera progressivement afin de marquer clairement et avec exactitude les pages non sécurisées sur la base de critères de plus en plus stricts.

À partir de la fin du mois de janvier, Google déroulera son plan en utilisant la nouvelle version de son navigateur, Chrome 56, pour indiquer de manière apparente que les champs de formulaire qui collectent des mots de passe et des cartes de crédit sans utiliser de chiffrement avec le protocole de transfert HTTPS sont à risque.


Et à mesure que les choses évolueront, Google étendra les avertissements en étiquetant les pages HTTP non sécurisées même en mode navigation privée. Enfin, l’entreprise compte dans les mois à venir changer la couleur de l’étiquette pour la faire passer au rouge afin de mieux attirer l’attention des utilisateurs sur les risques que présentent les sites.


Source : Blog sécurité Google, Google Webmasters

Et vous ?

Que pensez-vous de cette nouvelle mesure ?

Pourra-t-elle effectivement faire attirer l’attention des utilisateurs et leur faire éviter ces sites non sécurisés ?

Voir aussi

Le web est devenu plus sûr grâce à la domination du HTTPS, est-ce que vous êtes passés au HTTPS pour vos sites web ?
Google Search indexe désormais les URL HTTPS par défaut, lorsque deux URL HTTP et HTTPS d'un même domaine ont le même contenu

La Rubrique Applications, Forum Google Chrome, Livres sur Applications
Avatar de xav-stargate xav-stargate - Membre à l'essai https://www.developpez.com
le 28/12/2016 à 12:09
C'est quand même fou d'en arriver là...
Pourquoi autant de site (y compris celui-ci) n'ont toujours pas de HTTPS ?
Avatar de RyzenOC RyzenOC - Membre éclairé https://www.developpez.com
le 28/12/2016 à 12:33
Citation Envoyé par xav-stargate Voir le message
C'est quand même fou d'en arriver là...
Pourquoi autant de site (y compris celui-ci) n'ont toujours pas de HTTPS ?
Quelle est l’intérêt du https sur ce genre de site
Ce n'est qu'un forum... pareil pour les blogs et pages web perso sa n'a pas grand intérêt de chiffrer les connections, les données qui transit n'ont aucune valeur.

Edit: concernant l'argument "Les gens utilise le meme mp sur tous les sites" je répond égoïstement "tant pis pour eux".
Avatar de jiber2fr jiber2fr - Membre à l'essai https://www.developpez.com
le 28/12/2016 à 13:33
L'intérêt est surtout pour les mots de passe, y compris sur ce site. A l'instant, je viens de saisir un identifiant et un mot de passe pour me connecter et poster ce commentaire. On sait bien que beaucoup (beaucoup) d'utilisateurs utilisent les mêmes mots de passe sur différents sites... sécuriser mêmes les "petits sites" augmente donc la sécurité globale.
Avatar de yildiz-online yildiz-online - Membre émérite https://www.developpez.com
le 28/12/2016 à 13:40
Citation Envoyé par RyzenOC Voir le message
Quelle est l’intérêt du https sur ce genre de site
Ce n'est qu'un forum... pareil pour les blogs et pages web perso sa n'a pas grand intérêt de chiffrer les connections, les données qui transit n'ont aucune valeur.
Un forum avec un formulaire de connexion, les mots de passe transitent gentiment en clair jusqu'au serveur.
Avatar de Se7h22 Se7h22 - Membre actif https://www.developpez.com
le 29/12/2016 à 1:24
Citation Envoyé par RyzenOC Voir le message
Quelle est l’intérêt du https sur ce genre de site
Ce n'est qu'un forum... pareil pour les blogs et pages web perso sa n'a pas grand intérêt de chiffrer les connections, les données qui transit n'ont aucune valeur.

Edit: concernant l'argument "Les gens utilise le meme mp sur tous les sites" je répond égoïstement "tant pis pour eux".
J'ai du mal à trouver une exception valable pour ne pas mettre du chiffrement sur son site web. Car le soucis, que cela soit sur un forum ou d'autres plateformes web, c'est que sans chiffrement les données de connexion peuvent être interceptées.

Et celles-ci peuvent être utilisées pour usurper ton identité, faire du spam sauvage, récupérer l'adresse courriel lié au compte, etc.

Le chiffrement est donc important pour tout type de site web ayant des données personnelles, qu'il soit petit ou non.

Et de toutes façons, ce choix est logique, car HTTP2 est pris en charge uniquement avec du chiffrement par les navigateurs. Donc les sites web non chiffrés sont voués à disparaître :-°
Avatar de pokap pokap - Nouveau membre du Club https://www.developpez.com
le 29/12/2016 à 11:48
Il n'y a pas que le mot de passe qui compte, également l'intégrité des informations qui voyagent entre le serveur et le client, sans https on peut aisément modifier le contenu d'un document html, et ce retrouver en face d'un document falsifié contenant pubs, informations contradictoires, ou bien simplement nous observer/suivre.
Donc même pour un blog sans besoin de connexion, ça reste très important.
Avatar de Kropernic Kropernic - Expert confirmé https://www.developpez.com
le 29/12/2016 à 11:56
N'étant pas du tout dans le domaine du web, j'me demandais... Y a quelque chose de spécial à faire pour avoir un site qui utilise https au lieu de http ? J'veux dire... Faut acheter un certificat (ou autre) ou bien c'est juste un protocole à utiliser qu'il faut spécifier à l'hébergeur ?
Avatar de Se7h22 Se7h22 - Membre actif https://www.developpez.com
le 29/12/2016 à 12:18
Citation Envoyé par Kropernic Voir le message
N'étant pas du tout dans le domaine du web, j'me demandais... Y a quelque chose de spécial à faire pour avoir un site qui utilise https au lieu de http ? J'veux dire... Faut acheter un certificat (ou autre) ou bien c'est juste un protocole à utiliser qu'il faut spécifier à l'hébergeur ?
En règle générale la certification est payante, mais il existe des solutions gratuites. StartSSL est longtemps resté comme le seul autorité de certification ayant une solution gratuite, mais elle est limité à un seul nom de domaine. Et elle demande quelques informations personnelles pour authentifier ses utilisateurs.

Aujourd'hui il existe une solution vraiment gratuite et qui facilite l'utilisation des certificats TLS (le remplaçant de SSL qui est maintenant dépassé) qui se nomme Let's Encrypt. Et c'est bien grâce à cette solution, qu'il n'y a plus vraiment d'excuse de ne pas chiffrer les connexion de son site web ^^ (même si hélas, certains hébergeurs mutualisés ne permettent pas d'utiliser l'autorité de certification que l'on souhaite…).
Avatar de Kropernic Kropernic - Expert confirmé https://www.developpez.com
le 29/12/2016 à 15:10
Merci pour la réponse
Contacter le responsable de la rubrique Accueil