Google vient d’annoncer un plan pour durcir l’affichage des sites non sécurisés. Clairement l’objectif est de signaler de plus en plus négativement à l’internaute les sites qui ne sont pas sécurisés en https.
Il est donc urgent pour les entreprises de de sécuriser leurs sites avant la fin de l’année sous peine de voir les internautes s’en écarter de votre site.
Qu’est-ce qu’un site sécurisé en https ?
Un site internet sécurisé est un site sur lequel a été installé un certificat SSL. Ce certificat apporte des fonctionnalités critiques pour la sécurité du web :
- Les échanges entre le site et l’internaute sont cryptés afin de s’assurer qu’ils ne puissent pas être interceptés ou modifiés et ainsi en préserver la confidentialité,
- Le contrôle du domaine est vérifié par l’organisme fournisseur du certificat, et des alertes anti-phishing peuvent même être transmises.
- L’internaute est informé et rassuré par un cadenas vert suivi de « https » dans la barre d’adresse l’informant que ce site est bien sécurisé.
Pour bénéficier de ces paramètres, il faut donc acheter et déployer un certificat SSL sur son site.
Vers une signalisation explicite des sites non sécurisés
Actuellement, le navigateur Chrome de Google signale par un symbole neutre les sites qui ne sont pas sécurisés. A partir de janvier 2017, les sites comportant un champ de type mot de passe (quasi systématique dans les sites modernes) ou traitant des cartes de paiement, se verront adjoindre les termes « not secure » avant l’adresse du site.
A terme, Google annonce qu’il durcira son affichage des sites non sécurisés, allant jusqu’à ce que Chrome affiche en rouge un triangle symbole de danger en plus du terme « not secure« .
Google annonce que 50% des requêtes passées sur Chrome proviennent de sites https, l’objectif est de pousser les quelques 50% restant à basculer au plus vite en les stigmatisant progressivement.
Le géant du Web veut ainsi participer à la sécurisation d’internet qui est une condition indispensable à la poursuite du développement du web. Il justifie son action en expliquant que l’absence de symbole de sécurisation ne suffit pas à sensibiliser l’internaute et qu’il faut donc lui mettre les points sur les i.
Sécuriser votre site pour ne pas risquer de voir vos internautes s’en détourner
Google n’a pas tort sur le fond, il ne fait que tirer les conséquences de l’augmentation des attaques sur internet. Le piratage est devenu extrêmement fréquent avec des outils qui systématisent le quadrillage d’internet. C’est un peu comme si on pouvait scanner toutes les rues pour y détecter l’ensemble des logements avec une fenêtre ou une porte mal fermée.
Si les entreprises ont été sensibilisées, beaucoup d’entre-elles, surtout parmi les PME, ont retardé une dépense modeste mais perçue comme non indispensable. Seuls les grands groupes ou marques à forte notoriété ont été plus prudentes et ont agi depuis longtemps.
Même les collectivités locales, qui sont pourtant très informées des risques de sécurité par l’ANSII, négligent souvent de déployer un certificat SSL.
Si la 1ère mesure est pour janvier, la pression va monter dès maintenant. Ce n’est pas un hasard si Google a choisi la rentrée pour faire son annonce. Le buzz va faire le tour du marché, les certificats SSL vont se généraliser, et ceux qui seront en retard vont se trouver en décalage par rapport au marché et risquent de voir les internautes déserter leur site, et certainement le quitter avant de passer à une étape de transaction, ne serait-ce qu’une inscription en ligne.
Un certificat SSL coûte une centaine d’euros à l’année pour le 1er niveau, c’est donc un budget tout à fait raisonnable au regard de l’enjeu.