Dans un discours durant l’édition 2017 de la Usenix Enigma, une conférence sur les menaces émergentes et les nouvelles attaques, Emily Schechter, chef de produit dans la division Chrome Security a indiqué que l’entreprise a mis à la disposition des développeurs un panneau de sécurité dans la section DevTools de Chrome 48, dans l’optique d'aider les développeurs à déployer HTTPS sur leurs sites et services. « La plateforme web devient de plus en plus puissante grâce aux nouvelles API comme service worker. Les risques en matière de sécurité demeurent une préoccupation, raison pour laquelle bon nombre de ces fonctionnalités exigent des origines sécurisées. HTTPS préserve l'intégrité de votre site web et s'assure que les connexions établies avec vos utilisateurs sont chiffrées. Dans l'optique de faciliter le déploiement de HTTPS, la version bêta de Chrome 48 embarque un nouveau panneau de sécurité dans DevTools qui sera déployé de façon plus générale dans les jours à venir. » ;
Des efforts de sensibilisation qui se voient récompensés. En effet, selon son rapport de Transparence relatif au chiffrement HTTPS sur le Web, concernant le pourcentage de pages chargées sur Chrome réparties par système d’exploitation, l’entreprise indique que :
- 80 % des pages chargées sur Chrome dans Chrome OS s’appuient sur ce protocole ;
- 75 % sur macOS ;
- 66 % sur Windows ;
- 64 % sur Android ;
- 60 % sur Linux.
Ces chiffres n'incluent pas la navigation entre fragments, l'ajout d'entrées dans l'historique à l'aide de la méthode pushstate ni les protocoles autres que HTTP/HTTPS (y compris l'accès aux pages "Nouvel onglet".
Concernant la répartition par pays, le volume de trafic Web chiffré vers Google varie. L’entreprise a présenté un graphique qui représente les dix pays pour lesquels le volume de trafic Web chiffré est le plus élevé, en pourcentage du trafic reçu par Google. Les différences entre les pays s'expliquent par plusieurs facteurs, notamment les types d'appareils utilisés et la disponibilité des logiciels compatibles avec les technologies de chiffrement modernes, comme le protocole TLS. La France se place en cinquième position en termes de volume chiffré avec 91 % de son trafic, devant les États-Unis (82 %, huitième position) et l’Allemagne (78 %, neuvième position).
La grande majorité du trafic utilisateur non chiffré en provenance d'un ensemble donné de services Google analysés passe par les appareils mobiles. Certains sont trop anciens pour prendre en charge le chiffrement, les normes ou les protocoles modernes. Malheureusement, ces appareils peuvent ne plus être compatibles avec les mises à jour logicielles et, par conséquent, ne jamais prendre en charge le chiffrement.
Plusieurs difficultés techniques et politiques entravent le chiffrement complet de l'ensemble du trafic Web. Par exemple, certains pays et organisations bloquent le trafic HTTPS ou le dégradent. Certaines entreprises et organisations manquent de ressources techniques pour implémenter le protocole HTTPS ou ne le considèrent pas comme une priorité. Chez Google, la gestion des certificats peut s'avérer difficile pour des produits comme Blogger, où le domaine d'un utilisateur autre que Google peut être utilisé et risque de ne pas prendre en charge le protocole HTTPS.
Google rappelle que les connexions Web HTTPS vous protègent contre les dispositifs d'écoute, les attaques dites "de l'homme du milieu" et les pirates informatiques qui tentent de falsifier des sites Web de confiance. Autrement dit, le chiffrement déjoue les tentatives d'interception de vos informations et assure l'intégrité des données que vous recevez et transmettez. Cependant, comme une majorité de logiciels et matériels trop anciens ne sont pas compatibles avec les technologies de chiffrement modernes, les utilisateurs de ces appareils peuvent être plus vulnérables aux menaces liées à la sécurité.
Bien entendu, Google n’est pas la seule entreprise à devoir être félicitée pour cette adoption grandissante du HTTPS. Nombreux sont les acteurs qui ont participé à cette évolution. Nous pouvons citer par exemple Apple, qui a déclaré l'année dernière qu'il faudrait que les développeurs d'applications forcent les connexions HTTPS pour les applications iOS, Let’s Encrypt, qui a distribué un grand volume de certificats gratuits par jour en 2016, dépassant parfois la barre des 100 000 certificats par jour (Fin juin, l’autorité a indiqué avoir franchi les 100 millions de certificats depuis son lancement en décembre 2015) et bien d’autres.
Source : rapport de transparence Google