Au printemps prochain, Google va continuer sa bataille pour généraliser les connexions HTTPS. Au sein de son navigateur, le mode "Toujours utiliser les connexions sécurisées", jusqu'alors optionnel, sera activé par défaut.
Depuis 2018, Chrome affiche un avertissement "Non sécurisé" sur les sites HTTP. Puis, en 2021, Google a commencé à privilégier automatiquement le HTTPS avant de lancer une option pour forcer systématiquement les connexions sécurisées en 2022. Cette fois, Google passe à la vitesse supérieure en transformant cette fonction facultative en paramètre par défaut.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Un risque toujours présent malgré une adoption massive
Selon les données du navigateur remontées à Google, 95 à 99% des connexions utilisent déjà HTTPS depuis 2020, contre seulement 30-45% en 2015. Pourtant, cette adoption s'est stabilisée et stagne. Ces quelques connexions HTTP restantes représentent encore des millions de navigations à risque. Les attaquants peuvent exploiter une seule connexion non sécurisée pour intercepter le trafic, détourner la navigation ou exposer l'utilisateur à des logiciels malveillants. Google souligne que ces outils sont "facilement disponibles" et ont déjà servi dans des attaques ciblées.
Mais le plus souvent, les connexions HTTP restent invisibles pour l'utilisateur. Certains sites utilisent encore HTTP comme point d'entrée avant de rediriger immédiatement vers leur version HTTPS. Durant cette redirection, même si elle ne dure qu'une fraction de seconde, la première requête HTTP non chiffrée peut être interceptée par un attaquant sur le réseau. Ce dernier peut alors bloquer la redirection, remplacer la page par une version malveillante ou injecter du code dangereux. À l'heure actuelle, l'utilisateur ne voit jamais l'avertissement "Non sécurisé" dans la barre d'adresse puisque la redirection s'effectue trop rapidement.
Une option bientôt par défaut
En activant l'option actuelle par défaut, Google a mené une expérimentation avec Chrome 141 pour mesurer l'impact réel de ce changement. La moitié des utilisateurs recevait moins d'un avertissement par semaine et pour les plus exposés, représentant 5%, ils n'en généraient pas plus de trois sur la même période. Google précise quand même qu'il ne s'agit pas non plus de harceler les internautes. Le navigateur Chrome mémorisera les sites HTTP visités régulièrement et n'affichera plus d'avertissement lors des consultations ultérieures. Les alertes cibleront uniquement les sites nouveaux ou rarement fréquentés.
Notons au passage que les sites privés seront traités différemment. Par défaut, Chrome n'enverra aucune notification pour les adresses IP locales comme 192.168.0.1, ni pour les raccourcis intranet. Ces connexions sont jugées moins risquées puisqu'un attaquant doit se trouver sur le même réseau local pour les exploiter. Il s'agit surtout des environnements d'entreprise et des outils de développement.
Le déploiement s'effectuera en deux temps. Les utilisateurs ayant activé le mode de protection renforcée bénéficieront du changement dès avril 2026 avec Chrome 147, soit plus d'un milliard de personnes. L'activation généralisée interviendra en octobre 2026 avec Chrome 154 pour l'ensemble des utilisateurs.
Google explique avoir contacté les entreprises responsables du plus grand volume de navigations HTTP. Beaucoup n'utilisent HTTP que pour des redirections immédiates vers HTTPS, une pratique qui ne nécessite pas de travail technique majeur pour migrer entièrement vers le protocole sécurisé. L'entreprise s'attend à ce que ces organisations basculent avant le déploiement de Chrome 154.
