Le HTTPS décolle chez les sites les plus visités
Le HTTPS, autrefois réservé aux pages sensibles de paiement, ou d'identification, est en train de conquérir le web. Les e-commerçants qui ont déjà passé tout leur site, avec leur catalogue en entier, en HTTPS, sont de plus en plus nombreux. Ils ne sont pas les seuls. Des sites de référence comme Wikipedia ont aussi migré, et utilisent désormais ce protocole plus sécurisé pour l'ensemble de leurs pages. Stackoverflow, Netflix, Reddit, Tumblr, ou encore Yelp y sont aussi passés, pour ne citer que quelques "beaux noms" du web. Des sites médias s'y sont même mis, comme The Guardian (leur instructif témoignage vient d'être publié), Wired (avec là aussi un intéressant retour d'expérience, assez détaillé) ou encore Cnet.com.
La locomotive Google
Google n'y est pas pour rien. Le géant de Mountain View a montré l'exemple en passant tous ses sites en HTTPS, à commencer par celui de son moteur de recherche. Mais il ne s'en cache pas, il est beaucoup plus ambitieux, et veut tout simplement du "HTTPS partout", afin de rendre le web plus sûr. Et, évidemment, les sites doivent prendre au sérieux ce que Google veut, son moteur et son navigateur dominant le marché. Surtout que le Californien sait toujours aussi bien motiver ses troupes : que ce soit en tendant une carotte (son moteur a commencé par promettre "un petit" bonus SEO aux pages HTTPS), ou en agitant la matraque (son navigateur pourrait bientôt alerter ses utilisateurs qui surferont sur des pages HTTP en faisant apparaître un triangle rouge bien visible dans la barre d'URL).
Adopter le HTTPS permet de passer au HTTP/2, et ainsi améliorer sensiblement sa webperf
D'autres raisons peuvent motiver les sites. Adopter le HTTPS permet aussi de constituer la base technologique nécessaire pour passer au HTTP/2, et ainsi améliorer sensiblement sa webperf grâce à l'efficacité du multiplexage des requêtes du nouveau protocole.
Dans ce contexte, constatant que de plus en plus de sites passent au HTTPS, le JDN a voulu fait le point pour savoir quels étaient les sites qui avaient déjà basculé, parmi ceux qui sont les plus consultés en France, mais aussi, spécifiquement, parmi les 40 e-commerçants les plus visités.
Méthodologie. Comme des sites peuvent parfois proposer la même page en HTTPS et en HTTP, pour savoir si le HTTPS avait été déployé, nous avons tapé leur nom dans Google, et regardé les résultats qui remontaient : ce sont eux qui ont fait foi, car le moteur de Google choisit le HTTPS lorsque les deux versions existent. Lorsque des sites affichent des pages via HTTPS seulement après l'identification de l'internaute, dans le classement ci-dessous, ils ne seront pas considérés comme ayant pleinement migré.
Sites totalement passés au HTTPS
parmi les 100 plus visités en France
| Site | Passage complet au HTTPS | Site | Passage complet au HTTPS |
|---|---|---|---|
| google.fr | oui | tf1.fr | non |
| facebook.com | oui | OneDrive | oui |
| microsoft.com | oui | nouvelobs.com | non |
| youtube.com | oui | viamichelin.fr | oui |
| orange.fr | non | lequipe.fr | non |
| Leboncoin.fr | oui | tripadvisor.fr | oui |
| fr.wikipedia.org | oui | carrefour.fr | non |
| skype.com | oui | dailymotion.com | non |
| pagesjaunes.fr | non | linkedin.com | oui |
| amazon.fr | oui | WordPress.com | oui |
| live.com | oui | WordPress.org | oui |
| free.fr | non | doctissimo.fr | non |
| fr.yahoo.com | oui | labanquepostale.fr | oui |
| msn.com | oui | leroymerlin.fr | oui |
| cdiscount.com | non | priceminister.com | non |
| bing.com | oui | vente-privee | non |
| outlook | oui | adobe.com | non |
| sfr.fr | non | e-leclerc.com | non |
| lefigaro.fr | non | ooreka.fr | oui |
| commentcamarche.net | non | caisse-epargne.fr | oui |
| blogger.com | oui | laredoute.fr | non |
| Linternaute.com | non | ouest-france.fr | non |
| impots.gouv.fr | non | booking.com | non |
| apple.com | non | creditmutuel.fr | oui |
| mappy.com | oui | paypal.com | oui |
| videolan.org | non | darty.com | non |
| credit-agricole.fr | oui | 01net.com | non |
| fnac.com | non | king.com | oui |
| lemonde.fr | non | reverso.net | non |
| over-blog.com | oui | canalblog.com | non |
| pole-emploi.fr | non | Societe.com | non |
| ebay.fr | non | femmeactuelle.fr | non |
| meteofrance.com | non | aufeminin.com | non |
| laposte.fr | oui | canalplus.fr | non |
| programme-tv.net | non | zone-telechargement.com | non |
| francetvinfo.fr | non | groupon.fr | oui |
| ameli.fr | non | larousse.fr | non |
| allocine.fr | non | seloger.com | non |
| journaldesfemmes.com | non | decathlon.fr | oui |
| ServicePublic.fr | oui | societegenerale.fr | oui |
| pinterest.com | oui | bouyguestelecom.fr | oui |
| 20minutes.fr | non | castorama.fr | non |
| leparisien.fr | non | boulanger.com | non |
| marmiton.org | non | dl-protect.com | oui |
| voyages-sncf.com | non | clubic.com | non |
| caf.fr | non | auchan.fr | oui |
| bfmtv.com | non | mesampoulesgratuites.fr | oui |
| francetelevisions.fr | non | urssaf.fr | oui |
| twitter.com | oui | fdj.fr | oui |
| lexpress.fr | non | education.gouv.fr | non |
Sur les 100 sites les plus visités actuellement, il y en a donc 44 qui utilisent le protocole sécurisé. Presqu'un sur deux : la barre symbolique des 50% devrait bientôt être franchie.
Sur les 100 sites les plus visités, un peu moins de la moitié ont pleinement adopté le protocole sécurisé
A noter que dans le top 10, la proportion est beaucoup plus élevée. Parmi eux, 8 sites ont déjà adopté le chiffrement : seuls les sites d'Orange et des Pages Jaunes, deux sites français, ne l'ont pas déployé. Le troisième site français présent dans le top 10, celui du Bon Coin, l'a adopté cette année.
Dans le Top 20, il y a 12 sites qui ont opté pour le HTTPS. Mais si la part de sites français est plus grande dans ce périmètre (8/20), ces derniers n'ont pas choisi de se lancer dans le HTTPS : aucun d'entre eux, à part le Bon Coin donc, n'affiche un site entièrement en HTTPS.
On pourra aussi regretter que parmi les sites de l'administration française, qui doivent donner confiance, aucun ne soit totalement passé au HTTPS (caf.fr, ameli.fr, impots-gouv.fr, pole-emploi.fr…) à l'exception de service-public.fr (le site le plus récent de la galaxie, lancé en 2015).
A titre de comparaison, sur un périmètre plus large, mais observé depuis un autre point de vue : plus de la moitié des pages sont désormais chargées en HTTPS en France (54%), d'après les dernières statistiques de Google issues de son navigateur Chrome, contre 61% aux Etats-Unis.
Sites totalement passés au HTTPS
parmi les 40 e-commerçants les plus visités en France
| Site | Passage complet au HTTPS | Site | Passage complet au HTTPS |
|---|---|---|---|
| 3suisses.fr | non | groupon.fr | oui |
| alinea.fr | non | ikea.com | non |
| amazon.fr | oui | kiabi.com | non |
| auchan.fr | oui | lagranderecre.fr | non |
| blancheporte.fr | non | laredoute.fr | non |
| booking.com | non | ldlc.com | non |
| boulanger.fr | non | leroymerlin.fr | oui |
| bricodepot.fr | non | lidl.fr | non |
| but.fr | non | maisonsdumonde.com | non |
| carrefour.fr | non | nocibe.fr | non |
| castorama.fr | non | oscaro.com | oui |
| cdiscount.com | non | oxybul.com | non |
| conforama.fr | non | priceminister.com | non |
| darty.com | non | rueducommerce.fr | non |
| decathlon.fr | oui | sarenza.com | oui |
| ebay.fr | non | sephora.fr | non |
| e-leclerc.com | non | toysrus.fr | non |
| fnac.com | non | voyages-sncf.com | non |
| galerieslafayette.com | oui | yves-rocher.fr | non |
| grosbill.com | oui | zalando.fr | oui |
Les sites retenus sont ceux utilisés pour nos classements webperf, qui, pour mémoire, se base sur l'audience des sites (du moins celle connue lorsque la liste a été arrêtée : elle a pu évoluer depuis). Dans cette liste, le quart des sites a déjà migré vers HTTPS. Certains l'ont fait très récemment – c'est notamment le cas de Leroy Merlin (lire notre interview), ou Grosbill (lire notre article), d'autres sont d'ores et déjà en train de le tester. Il sera donc aussi intéressant de voir, dans quelques mois, combien de nouveaux sites auront rejoint le mouvement… A suivre.