À l'avenir, Google prévoit même de supprimer le mot «Sécurisé» de la barre d'adresse. Tous les sites Web devraient être sécurisés par défaut, après tout.
Comment fonctionnent les sites Web HTTPS «sécurisés»
Même si vous saisissez des mots de passe, fournissez des numéros de carte de crédit ou recevez des données financières sensibles via la connexion, le cryptage garantit que personne ne peut écouter ce qui est envoyé ni modifier les paquets de données lorsqu’il se déplace entre votre appareil et le serveur du site Web.
Cela est dû au fait que le site Web est configuré pour utiliser le cryptage SSL sécurisé. Votre navigateur Web utilise le protocole HTTP pour se connecter à des sites Web non chiffrés traditionnels, mais utilise HTTPS (littéralement, HTTP avec SSL) lors de la connexion à des sites Web sécurisés. Les propriétaires de sites Web doivent configurer HTTPS avant que cela ne fonctionne sur leurs sites Web.
HTTPS offre également une protection contre les personnes malveillantes se faisant passer pour un site Web. Par exemple, si vous vous trouvez sur un point d'accès Wi-Fi public et que vous vous connectez à Google.com, les serveurs de Google fourniront un certificat de sécurité uniquement valide pour Google.com. Si Google utilisait simplement du HTTP non crypté, il n'y aurait aucun moyen de savoir si vous étiez connecté au vrai Google.com ou à un site imposteur conçu pour vous duper et vous voler votre mot de passe. Par exemple, un point d'accès Wi-Fi malveillant pourrait rediriger les utilisateurs vers ces types de sites Web d'imposteurs alors qu'ils étaient connectés au réseau Wi-Fi public.
(Techniquement, cela ne vérifie pas l’identité aussi bien que les certificats de validation étendue (EV). Cependant, c’est mieux que rien!)
HTTPS offre également d'autres avantages. Avec HTTPS, personne ne peut voir le chemin complet des pages Web que vous visitez. Ils ne peuvent voir que l’adresse du site Web auquel vous vous connectez. Ainsi, si vous lisiez un problème médical sur une page comme exemple.com/medical_condition, même votre fournisseur de service Internet ne pourrait voir que votre connexion à exemple.com - et non le problème médical que vous lisez.. Si vous visitez Wikipedia, votre fournisseur de services Internet et toute autre personne ne pourront voir que ce que vous lisez, mais pas ce que vous lisez.
Vous pouvez vous attendre à ce que HTTPS soit plus lent que HTTP, mais vous vous trompez. Les développeurs ont travaillé sur de nouvelles technologies telles que HTTP / 2 pour accélérer votre navigation sur le Web, mais HTTP / 2 n’est autorisé que sur les connexions HTTPS. Cela rend HTTPS plus rapide que HTTP.
Pourquoi les sites Web ne sont pas sécurisés s’ils ne sont pas cryptés
Chrome affirme que la connexion n’est pas sécurisée car il n’ya pas de cryptage pour la protéger. Tout est envoyé en clair sur la connexion, ce qui signifie qu’elle est vulnérable à l’espionnage et à la falsification. Si vous saisissez des informations confidentielles telles que des informations de mot de passe ou de paiement sur un tel site Web, vous pouvez être surveillé par quelqu'un lorsqu'il navigue sur Internet.
Les gens peuvent également regarder les données que le site Web vous envoie. Ainsi, même si vous naviguez simplement sur le Web, les oreilles indiscrètes peuvent savoir exactement quelles pages Web vous consultez. Votre fournisseur de services Internet saurait également quelles sont les pages Web que vous consultez et pourrait vendre ces informations pour le ciblage des annonces. Les autres utilisateurs du réseau Wi-Fi public au café pourraient également voir ce que vous regardez.
Un site Web non chiffré est également vulnérable aux altérations. Si une personne se trouve entre vous et le site Web, elle peut modifier les données que le site Web vous envoie ou les données que vous envoyez au site Web, en exécutant une attaque de type "man-in-the-middle". Cela peut par exemple se produire lorsque vous utilisez un point d'accès Wi-Fi public. L’opérateur du hotspot peut espionner votre navigation et capturer des informations personnelles ou modifier le contenu de la page Web avant qu’elle ne vous parvienne. Par exemple, quelqu'un pourrait insérer des liens de téléchargement de logiciels malveillants dans une page de téléchargement légitime si cette page de téléchargement était envoyée via HTTP au lieu de HTTPS. Ils pourraient même créer un site Web fictif factice prétendant être un site Web légitime. Si le site Web légitime n’utilise pas le protocole HTTPS, il n’ya aucun moyen de remarquer que vous êtes connecté à un site factice et non réel.
Pourquoi Google a-t-il apporté cette modification?
À l'origine, seuls quelques sites Web utilisaient le protocole HTTPS.Votre banque et d’autres sites Web sensibles utilisent le protocole HTTPS et vous serez redirigé vers une page HTTPS lors de la connexion à des sites Web avec un mot de passe et en entrant votre numéro de carte de crédit. Mais c'était ça.
À l’époque, la mise en œuvre de HTTPS coûtait un peu d’argent aux propriétaires de sites Web, et les connexions HTTPS sécurisées étaient plus lentes que les connexions HTTP. La plupart des sites Web utilisaient simplement HTTP, mais cela permettait d'espionner et d'altérer la connexion. Cela rendait dangereuse l'utilisation des points d'accès Wi-Fi publics.
Pour garantir la confidentialité, la sécurité et la vérification de l’identité, Google et d’autres personnes souhaitaient faire passer le Web au protocole HTTPS. Cela a été fait à bien des égards: HTTPS est maintenant encore plus rapide que HTTP grâce aux nouvelles technologies, et les propriétaires de sites Web peuvent obtenir des certificats SSL gratuits pour chiffrer leurs sites Web à partir de Let’s Encrypt, une association à but non lucratif. Google préfère les sites Web utilisant le protocole HTTPS et en assure la promotion dans les résultats de recherche Google.
Selon le rapport de Google sur la transparence, 75% des sites Web visités dans Chrome sous Windows utilisent maintenant le protocole HTTPS. Il est maintenant temps d’inverser le commutateur et de mettre en garde les utilisateurs des sites Web HTTP.
Rien n'a changé - HTTP a toujours les mêmes problèmes que toujours. Cependant, suffisamment de sites Web sont passés à HTTPS pour que le moment soit venu d’alerter les utilisateurs sur HTTP et d’encourager les propriétaires de sites Web à cesser de se laisser traîner. Le passage à HTTPS accélérera le Web tout en améliorant la sécurité et la confidentialité. Cela rend également les points d'accès Wi-Fi publics plus sûrs.
