Alerte HTTPS : Chrome va bloquer les contenus non sécurisés

Pourquoi le navigateur pourrait bientôt avoir un nouvel impact sur l’expérience de vos utilisateurs ?
À travers un communiqué diffusé en début de mois, Google a fait savoir que son navigateur, Chrome, serait d’ici la fin de l’année beaucoup plus sévère avec les pages HTTPS comportant des ressources non sécurisées.

Une annonce qui n’est pas à prendre à la légère, au regard de la prépondérance du navigateur sur le marché français.

Parts de marchés des navigateurs en France - Mars 2019 (Données StatCounter)

Ces changements interviendront progressivement à partir du mois de Décembre 2019, avec la version 79 du navigateur, qui sera suivie de deux autres mises à jour en Janvier et en Février 2020. Ces changements concerneront donc uniquement les sites en HTTPS.

Qu’est-ce que le contenu mixte ?

On parle de contenu mixte lorsque qu’une page à priori sécurisée (étiquetée conforme au protocole HTTPS) comporte encore des ressources chargées en HTTP. Cela peut être des feuilles de style, des images, des vidéos ou des scripts… On retrouve donc dans ce cas de figure pour une même page aussi bien des contenus HTTP que des contenus en HTTPS. C’est la raison pour laquelle on parle de contenu « mixte ».

Si ce phénomène est aujourd’hui plus que jamais pointé du doigt par la firme, c’est parce qu’il expose les visiteurs d’un site web ainsi que le site en lui-même à des risques de sécurité importants.

Les prochaines évolutions du navigateur

Chrome effectue déjà des blocages de ressources non sécurisées. Mais ces blocages ne concernent pas tous les types de contenus, et l’utilisateur a très facilement la possibilité de les désactiver.

Type de blocage actuellement en vigueur sur le navigateur

La version 79 du navigateur, disponible au mois de décembre, apportera des changements sur ce point :

• le navigateur essaiera systématiquement de passer le chargement HTTP des ressources en HTTPS, afin de vérifier si des versions sécurisées des contenus concernés existent. Si le processus échoue, les ressources non sécurisées de type script, iframes seront bloquées.

Jusqu’ici, pas de grandes différences avec le traitement actuel.

Le changement majeur se situe sur la fonction de déblocage des ressources non sécurisées. Les utilisateurs auront toujours la possibilité d’accéder aux ressources bloquées, mais ils devront désormais cliquer sur l’icône d’avertissement en haut à gauche de la page, parcourir tous les paramètres du site et enfin désactiver le blocage automatique.

Un processus plus long et plus fastidieux, qui aura probablement de lourdes conséquences sur l’expérience de vos utilisateurs.

 Avec sa version Chrome 80, à paraître courant Janvier 2020, le navigateur se durcira encore d’avantage : les ressources non sécurisées de type audio et vidéo seront elles aussi automatiquement bloquées.

Les images chargées en HTTP ne seront pas encore bloquées par le navigateur, mais un avertissement sera affiché à l’utilisateur : « Site non sécurisé ».

Le chargement des images non sécurisées finira par être bloqué courant Février 2020, avec le lancement de la version Chrome 81.

Cette évolution progressive de la part du navigateur est évidemment volontaire, et vise à laisser le temps aux éditeurs et webmasters de prendre les mesures nécessaires pour éviter ces blocages.

La norme HTTPS : Un objectif de longue date pour Google

L’évolution du navigateur sur ce sujet n’est pas vraiment surprenante. Depuis plusieurs années déjà, Google encourage les webmasters à sécuriser leurs sites internet :

• Chrome, qui au départ récompensait les sites sécurisés en affichant une icône de cadenas vert, a finalement changé d’orientation en se contentant de pénaliser par un avertissement les sites non sécurisés. Faisant ainsi du protocole HTTPS la norme en vigueur.
  
  

• Cet engagement de la firme sur le sujet a été conforté en 2018 par l’application du Règlement Général sur la Protection des Données, qui impose un cryptage complet des communications numériques.

• Le protocole HTTPS est devenu en 2014 un critère (faible) de positionnement pour le moteur de recherche. Aujourd’hui on observe en tout cas que les sites les mieux positionnés sur les pages de résultats sont des sites sécurisés.

Ces mesures prises ces dernières années par Google mais aussi par d’autres grands acteurs du web ont conduit aujourd’hui à une véritable standardisation du HTTPS. La firme a d’ailleurs annoncé en 2018 que 78% du trafic sur son navigateur proviendrait de sites sécurisés.

La marche à suivre

Avec cette annonce, Google nous rappelle qu’il est plus que jamais nécessaire de vérifier la migration de son site internet. Si jusqu’à maintenant les enjeux portaient surtout sur la sécurité, ces problèmes de contenus mixtes auront aussi, vraisemblablement, un fort impact sur l’expérience utilisateur.

De nombreux outils existent et peuvent vous aider à vérifier la présence de contenus mixtes au sein de votre site.

N’hésitez pas à nous contacter pour bénéficier d’un accompagnement sur cette problématique.

Communiqué officiel de Google : https://security.googleblog.com/2019/10/no-more-mixed-messages-about-https_3.html