in

Pourquoi Google Chrome dit-il que les sites Web ne sont «pas sécurisés»?

À partir de Chrome 68, Google Chrome Étiquettes tous les sites Web non HTTPS comme «Non sécurisés». Rien d’autre n’a changé – les sites Web HTTP sont aussi sécurisés qu’ils l’ont toujours été – mais Google donne à l’ensemble du Web une poussée vers des connexions sécurisées et cryptées.

À l’avenir, Google prévoit même de supprimer le mot «sécurisé» de la barre d’adresse. Tous les sites Web doivent être sécurisés par défaut, après tout.

Fonctionnement des sites Web HTTPS «sécurisés»

Chrome affiche un verrou et le mot «Sécurisé» lorsqu’il est connecté à un site HTTPS.

Lorsque vous visitez un site Web qui utilise le cryptage HTTPS, vous verrez l’icône de verrouillage verte familière et le mot «Sécurisé» dans votre barre d’adresse.

Même si vous entrez des mots de passe, fournissez des numéros de carte de crédit ou recevez des données financières sensibles via la connexion, le cryptage garantit que personne ne peut espionner ce qui est envoyé ou modifier les paquets de données lorsqu’ils se déplacent entre votre appareil et le serveur du site Web.

Cela se produit car le site Web est configuré pour utiliser un cryptage SSL sécurisé. Votre navigateur Web utilise le protocole HTTP pour se connecter aux sites Web traditionnels non chiffrés, mais utilise HTTPS – littéralement, HTTP avec SSL – lors de la connexion à des sites Web sécurisés. Les propriétaires de sites Web doivent configurer HTTPS avant qu’il ne fonctionne sur leurs sites Web.

HTTPS offre également une protection contre les personnes malveillantes qui se font passer pour un site Web. Par exemple, si vous êtes sur un point d’accès Wi-Fi public et que vous vous connectez à Google.com, les serveurs de Google fourniront un certificat de sécurité qui n’est valable que pour Google.com. Si Google n’utilisait que du HTTP non chiffré, il n’y aurait aucun moyen de savoir si vous étiez connecté au vrai Google.com ou à un site imposteur conçu pour vous tromper et voler votre mot de passe. Par exemple, un point d’accès Wi-Fi malveillant pourrait rediriger les gens vers ces types de sites Web d’imposteurs pendant qu’ils sont connectés au Wi-Fi public.

(Techniquement, cela ne vérifie pas l’identité ni les certificats de validation étendue (EV). Cependant, c’est mieux que rien!)

HTTPS offre également d’autres avantages. Avec HTTPS, personne ne peut voir le chemin complet des pages Web que vous visitez. Ils ne peuvent voir que l’adresse du site Web auquel vous vous connectez. Ainsi, si vous lisiez des informations sur un problème de santé sur une page telle que example.com/medical_condition, même votre fournisseur de services Internet ne serait en mesure que de voir que vous êtes connecté à example.com, et non de l’état de santé que vous lisez . Si vous visitez Wikipédia, votre FAI et toute autre personne ne pourront voir que vous lisez Wikipédia, pas ce que vous lisez.

Vous pourriez vous attendre à ce que HTTPS soit plus lent que HTTP, mais vous vous trompez. Les développeurs ont travaillé sur de nouvelles technologies comme HTTP / 2 pour accélérer votre navigation Web, mais HTTP / 2 n’est autorisé que sur les connexions HTTPS. Cela rend HTTPS plus rapide que HTTP.

Pourquoi les sites Web ne sont-ils pas «sécurisés» s’ils ne sont pas chiffrés

Chrome 68 affiche un message «Non sécurisé» sur les sites HTTP.

HTTP traditionnel devient long dans la dent. C’est pourquoi, dans Chrome 68, un message « Non sécurisé » s’affiche dans la barre d’adresse lorsque vous visitez un site HTTP non chiffré. Auparavant, Chrome affichait simplement un «i» informatif dans un cercle. Si vous cliquez sur le texte « Non sécurisé », Chrome dira « Votre connexion à ce site n’est pas sécurisée. »

Chrome dit que la connexion n’est pas sécurisée car il n’y a pas de cryptage pour protéger la connexion. Tout est envoyé sur la connexion en texte brut, ce qui signifie qu’il est vulnérable à l’espionnage et à la falsification. Si vous saisissez des informations privées comme un mot de passe ou des informations de paiement sur un tel site Web, quelqu’un pourrait les fouiner pendant qu’il se déplace sur Internet.

Les gens peuvent également regarder les données que le site Web vous envoie. Ainsi, même si vous ne faites que naviguer sur le Web, les espions peuvent voir exactement les pages Web que vous consultez. Votre fournisseur de services Internet saurait également exactement quelles pages Web vous consultez et pourrait vendre ces informations à des fins de ciblage publicitaire. D’autres personnes sur le Wi-Fi public du café pourraient également voir ce que vous regardez.

Un site Web non chiffré est également vulnérable à la falsification. Si quelqu’un est assis entre vous et le site Web, il pourrait modifier les données que le site Web vous envoie, ou modifier les données que vous envoyez au site Web, en exécutant une attaque d’intermédiaire. Par exemple, cela peut se produire lorsque vous utilisez un point d’accès Wi-Fi public. L’opérateur du hotspot pourrait espionner votre navigation et capturer des détails personnels ou modifier le contenu de la page Web avant qu’elle ne vous parvienne. Par exemple, quelqu’un pourrait insérer des liens de téléchargement de logiciels malveillants dans une page de téléchargement légitime si cette page de téléchargement était envoyée via HTTP au lieu de HTTPS. Ils pourraient même créer un faux site Web imposteur qui prétend être un site Web légitime – si le site Web légitime n’utilise pas HTTPS, il n’y aurait aucun moyen de remarquer que vous êtes connecté à un faux et non au vrai.

Pourquoi Google a-t-il apporté ce changement?

Chrome 67 affiche simplement un «i» informatif dans un cercle lors de l’affichage des sites HTTP.

Google et d’autres sociétés Web, y compris Mozilla, mènent une campagne à long terme pour faire passer le Web de HTTP à HTTPS. HTTP est maintenant considéré comme une technologie obsolète que les sites Web ne devraient pas utiliser.

À l’origine, seuls quelques sites Web utilisaient HTTPS. Votre banque et d’autres sites Web sensibles utiliseraient HTTPS et vous seriez redirigé vers une page HTTPS en vous connectant à des sites Web avec un mot de passe et en entrant votre numéro de carte de crédit. Mais c’était ça.

À l’époque, HTTPS coûtait de l’argent aux propriétaires de sites Web à implémenter, et les connexions HTTPS sécurisées étaient plus lentes que les connexions HTTP. La plupart des sites Web utilisaient simplement HTTP, mais cela permettait d’espionner et de falsifier la connexion. Cela rendait l’utilisation des points d’accès Wi-Fi publics risqués.

Pour assurer la confidentialité, la sécurité et la vérification d’identité, Google et d’autres souhaitaient faire évoluer le Web vers HTTPS. Ils l’ont fait de plusieurs façons: HTTPS est maintenant encore plus rapide que HTTP grâce aux nouvelles technologies, et les propriétaires de sites Web peuvent obtenir des certificats SSL gratuits pour crypter leurs sites Web auprès de l’organisation à but non lucratif. Crypterons. Google préfère les sites Web qui utilisent HTTPS et en fait la promotion dans les résultats de recherche Google.

75% des sites Web visités dans Chrome sur Windows utilisent désormais HTTPS, selon Rapport de transparence de Google. Il est maintenant temps de basculer le commutateur et de commencer à avertir les utilisateurs des sites Web HTTP.

Rien n’a changé – HTTP a toujours les mêmes problèmes qu’il a toujours. Mais suffisamment de sites Web sont passés à HTTPS pour qu’il soit temps d’avertir les utilisateurs de HTTP et d’encourager les propriétaires de sites Web à arrêter de traîner les pieds. Le passage au HTTPS accélérera le Web tout en améliorant la sécurité et la confidentialité. Il rend également les points d’accès Wi-Fi publics plus sûrs.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Surveillez-vous votre utilisation de la bande passante?

Surveillez-vous votre utilisation de la bande passante?

Organisez et gérez vos onglets Firefox comme un pro avec le module complémentaire Groupes d'onglets

Organisez et gérez vos onglets Firefox comme un pro avec le module complémentaire Groupes d’onglets