Pourquoi Leboncoin.fr est passé sans encombre au HTTPS
La migration vers le HTTPS agite les directions techniques des sites web actuellement. Elle s'inscrit dans la roadmap 2017 de nombre d'entre eux… ce qui ne les enchante pas tous, cette migration n'ayant pas la réputation d'être facile. Pourtant, elle n'est pas obligatoirement d'une redoutable complexité. Sur Leboncoin.fr par exemple, "elle n'a pas nécessité un effort considérable", admet Dimitri Fontaine, le directeur IT du célèbre site de petites annonces, qui a migré vers le protocole sécurisé l'année dernière. Il faut dire que certaines particularités du site lui ont permis d'échapper à de nombreux obstacles.
Un faible trafic SEO
Le DSI ne veut pas donner de chiffre précis concernant son trafic SEO, mais il reconnait qu'"il est faible". "La plupart de la navigation se fait en trafic direct", admet-il. Les requêtes "Leboncoin" ou "Leboncoin immobilier", qui représentent une très grande part du trafic SEO du site (des outils spécialisés le montrent très bien) sont en fait des requêtes navigationnelles, assimilables à du trafic direct.
C'est un sacré risque en moins lors d'une migration vers le HTTPS, car une forte dépendance au SEO rend l'opération plus délicate. En effet, une perte de trafic SEO, temporaire, mais s'étalant sur plusieurs semaines est à prévoir suite au changement de protocole. Et pour éviter que les effets négatifs ne durent trop longtemps, il faut bien reconfigurer les redirections 301 et les informations envoyées à Google. Bref, un travail SEO minutieux est à mener, sous peine de perdre beaucoup de trafic. Un risque auquel n'était donc pas exposé Leboncoin.fr. Autre facilité : avec ses petites annonces éphémères, le site n'a pas d'historique à gérer comme peut l'avoir par exemple un média en ligne qui réalise encore de l'audience sur des articles datant du millénaire précédent. C'est un poids conséquent en moins.
Pas d'impact sur les recettes publicitaires
Cela peut être un point critique et redouté par certains mais le HTTPS n'a pas posé de problème particulier aux publicités. Leboncoin.fr se sert du programmatique pour monétiser ses pages, avec des publicités servies par AppNexus notamment. Or, cet adserver permet de filtrer les créations publicitaires, pour ne diffuser que celles qui sont en HTTPS. En conséquence, il faut demander aux annonceurs des créations HTTPS. Mais "cela ne pose pas de problèmes", assure la régie du site, pour qui "le passage au HTTPS n'a eu aucun impact business".
Les coûts
Les coûts de la migration peuvent évidemment faire peur aux DSI, surtout ceux qui utilisent un CDN dont le fournisseur n'hésitera pas à facturer, et parfois même cher, l'utilisation du HTTPS. Or, "Leboncoin.fr n'utilise pas de CDN car l'audience est franco-française", explique Dimitri Fontaine. De quoi rendre la facture du projet moins douloureuse.
La migration n'aura pas été gratuite pour autant. D'après Dimitri Fontaine, "le chiffrement engendre une surcharge côté serveur, il faut donc une capacité de traitement supplémentaire"… qui se paye. Ce redimensionnement aura aussi permis d'éviter des effets négatifs sur la performance web, que l'on prête souvent à une migration vers le HTTPS. "Il y a eu peu voire pas d'impact sur la webperf", assure ledirecteur IT. Leboncoin.fr aurait donc réussi à passer au HTTPS tout en conservant la même rapidité de traitement et d'affichage.
Un astuce consiste à passer par le "protocol-less"
Parmi les coûts, il faut aussi compter le temps passé sur le projet. "Ce qui a été le plus compliqué fut sans doute la génération des bons liens sur les pages, c'est-à-dire des liens en HTTPS et non plus en HTTP". Il faut donc regarder dans le code de chaque page si les liens sont correctement écrits. Après cet audit, il faut trouver le moyen de développer les pages et leurs templates correctement. Une des astuces consiste à passer par le "protocol-less" (on n'écrit plus http://static.leboncoin.fr ou https//static.leboncoin.fr mais juste //static.leboncoin.fr). "C'était aussi une bonne opportunité pour nettoyer le code", positive Dimitri Fontaine.
Autre problème saillant à résoudre : le choix de l'algorithme de chiffrement, le "cipher". Certains ne sont pas compatibles avec certains navigateurs, en particulier sur mobile (qui pèse les deux tiers du trafic du site). Il a été décidé de servir la page en HTTP pour les navigateurs non compatibles. L'exercice reste difficile : "Il fallait choisir un algorithme qui soit supporté par la plus grosse partie possible de nos utilisateurs tout en assurant un bon niveau de sécurité", se souvient Dimitri Fontaine.
Un rapport coûts/bénéfices intéressant ?
La migration a été décidée car "son rapport coûts/bénéfices était intéressant", justifie le directeur IT. Si le projet n'a pas, pour Leboncoin, coûté grand-chose, quels ont été ses bénéfices ? Google avait promis un petit bonus SEO aux pages HTTPS, et "cela a pesé dans le choix de migrer vers le HTTPS", admet Dimitri Fontaine, mais aucune conséquence sur le SEO n'a pu être mesurée.
Reste la sécurité supplémentaire apportée au site par ce protocole. C'était l'un des objectifs : "Nous voulions garantir la sécurité des échanges de nos utilisateurs", assure le responsable. D'après lui, le HTTPS envoie aussi un signal apprécié par les internautes, " le cadenas vert dans la barre de navigation les rassure, et renforce leur confiance". C'est sûr, cela émet en tout cas un meilleur signal que les messages d'alerte que rencontrent désormais les utilisateurs de Firefox et Chrome sur certaines pages non HTTPS. Pour l'instant, ces alertes ne concernent que les pages HTTPS proposant aux internautes de s'identifier, mais l'éditeur de Chrome a été clair, il compte bien étendre ces alertes à toutes les pages HTTP.