Google a annoncé aujourd’hui que le navigateur Web Chrome demandera l’autorisation par défaut avant de se connecter à des sites Web HTTP publics et non sécurisés, à partir de Chrome 154 en octobre 2026.
Google Chrome dispose également d’un mode opt-in HTTPS-First depuis 2021, qui a ajouté le paramètre « Toujours utiliser des connexions sécurisées » et tente de se connecter à des sites Web via HTTPS (Hypertext Transfer Protocol Secure), affichant un avertissement contournable si HTTPS n’est pas disponible.
Cependant, Google activera désormais cette option par défaut pour garantir que les utilisateurs visitent les sites Web uniquement via HTTPS et sont toujours protégés contre les attaques de l’homme du milieu (MITM) qui tentent d’espionner ou de modifier les données échangées avec les serveurs Internet via le protocole HTTP non crypté.
« Dans un an, avec la sortie de Chrome 154 en octobre 2026, nous modifierons les paramètres par défaut de Chrome pour activer » Toujours utiliser des connexions sécurisées. »Cela signifie que Chrome demandera la permission de l’utilisateur avant le premier accès à un site public sans HTTPS », a déclaré la société.
« Lorsque les liens n’utilisent pas HTTPS, un attaquant peut détourner la navigation et forcer les utilisateurs de Chrome à charger des ressources arbitraires contrôlées par l’attaquant, et exposer l’utilisateur à des logiciels malveillants, à une exploitation ciblée ou à des attaques d’ingénierie sociale. »
Comme Google l’a expliqué plus en détail, dans toutes les variantes des paramètres « Toujours utiliser des connexions sécurisées » (ciblant les sites Web privés ou publics), Chrome n’avertira pas à plusieurs reprises l’utilisateur de ce site tant que l’utilisateur visite régulièrement un site non sécurisé. Cela signifie qu’au lieu d’avertir les utilisateurs de 1 navigation sur 50, Chrome n’avertira les utilisateurs que lorsqu’ils ouvriront un nouveau site (ou rarement visité) qui n’utilise pas HTTPS.
De plus, les utilisateurs auront la possibilité d’activer les alertes de connexion non sécurisées pour les sites publics uniquement ou pour les sites publics et privés (y compris les intranets d’entreprise).
Il est important de noter que même si les sites privés peuvent toujours être risqués, ils sont généralement considérés comme moins dangereux que les sites publics car il y a moins d’opportunités pour les attaquants de les exploiter, et HTTP ne peut être utilisé à mauvais escient par les attaquants que dans un contexte plus limité, tel qu’un réseau local comme votre Wi-Fi domestique ou dans un environnement d’entreprise.
Cependant, même avec les deux types d’avertissements activés, les utilisateurs ne devraient pas être bombardés de notifications, car environ 95 à 99% de tous les sites Web ont adopté HTTPS, une augmentation massive par rapport au taux d’adoption d’environ 30 à 45% en 2015.
Avant de l’activer par défaut pour tous les utilisateurs, Chrome activera « Toujours utiliser des connexions sécurisées » pour les sites publics pour plus d’un milliard d’utilisateurs utilisant des protections de navigation sécurisées améliorées en avril 2026, lorsque Chrome 147 sera publié.
« Bien que nous espérions que cette transition sera relativement indolore pour la plupart des utilisateurs, les utilisateurs pourront toujours désactiver les avertissements en désactivant le paramètre « Toujours utiliser des connexions sécurisées » », a ajouté Google.
« Si vous êtes un développeur de site Web ou un professionnel de l’informatique et que certains utilisateurs peuvent être affectés par cette fonctionnalité, nous vous recommandons vivement d’activer le paramètre » Toujours utiliser des connexions sécurisées » dès aujourd’hui pour vous aider à identifier les sites que vous devrez peut-être travailler pour migrer. »
En octobre 2023, Google Chrome a ajouté une fonctionnalité de mise à niveau HTTPS qui met automatiquement à niveau les liens HTTP sur la page pour sécuriser les connexions pour tous les utilisateurs, tout en assurant un retour rapide vers HTTP si nécessaire.
Plus tôt ce mois-ci, Google a également mis à jour à nouveau son navigateur Web pour révoquer automatiquement les autorisations de notification pour les sites qui n’ont pas été visités récemment, afin de réduire la surcharge d’alertes.