Opter pour le HTTPS pour éviter d’exposer son entreprise
Quel est le point commun entre un site d’actualités sur les fintechs, plusieurs quotidiens de Nouvelle-Angleterre, un organisateur de prix d’excellence dans le domaine des technologies et, jusqu’à il y a quelques semaines, le site e-commerce d’une célèbre bijouterie et un acteur majeur du commerce électronique ? La réponse est : Google Chrome considère qu’aucun de ces sites n’est sécurisé !
Lorsqu’ils s’apercevront que leur site préféré est montré du doigt par Google, les clients seront très probablement frustrés et mécontents. Chrome étant le navigateur de prédilection d’une majorité d’utilisateurs (près de 60 %, selon de récentes estimations), l’on peut aisément imaginer qu’aucun dirigeant ne souhaite un tel scénario pour son entreprise.
À vrai dire, on compte aujourd’hui plusieurs centaines de milliers de sites marqués comme n’étant pas sécurisés. Que se passe-t-il ? Pourquoi un tel nombre de sites épinglés ?
Depuis Chrome 68, tous les sites sans le préfixe HTTPS sont considérés comme « non sécurisés »
Depuis plusieurs années, Google mène campagne en faveur
du chiffrement SSL/TLS pour tout le Web — c’est-à-dire la technologie derrière le HTTPS. Autrefois, les sites qui utilisaient le SSL étaient marqués comme "sécurisés",
mais depuis Chrome 68, Google a changé son
fusil d’épaule. Dorénavant, les sites qui n’utilisent pas le SSL seront marqués comme "non sécurisés".
Source : Google
Ce changement est effectif depuis juillet. D’autres changements sont intervenus ce mois-ci avec le lancement de Chrome 70. À ce stade, le navigateur affiche un avertissement rouge pour indiquer que le site est "non sécurisé" dès qu’un utilisateur commencera à saisir des informations (comme son nom d’utilisateur/mot de passe, des données financières) ou qu’il commencera à remplir un formulaire sur un site sans HTTPS. L’idée est de sensibiliser davantage les utilisateurs sur l’absence de chiffrement des informations qu’ils sont sur le point de renseigner avec les risques d’interception ou d’espionnage que cela génère.
Source : Google
Pourquoi le HTTPS ?
Le HTTPS est une version plus sécurisée du protocole HTTP. Il empêche toute modification intrusive des communications entre les sites Web et les navigateurs utilisés par les visiteurs. Le HTTPS complique également la tâche de ceux qui seraient tentés d’espionner ce qui transite entre le navigateur et le serveur. Les sites d’une entreprise et leurs visiteurs sont également protégés contre les injections par des tiers de publicités susceptibles de créer des failles de sécurité ou contre l’exploitation des images, cookies, scripts, etc. d’un site par des personnes mal intentionnées pour, par exemple, injecter des malwares ou n’importe quel autre programme néfaste.
Malgré les avantages évidents du HTTPS sur le plan de la sécurité, de nombreux sites sont manifestement encore à la traîne pour faire évoluer leurs sites dans ce sens. Il reste à espérer que les récents changements apportés par Google à son navigateur pousseront les exploitants de sites à se confronter à la réalité pour enfin franchir le pas. La transition exigera cependant une certaine organisation et des efforts, mais la démarche est essentielle pour éviter un effondrement du nombre de visiteurs sur son propre site.
Comment basculer son site en HTTPS
Bien que l’opération ne soit ni très coûteuse si très compliquée à mettre en œuvre, la conversion d’un site en HTTPS exige quelques efforts. La démarche s’effectue en quatre grandes étapes :
· Obtenir un certificat SSL/TLS auprès du fournisseur de son choix : si l’on passe par un hébergeur, celui-ci a peut-être une liste de prestataires à recommander.
· Installer son certificat.
· Une fois le certificat installé, vérifier la configuration de son serveur pour s’assurer que les paramètres utilisés sont les bons et qu’ils sont à jour.
· Une fois la conversion du site terminée, ne pas oublier d’en informer Google. Cette étape est essentielle et permet d’initier la réindexation de son site dans la base de données du moteur de Google. Ce processus est décrit par Google qui livre quelques conseils supplémentaires pour la mise en œuvre du SSL ici : https://support.google.com/webmasters/answer/6073543?hl=fr.
Important : vérifier que son site est traité en HTTPS !
Pour toute conversion d’un site en HTTPS, il est nécessaire de s’assurer que les redirections 301 appropriées sont en place côté serveur pour que les utilisateurs et les moteurs de recherche puissent être redirigés vers la version HTTPS. Il semblerait que dernièrement certains sites n’aient pas correctement configuré cette redirection. Les utilisateurs ont donc continué à être dirigés vers les versions HTTP de ces sites désormais marqués « non sécurisés ». En saisissant manuellement le préfixe HTTPS devant l’adresse, on constate que le site utilise bien le SSL. Il est cependant très improbable qu’un utilisateur procède ainsi. Mieux vaut donc s’assurer que l’intégralité de son site est redirigée vers sa version HTTPS.
Il est également nécessaire de vérifier que chaque page de son site est sécurisée en SSL, et pas uniquement les pages qui recueillent des renseignements personnels ou des données de paiement.
Les entreprises peuvent aussi envisager la mise en œuvre du HSTS (HTTP Strict Transport Security), un mécanisme de sécurité qui force le traitement de toutes les connexions en HTTPS, même si un utilisateur tape manuellement une adresse en HTTP. Le HSTS permet d’une part de prévenir les attaques Man-in-the-Middle de type « SSL stripping » — permettant d’intercepter des contenus destinés à une connexion HTTPS — et empêche d’autre part les utilisateurs de passer outre les alertes de sécurité d’un certificat. Avec le HSTS, les utilisateurs ne peuvent se connecter au site que s’il existe un certificat valide et fiable ; toutes les autres connexions sont bloquées, sans possibilité de cliquer pour se connecter.
Passer vite au HTTPS pour éviter d’être pointé du doigt par Google !
Au bout du compte, la conversion d’un site d’entreprise en HTTPS ne peut que renforcer sa sécurité et rassurer ses clients qui n’iront plus voir ailleurs.