Le HTTPS bientôt imposé par les géants du Web
Dès janvier 2017, Chrome 56 (navigateur appartenant à Google) indiquera les sites non sécurisés aux internautes. Quelles sont les conséquences pour les sites non sécurisés? Comment passer son site en HTTPS?
Je m'abonneGoogle réitère son engagement pour un Web sécurisé et lance une nouvelle offensive contre les sites internet en HTTP. Dès janvier 2017, Chrome 56 alertera les internautes lorsqu'ils naviguent sur un site non sécurisé. Les alertes concerneront dans un premier temps tous les sites sur lesquels transitent des données sensibles: données bancaires, données clients, etc.
Petit rappel sur les notions HTTP et HTTPS: le protocole HTTP (HyperText Transfer Protocol) permet l'échange de données entre un navigateur web et un serveur. Le HTTPS (HyperText Transfer Protocol Secure) est le protocole HTTP avec une couche de sécurité. Ses principaux avantages du HTTPS sont l'authentification du serveur web du site internet: les internautes ont la garantie de naviguer sur le site souhaité et le cryptage des données permet de renforcer la confidentialité des données, qui ne peuvent plus être déchiffrées par une tierce personne.
Une suite logique dans la stratégie de Google
La lutte de Google pour sécuriser le Web n'est pas une nouveauté. L'entreprise plaçait déjà en 2014 la sécurité dans le top de ses priorités, en mettant dès cette époque tous ses services en HTTPS: Gmail, Google Drive, etc. Afin de convaincre les acteurs du Net, elle déclarait dans un communiqué* mettre un signal sur les sites sécurisés dans son algorithme de moteur de recherche, privilégiant ainsi potentiellement le référencement naturel des sites en HTTPS. Google investit beaucoup sur cette problématique: veille des acteurs majeurs, publication de nombreuses ressources destinées aux développeurs pour sécuriser leurs sites internet. Le géant du Net lance régulièrement des actions pour y parvenir. Depuis 2016, Google Shopping exige que les sites qui gèrent des données personnelles et bancaires soient en HTTPS.
Quelles sont les nouvelles mesures annoncées par Google**? La nouvelle version de Chrome, indiquera dans sa barre d'adresses un message signalant un danger sur les sites non accessibles en HTTPS. Ces alertes seront déployées progressivement et concerneront ainsi, dès janvier 2017, tous les sites qui échangent des données de carte de crédits et des données clients (informations clients, mot de passe, etc.). Ils comporteront la mention "Not secure".
Google prévoit ensuite d'étendre ces alertes à tous les sites consultés en navigation privée afin de répondre aux exigences de confidentialité des internautes qui utilisent ce mode de navigation. Le message dans la barre d'adresses de Chrome sera encore plus explicite: affichage de la mention "Not secure" en rouge, précédée d'un panneau danger.
Enfin, Google prévoit d'étendre cette alerte à l'ensemble des sites internet qui seront en HTTP, peu importe le mode de navigation ou les données y transitant.
Ces nouvelles mesures déployées chez le leader des moteurs de recherche pourront potentiellement faire fuir les internautes arrivés sur un site internet avec pour conséquence directe une baisse des ventes pour les sites e-commerce. Elles peuvent également nuire au référencement naturel des sites non-sécurisés, diminuant ainsi le trafic avant même qu'un visiteur ne soit arrivé sur un site internet.
Comment faire pour passer son site en HTTPS?
Voici les différentes étapes :
- Achat d'un certificat SSL chez une autorité de certification, etc. Le coût d'un certificat pour un nom de domaine ou un groupement de noms de domaine peut aller de 10 à 500€ par an suivant le type de certificat et les options souscrites. Un certificat SSL expire et doit donc être renouvelé chaque année.
- Configuration du serveur et installation du certificat sur ce serveur.
- Mise en place d'une redirection 301 de la version HTTP vers la version HTTPS du site internet.
- Sécurisation de chaque élément du site internet (toutes les ressources: images, CSS, etc. devront être en HTTPS).
Outre la nécessité d'avoir certaines connaissances techniques, une mauvaise procédure peut avoir de lourdes conséquences sur le référencement naturel d'un site (par exemple, si les redirections 301 sont mal mises en place) ou sur les ventes (si l'e-marchand oublie de sécuriser des images, une alerte apparaîtra dans les navigateurs, indiquant que le site n'est pas entièrement sécurisé).
Puisque l'objectif de Google est de proposer aux utilisateurs de son moteur de recherche uniquement des sites sécurisés, il est probable que ces nouvelles mesures seront appliquées à l'ensemble des sites dans un futur proche voir très proche. Il est donc préférable d'anticiper afin de ne pas réaliser une migration en urgence.
** Https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html
Yves Attias est le fondateur de l'agence digitale Yateo. Créée en 2006, cette agence s'articule autour de plusieurs métiers: Création sur mesure d'applications mobiles et de plateformes web, référencement naturel et SEA (Adwords, Facebook Ads, retargeting, etc). L'agence propose également de réaliser la migration vers le HTTPS pour ses clients.
Pour aller plus loin:
La sécurité des paiements, une lutte globale
Lire aussi : Les 5 initiatives paiement du premier trimestre 2024
