Le HTTPS décolle chez les sites les plus visités

Le HTTPS décolle chez les sites les plus visités Un nombre croissant de sites web adopte pleinement le protocole sécurisé. Le JDN a mesuré son adoption au sein du TOP 100 des sites web en France mais aussi chez les e-commerçants les plus visités..

Le HTTPS, autrefois réservé aux pages sensibles de paiement, ou d'identification, est en train de conquérir le web. Les e-commerçants qui ont déjà passé tout leur site, avec leur catalogue en entier, en HTTPS, sont de plus en plus nombreux. Ils ne sont pas les seuls. Des sites de référence comme Wikipedia ont aussi migré, et utilisent désormais ce protocole plus sécurisé pour l'ensemble de leurs pages. Stackoverflow, Netflix, Reddit, Tumblr, ou encore Yelp y sont aussi passés, pour ne citer que quelques "beaux noms" du web. Des sites médias s'y sont même mis, comme The Guardian (leur instructif témoignage vient d'être publié), Wired (avec là aussi un intéressant retour d'expérience, assez détaillé) ou encore Cnet.com.

La locomotive Google

Google n'y est pas pour rien. Le géant de Mountain View a montré l'exemple en passant tous ses sites en HTTPS, à commencer par celui de son moteur de recherche. Mais il ne s'en cache pas, il est beaucoup plus ambitieux, et veut tout simplement du "HTTPS partout", afin de rendre le web plus sûr. Et, évidemment, les sites doivent prendre au sérieux ce que Google veut, son moteur et son navigateur dominant le marché. Surtout que le Californien sait toujours aussi bien motiver ses troupes : que ce soit en tendant une carotte (son moteur a commencé par promettre "un petit" bonus SEO aux pages HTTPS), ou en agitant la matraque (son navigateur pourrait bientôt alerter ses utilisateurs qui surferont sur des pages HTTP en faisant apparaître un triangle rouge bien visible dans la barre d'URL).

Adopter le HTTPS permet de passer au HTTP/2, et ainsi améliorer sensiblement sa webperf

D'autres raisons peuvent motiver les sites. Adopter le HTTPS permet aussi de constituer la base technologique nécessaire pour passer au HTTP/2, et ainsi améliorer sensiblement sa webperf grâce à l'efficacité du multiplexage des requêtes du nouveau protocole.

Dans ce contexte, constatant que de plus en plus de sites passent au HTTPS, le JDN a voulu fait le point pour savoir quels étaient les sites qui avaient déjà basculé, parmi ceux qui sont les plus consultés en France, mais aussi, spécifiquement, parmi les 40 e-commerçants les plus visités.

Méthodologie. Comme des sites peuvent parfois proposer la même page en HTTPS et en HTTP, pour savoir si le HTTPS avait été déployé, nous avons tapé leur nom dans Google, et regardé les résultats qui remontaient : ce sont eux qui ont fait foi, car le moteur de Google choisit le HTTPS lorsque les deux versions existent. Lorsque des sites affichent des pages via HTTPS seulement après l'identification de l'internaute, dans le classement ci-dessous, ils ne seront pas considérés comme ayant pleinement migré.

Sites totalement passés au HTTPS
parmi les 100 plus visités en France

Site Passage complet au HTTPS Site Passage complet au HTTPS
google.fr oui tf1.fr non
facebook.com oui OneDrive oui
microsoft.com oui nouvelobs.com non
youtube.com oui viamichelin.fr oui
orange.fr non lequipe.fr non
Leboncoin.fr  oui tripadvisor.fr oui
fr.wikipedia.org oui carrefour.fr non
skype.com oui dailymotion.com non
pagesjaunes.fr non linkedin.com oui
amazon.fr oui WordPress.com  oui
live.com oui WordPress.org oui
free.fr non doctissimo.fr non
fr.yahoo.com oui labanquepostale.fr oui
msn.com oui leroymerlin.fr oui
cdiscount.com non priceminister.com non
bing.com oui vente-privee non
outlook oui adobe.com non
sfr.fr non e-leclerc.com non
lefigaro.fr non ooreka.fr oui
commentcamarche.net non caisse-epargne.fr oui
blogger.com oui laredoute.fr non
Linternaute.com non ouest-france.fr non
impots.gouv.fr  non booking.com  non
apple.com non creditmutuel.fr oui
mappy.com oui paypal.com oui
videolan.org non darty.com non
credit-agricole.fr oui 01net.com non
fnac.com non king.com oui
lemonde.fr non reverso.net non
over-blog.com oui canalblog.com non
pole-emploi.fr non Societe.com    non
ebay.fr non femmeactuelle.fr non
meteofrance.com non aufeminin.com non
laposte.fr oui canalplus.fr non
programme-tv.net non zone-telechargement.com non
francetvinfo.fr non groupon.fr oui
ameli.fr non larousse.fr non
allocine.fr non seloger.com non
journaldesfemmes.com non decathlon.fr oui
ServicePublic.fr  oui societegenerale.fr oui
pinterest.com oui bouyguestelecom.fr oui
20minutes.fr non castorama.fr non
leparisien.fr non boulanger.com non
marmiton.org non dl-protect.com oui
voyages-sncf.com non clubic.com   non
caf.fr  non auchan.fr oui
bfmtv.com non mesampoulesgratuites.fr  oui
francetelevisions.fr non urssaf.fr  oui
twitter.com oui fdj.fr oui
lexpress.fr non education.gouv.fr  non

Sur les 100 sites les plus visités actuellement, il y en a donc 44 qui utilisent le protocole sécurisé. Presqu'un sur deux : la barre symbolique des 50% devrait bientôt être franchie.

Sur les 100 sites les plus visités, un peu moins de la moitié ont pleinement adopté le protocole sécurisé

A noter que dans le top 10, la proportion est beaucoup plus élevée. Parmi eux, 8 sites ont déjà adopté le chiffrement : seuls les sites d'Orange et des Pages Jaunes, deux sites français, ne l'ont pas déployé. Le troisième site français présent dans le top 10, celui du Bon Coin, l'a adopté cette année.

Dans le Top 20, il y a 12 sites qui ont opté pour le HTTPS. Mais si la part de sites français est plus grande dans ce périmètre (8/20), ces derniers n'ont pas choisi de se lancer dans le HTTPS : aucun d'entre eux, à part le Bon Coin donc, n'affiche un site entièrement en HTTPS.

On pourra aussi regretter que parmi les sites de l'administration française, qui doivent donner confiance, aucun ne soit totalement passé au HTTPS (caf.fr, ameli.fr, impots-gouv.fr, pole-emploi.fr…) à l'exception de service-public.fr (le site le plus récent de la galaxie, lancé en 2015).

A titre de comparaison, sur un périmètre plus large, mais observé depuis un autre point de vue : plus de la moitié des pages sont désormais chargées en HTTPS en France (54%), d'après les dernières statistiques de Google issues de son navigateur Chrome, contre 61% aux Etats-Unis.

Sites totalement passés au HTTPS
parmi les 40 e-commerçants les plus visités en France

Site Passage complet au HTTPS Site Passage complet au HTTPS
3suisses.fr non groupon.fr oui
alinea.fr  non ikea.com  non
amazon.fr oui kiabi.com non
auchan.fr oui lagranderecre.fr non
blancheporte.fr non laredoute.fr  non
booking.com non ldlc.com  non
boulanger.fr non leroymerlin.fr  oui
bricodepot.fr non lidl.fr  non
but.fr non maisonsdumonde.com non
carrefour.fr non nocibe.fr non
castorama.fr  non oscaro.com oui
cdiscount.com non oxybul.com non
conforama.fr non priceminister.com  non
darty.com non rueducommerce.fr  non
decathlon.fr oui sarenza.com oui
ebay.fr  non sephora.fr non
e-leclerc.com non toysrus.fr non
fnac.com non voyages-sncf.com non
galerieslafayette.com oui yves-rocher.fr non
grosbill.com oui zalando.fr oui

Les sites retenus sont ceux utilisés pour nos classements webperf, qui, pour mémoire, se base sur l'audience des sites (du moins celle connue lorsque la liste a été arrêtée : elle a pu évoluer depuis). Dans cette liste, le quart des sites a déjà migré vers HTTPS. Certains l'ont fait très récemment – c'est notamment le cas de Leroy Merlin (lire notre interview), ou Grosbill (lire notre article), d'autres sont d'ores et déjà en train de le tester. Il sera donc aussi intéressant de voir, dans quelques mois, combien de nouveaux sites auront rejoint le mouvement… A suivre. 

Lire aussi

 

SSL / Certificat SSL