Le symbole d’un petit i encerclé qui précède une adresse Web (ou URL) est extrêmement discret. Il se propage depuis peu de temps sur le Web dans les navigateurs Chrome et Firefox et passe encore assez inaperçu. Mais notre inconscient commence à réaliser qu’il se différencie d’autres adresses Internet qui affichent un cadenas suivi de “Secure” et dont l’URL commence par HTTPS et non HTTP.
Si alors par curiosité vous cliquez sur le i pour en savoir plus, vous apprendrez que le site que vous consultez n’est pas sécurisé et qu’en entrant des informations personnelles comme un mot de passe ou un numéro de carte de crédit, vous risquez le vol de vos données.
Ce symbole est la première étape d’un plan que Google a promis de mettre à exécution pour forcer les détenteurs de sites Web à sécuriser leurs sites. Dans un communiqué publié en aout 2014, puis confirmé le 8 septembre dernier, Google a prévenu que dès janvier 2017, tous les sites dont l’adresse ne commence pas par HTTPS— permettant d’effectuer une connexion sécurisée à un site Web— s’afficheront dans les navigateurs avec un message d’avertissement. Et fidèle à ses engagements, il est en train de dérouler sa campagne de sensibilisation.
Ce premier avertissement light n’est que le premier pas que Google compte prendre pour forcer les sites à se protéger. En un deuxième temps, un symbole “danger” suivi de “Not secure” en rouge sera placardé dans la barre d’adresse.
Ou en est votre propre site? Les Web agencies et les développeurs indépendants n’ont pas tous pris les mesures nécessaires pour vous protéger. En parcourant les sites Web d’associations, de titres de presse, d’entreprises et ceux de mes amis ce weekend, j’ai été stupéfaite de constater combien d’entre eux ne sont pas encore passés au protocole HTTPS.
C’est à prendre au sérieux. Hormis le fait de faire fuir vos visiteurs, un site non sécurisé cours le risque d’être infiltré par des logiciels malveillants et la sanction de Google dans ces cas là est encore plus punitive.
Le géant du Web remplace carrément les pages d’accueil des sites infectés par un texte menaçant, décrivant ce que le visiteur risque en cliquant plus loin: vol d’identité, pertes financières et la suppression de tous ses fichiers. Puis dans les résultats du moteur de recherche, ces sites sont libellés “non sécurisés”. N’attendez pas que les foudres de Google s’abattent aussi sur vous.
Lire aussi: Google compte sanctionner les sites qui ne sont pas sécurisés
Voilà un article très intéressant qui a le mérite d’être clair et pragmatique. Aux internautes de se montrer désormais vigilants afin de ne pas tomber dans le piège des sites toxiques et de ne pas faciliter les fraudes.
Je découvre aujourd’hui une nouvelle forme d’avertissement pour un site pourtant sécurisé https, le mien, https://www.textually.org. Le message: «Your connection to this site is not FULLY secure”. La raison donné par un technicien? «Le certificat est bien installé, mais votre site a encore des liens en HTTP. Pour être entièrement sécurisé, tous les liens et contenu chargé doivent être en HTTPS». Je jette l’éponge. La dangerosité du Web et les nouvelles exigences de Google auront raison de mon enthousiasme. Je tire la prise sur mon blog et ses 20’000′ entrées que j’ai entretenu pendant 13 ans. Je pense que c’est la fin des blogs perso. Ils seront dorénavant trop compliqués et trop chers à maintenir.
C’est bien dommage, car aujourd’hui, il n’a jamais été aussi simple voir gratuit de passer un site entièrement sur HTTPS.
Il existe par exemple sur WordPress (qui est utilisé par Le Temps) un plug-in nommé “Really Simple SSL” qui corrige tous ces problèmes de ce qu’on appelle “Mixed Content”.
Des hébergeurs web, comme “Infomaniak” permet d’avoir un certificat SSL valide gratuitement grâce à Let’s Encrypt.
Finalement, il y a également CloudFlare, qui après un simplement changement DNS (ils ont une documentation très bien fournie pour faire le changement) permet d’avoir un certificat SSL ainsi que de corriger le “Mixed Content” gratuitement.
Bref, il ne faut pas trop se décourager et chercher un peu 🙂
Merci pour ces infos précieuses mais qui arrivent trop tard pour moi. Les avertissements dans les navigateurs ont été la goute qui a fait débordé le vase. Un message “Not Fully Secure” sur textually malgré le HTTPS. Et mon site netsurf,ch qui a été dégradé de HTTPS à HTTP (!) En fait en parlant au technicien chez l’hébergeur, il a corrigé cela. Mais c’est juste trop. Je suis encore traumatisée par mon expérience en 2013 quand les pages d’accueils des mes blogs et de mon site ont tous été remplacés par l’image d’un voleur, puis libellés “this site is a known malware distributor” dans tous les moteurs de recherche. Les bots de Google ayant déniché une ligne de code malveillant, infiltrée à mon insu. Le géant du Web débusque et défigurent ainsi 10’000 sites par jour. Je jette l’éponge. Avec une immense tristesse. Mon site netsurf.ch était en ligne depuis 1996 et était vraiment une partie de moi.