Google en dit plus sur ses stratégies pour une plus grande adoption du HTTPS
Chrome 56 va alerter les utilisateurs s'ils sont sur du HTTP

Le , par Stéphane le calme, Chroniqueur Actualités
Dans un discours durant l’édition 2017 de la Usenix Enigma, une conférence sur les menaces émergentes et les nouvelles attaques, Emily Schechter, chef de produit dans la division Chrome Security, a parlé de l’évolution de l’adoption du HTTPS (actuellement, le protocole est déployé sur plus de la moitié du top 100 des sites figurant sur l’indice Alexa et 44 % d’entre eux l’ont activé par défaut). Cependant, Emily a reconnu qu’il y a encore beaucoup de chemin à parcourir.

Comme prévu par le calendrier d’Alphabet, Chrome 56 sera disponible cette semaine. Comme chez Firefox dans sa version 51, le navigateur va afficher une icône lorsque les utilisateurs seront sur un site qui ne se sert pas du protocole en leur donnant l’indication « non sécurisé ». Google va également ajouter un avertissement similaire à sa fonctionnalité de remplissage automatique lorsque les utilisateurs seront en face d’un formulaire qui va leur demander des mots de passe pour une authentification ou alors des détails de carte de crédit et qui reposent sur HTTP.

« Nous voulons à la fois éviter aux utilisateurs d’être fatigués par les alertes et observer des connexions sécurisées », a-t-elle expliqué.

En plus d'encourager les développeurs à se tourner vers le HTTPS, Google voudrait voir également les entreprises fournir cet effort. D’ordinaire, les entreprises sont plus lentes à effectuer une migration vers le HTTPS en raison de certifications onéreuses, mais également des problèmes dans l’obtention de revenus publicitaires et des informations SEO.

Pour Emily, ces problèmes ont facilité l’émergence de la certification libre (à l’instar des certificats délivrés par Let’s Encrypt). En ce qui concerne les revenus publicitaires, plus de 80 % des demandes d'annonces Google passent maintenant par HTTPS, les autres réseaux publicitaires affichant des chiffres similaires.

Pour Schechter, les entreprises et les développeurs gagneraient vraiment à se tourner vers le HTTPS. Une carotte tendue par Google qui conserve le bâton pour les récalcitrants.

En effet, Google a pris une série de mesures pour encourager la migration vers le HTTPS. L’entreprise a par exemple entrepris d’indexer les pages HTTPS par défaut sur son moteur de recherche. L’entreprise a également mis à la disposition des développeurs un panneau de sécurité dans la section DevTools de Chrome 48, dans l’optique d'aider les développeurs à déployer HTTPS sur leurs sites et services. « La plateforme web devient de plus en plus puissante grâce aux nouvelles API comme service worker. Les risques en matière de sécurité demeurent une préoccupation, raison pour laquelle bon nombre de ces fonctionnalités exigent des origines sécurisées. HTTPS préserve l'intégrité de votre site web et s'assure que les connexions établies avec vos utilisateurs sont chiffrées. Dans l'optique de faciliter le déploiement de HTTPS, la version bêta de Chrome 48 embarque un nouveau panneau de sécurité dans DevTools qui sera déployé de façon plus générale dans les jours à venir. »

Google a également déprécié certaines API comme l’API de géolocalisation et toute personne utilisant getUserMedia (), les extensions chiffrées de média, ou AppCache, aura également de graves limitations à moins qu'elle soit sur une connexion HTTPS.
De plus, Chrome va disposer d’un code optimisé pour la sécurité des couches de transport, notamment lors de la reprise des sessions et des fausses fonctions de démarrage. À l'inverse, des fonctionnalités comme la compression Brotli seront limitées en termes de performances sur les connexions non sécurisées.

C'est assez juste, compte tenu du genre de données dont nous parlons, a soutenu Schechter. La géolocalisation peut révéler l'adresse de domicile ou de travail d'un internaute et être utilisée pour le pistage. Ces données doivent être plus sûres, a-t-elle soutenu, et ce besoin ne fait qu'augmenter.

Source : conférence Enigma 2017

Voir aussi :

Le web est devenu plus sûr grâce à la domination du HTTPS, est-ce que vous êtes passés au HTTPS pour vos sites web ?
Des milliers de e-commerces compromis permettent le vol de cartes de crédit, des marchands estiment néanmoins qu'ils sont protégés par HTTPS
Chrome : les connexions HTTP seront marquées comme non sécurisées, afin d'inciter les sites à migrer vers le HTTPS


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :
Contacter le responsable de la rubrique Accueil