Depuis plusieurs années, plus de 90 % des navigations des utilisateurs de Chrome sur toutes les plateformes majeures se font vers des sites HTTPS. Cela signifie heureusement que la plupart du trafic est chiffré et authentifié, et donc à l’abri des attaquants réseau. Cependant, un entêté 5 à 10 % du trafic reste sur HTTP, permettant aux attaquants d’espionner ou de modifier ces données. Chrome affiche un avertissement dans la barre d’adresse lorsqu’une connexion à un site n’est pas sécurisée, mais nous pensons que ce n’est pas suffisant : non seulement de nombreuses personnes ne remarquent pas cet avertissement, mais une fois qu’il est remarqué, les dégâts peuvent déjà être faits.
Nous croyons que le Web devrait être sécurisé par défaut. Le mode « HTTPS-First » permet à Chrome de tenir cette promesse, en vous demandant une autorisation explicite avant de vous connecter à un site de manière non sécurisée. Notre objectif est d’activer ce mode pour tous par défaut. Bien que le Web ne soit pas encore tout à fait prêt à activer universellement le mode HTTPS-First, nous annonçons plusieurs étapes importantes vers l’atteinte de cet objectif.
**Mises à jour automatiques**
Chrome mettra automatiquement à jour toutes les navigations http vers http**s**://, même lorsque vous cliquez sur un lien qui déclare explicitement http://. Cela fonctionne de manière très similaire à la mise à jour **HSTS**, mais Chrome détectera lorsque ces mises à jour échouent (par exemple, en raison d’un certificat invalide ou du renvoi d’un code HTTP 404) et reviendra automatiquement à http://. Ce changement garantit que Chrome n’utilise le HTTP non sécurisé que lorsque le HTTPS n’est vraiment pas disponible, et non parce que vous avez cliqué sur un lien non sécurisé obsolète. Nous expérimentons actuellement ce changement dans la version 115 de Chrome, travaillons à normaliser le comportement sur le Web et prévoyons de déployer la fonctionnalité auprès de tous bientôt. Bien que ce changement ne puisse pas protéger contre les attaquants réseau actifs, il constitue un pas en avant vers le mode HTTPS-First pour tous et protège davantage le trafic contre les espions passifs du réseau.
**Avertissement sur les fichiers téléchargés de manière non sécurisée**
S’appuyant sur notre travail précédent pour **supprimer la prise en charge des téléchargements mixtes**, Chrome commencera à afficher un avertissement avant de télécharger des fichiers à haut risque via une connexion non sécurisée. Les fichiers téléchargés peuvent contenir du code malveillant qui contourne le bac à sable de Chrome et d’autres protections, de sorte qu’un attaquant réseau a une occasion unique de compromettre votre ordinateur lorsque des téléchargements non sécurisés se produisent. Cet avertissement vise à informer les utilisateurs du risque qu’ils prennent. Vous pourrez toujours télécharger le fichier si vous êtes à l’aise avec le risque. À moins que le mode HTTPS-First ne soit activé, Chrome n’affichera pas d’avertissements lors du téléchargement non sécurisé de fichiers tels que des images, de l’audio ou des vidéos, car ces types de fichiers sont relativement sûrs. Nous prévoyons de déployer ces avertissements à partir de mi-septembre.
**Extension des protections du mode HTTPS-First à davantage de personnes**
Notre objectif ultime est d’activer le mode HTTPS-First pour tout le monde. À cette fin, nous élargissons les protections du mode HTTPS-First à plusieurs nouveaux domaines :
* Nous avons activé le mode HTTPS-First pour les utilisateurs inscrits au **Advanced Protection Program** de Google qui sont également connectés à Chrome. Ces utilisateurs ont demandé à Google la protection la plus forte possible, et le mode HTTPS-First aide à éviter les menaces très réelles des connexions non sécurisées auxquelles ces utilisateurs sont confrontés.
* Nous prévoyons d’activer le mode HTTPS-First par défaut en mode Incognito pour une expérience de navigation plus sécurisée.
* Nous expérimentons actuellement l’activation automatique des protections du mode HTTPS-First sur les sites auxquels Chrome sait que vous accédez généralement via HTTPS.
* Enfin, nous étudions la possibilité d’activer automatiquement le mode HTTPS-First pour les utilisateurs qui utilisent très rarement le HTTP.
**Essayez-le**
Si vous souhaitez essayer la mise à niveau HTTPS ou l’avertissement sur les téléchargements non sécurisés avant leur déploiement auprès de tous, vous pouvez le faire dans Chrome dès aujourd’hui en activant les options « Mises à niveau HTTPS » et « Avertissements de téléchargement non sécurisé » dans **chrome://flags**. Et si vous souhaitez des protections plus fortes, vous pouvez également activer le mode HTTPS-First en activant « Toujours utiliser des connexions sécurisées » dans les paramètres de sécurité de Chrome (**chrome://settings/security**).
**Informations pour les développeurs et les entreprises**
Si vous êtes développeur, vous pouvez vous assurer que vos utilisateurs ne voient pas d’avertissements ou ne rencontrent pas d’échecs de mise à niveau sur vos sites en utilisant le HTTPS et en vous assurant que votre site n’héberge pas de contenu uniquement accessible via HTTP. Nous vous encourageons à adopter pleinement le HTTPS et à rediriger toutes les URL HTTP vers leurs équivalents HTTP. Même si vous pensez que votre site n’héberge pas d’informations personnelles, l’utilisation du HTTP expose vos utilisateurs à un risque accru que des attaquants réseau injectent du contenu malveillant dans leurs navigateurs. Les attaquants réseau malveillants s’appuient sur des sites non sécurisés pour s’infiltrer chez vos utilisateurs. Nous explorons d’autres moyens de réduire les risques rencontrés par les utilisateurs lorsqu’ils visitent des sites Web non sécurisés, par exemple en réduisant la durée de vie des cookies accessibles via HTTP. Le passage au HTTPS garantit que l’expérience de vos utilisateurs ne sera pas affectée par ces changements à venir. Si vous ne pouvez pas encore prendre en charge le HTTPS, vous pouvez vous assurer que les utilisateurs peuvent accéder à votre site en vous assurant que votre serveur ne répond pas aux requêtes sur le port 443 ou utilise le HTTPS pour rediriger les utilisateurs vers HTTP.
**Engagement continu**
Chrome a une **longue** **histoire** de **travail** vers un Web **sécurisé** par défaut, et nous ne nous arrêtons pas là. Nous sommes si près de la ligne d’arrivée, et nous sommes enthousiastes à l’idée d’aider le Web à adopter le HTTPS par défaut.
Mots-clés : HTTPS, sécurité, confidentialité, navigateur Chrome, mise à niveau automatique, avertissements de téléchargement