Chrome 70 : les certificats HTTPS eux aussi dans le viseur du navigateur

Matthieu Legouge
Spécialiste Image
16 octobre 2018 à 07h00
15
Google chrome

La prochaine mise à jour du navigateur de Google, dont le déploiement est prévu pour le 16 octobre, empêchera toutes connexions sur des sites qui n'exécutent pas un certificat HTTPS à jour.

En plus d'être le bourreau des sites en HTTP, le navigateur qui s'accapare la plus grosse part du marché avec environ 750 millions d'utilisateurs va également s'en prendre à des centaines de sites en HTTPS dont le certificat n'est pas à jour.

HTTP et HTTPS sont dans un bateau, HTTP tombe à l'eau

Google compte sur la grande popularité de Chrome pour propulser l'utilisation du certificat HTTPS. Le navigateur de la firme de Mountain View est en effet le navigateur web le plus utilisé dans le monde depuis 2012. Début 2018, il a atteint un record avec plus de 60 % de parts de marché pour le navigateur web et près de 57 % pour le navigateur mobile (selon StatCounter), et se place ainsi très loin devant Safari et Mozilla.

Rappelons que le protocole HTTPS est une amélioration du HTTP (le S pour « sécurisé »). Le protocole sécurisé utilise en effet une couche de chiffrement SSL ou TLS qui permet de « crypter » les données que vous envoyez vers un site internet. L'algorithme de chiffrement est couplé à un certificat d'authentification du site visité fourni notamment par les navigateurs web.

Cette nouvelle pourrait donc marquer la fin des sites en HTTP, du moins sur le navigateur de Google ! Pour le moment, Chrome se contente de donner des indications visuelles concernant les sites non sécurisés en HTTP.

La prochaine version de Chrome joue donc très clairement la carte de la sécurité, Google à par ailleurs commencer sa chasse aux extensions malveillantes qui devront être supprimées d'ici le 1er janvier si elles ne répondent pas aux règles du Chrome Web Store.

Matthieu Legouge

Spécialiste Image

Spécialiste Image

La Tech dans les nuages, je garde les pieds sur Terre pour vous livrer mon regard à travers tests et dossiers. Vous me retrouverez sur le forum ainsi que dans l'espace commentaire, mais vous pouve...

Lire d'autres articles

La Tech dans les nuages, je garde les pieds sur Terre pour vous livrer mon regard à travers tests et dossiers. Vous me retrouverez sur le forum ainsi que dans l'espace commentaire, mais vous pouvez aussi me rejoindre sur les réseaux sociaux !

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page
Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (15)

manu0086
Faut arrêter de vouloir tout bloquer… c’est donner trop de pouvoir aux navigateurs et fournisseurs de certificats. Tous les sites ne le requièrent pas.<br /> Et après ça, ils bloqueront certains certificats qui ne leur plaisent pas pour X raisons…<br /> La neutralité du net n’existe déjà plus… sous prétexte de la sécurité.
prisme
Et si je veux me connecter sur le serveur web embarqué de ma box qui communique en http non sécurisé, je ferai comment?
Popoulo
Commencent à devenir bien casse-boule ces navigateurs à vouloir contrôler comment doivent surfer les gens.<br /> @Manu0086 : vous avez tout dit.
Blap
Tu devrais mieux te renseigner sur le HTTPS apparemment.<br /> C’est une excellente chose, et ils devraient meme le faire poour tout site en HTTPS fournissant le moindre contenu en HTTP. La base
nirgal76
tu te plains à ton FAI qui a une box de daube
gally13
On a fait le HTTPS pour sécuriser l’accès au site en certifiant par une autorité reconnu que le site est bien celui qu’il dit être… Ensuite on donne la capacité aux navigateurs de passer outre cette autorité par un simple bouton.<br /> En se multipliant, les sites “soit disant sérieux” qui ne mettent pas à jour leurs certificats ont participé au gros trou de sécurité en habituant les utilisateurs à cliquer sur ce bouton en ne faisant alors plus attention. (Vous connaissait l’histoire de Pierre et le Loup…)<br /> Ils y a eu l’époque où même des banques ne mettait pas à jour leur certif !!!<br /> La sécurité, c’est à tous les niveaux et ça commence déjà par des systèmes de sécurité qu’on ne peut pas débrayé !<br /> Pour ce qui est de bloquer les site HTTP… je trouve ça complètement farfelu ! Et contre les libertés ! Mais aucun rapport avec le fait de bloquer les site certifié non mis à jour !<br /> On peut être Anti-Google vis-à-vis de ce qu’ils font de nos données personnelles, faut pas être anti-google quand ils font l’effort de mieux nous protéger en faisant ce que tous les navigateurs devraient faire depuis longtemps !
chaton51
je n’y arrive pas avec Chrome… laid… moche… non vraiment je peux pas.
manu0086
Ahah, c’est vrai, je ne suis pas développeur et ne connais pas le web depuis 25 ans… merci de me renseigner sur ce truc que je ne connais pas stp.
GitLan
Mais arrêter 5 minutes les gens ! Le passage en HTTPS est un peu forcé par Google mais c’est obligatoire pour garantir notre sécurité ! Aujourd’hui n’importe qui avec son smartphone et l’app INTERCEPTER-NG peu se mettre entre vous et le site en HTTP… Et volez toute vos informations, exécuté des scripts malicieux etc… Bloqué le HTTP est un coup de pression nécessaire ! Bonne journée.
Blap
Depuis quand tous les gens qui font un metier connaissent tous sur leur boulot ? Encore une preuve par l’exemple <br /> Sauf que ca c’est un peu la base…<br /> Caddy<br /> Mon site a-t-il besoin de HTTPS ?<br /> Découvrez si votre site web a besoin de passer à HTTPS.<br />
robert_b
Oui c’est ça je vais payer un certificat à une autorité tierce pour pouvoir vérifier que je me connecte bien sur mon Nas… mais bien sûr…
Guibsou
…tu as oublié “vilain”.
Tigares
Il faut qu’ils laissent le choix à l’utilisateur d’activer ou non le HTTP pour chaque domaine et activer le HTTPS par défaut. Et pour le cross-domaine ça devrait être pareil vu la galère que c’est à gérer dans certains intranets qui n’ont absolument pas besoin de ce niveau de sécurité… Sinon pas besoin de payer un certificat, Let’s Encrypt c’est très bien et c’est validé par Chrome
robert_b
@Tignares:<br /> Merci pour l’info! (Let's Encrypt)
Voir tous les messages sur le forum