"Votre connexion n'est pas sécurisée" : pourquoi risquez-vous de voir ce message sur Google Chrome ?

Qu'est-ce qu'une connexion sécurisée ?

Si Google Chrome que votre connexion n'est pas sécurisée, c'est qu'il a une bonne raison. Il ne s'agit pas de votre connexion Internet, c'est à dire de votre FAI, mais de la connexion entre votre ordinateur et le site que vous essayez de visiter. Nous allons essayer de schématiser tout cela.

Lorsque vous vous connectez sur un site, votre ordinateur envoie et reçoit des informations vers le (ou les) serveur(s) du site en question. Avec le protocole http, qui était utilisé jusque récemment, les données transférées n'étaient pas confidentielles, elles pouvaient être vues par tout le monde (tout au moins à ceux qui savent comment faire) car elles n'étaient pas chiffrées (cryptées, si vous préférez). A une époque où l'on accède sans cesse à des sites grâce à des identifiants/mots de passe (emails, banques etc), une amélioration de la sécurité est bien évidemment indispensable.

C'est pour cette raison qu'un autre protocole a été ajouté au http : le ssl. Ensemble, ils forment le https. Le S de fin fait bien évidemment référence à "secure" (sécurisé, dans la langue de Molière), et indique que désormais la connexion est chiffrée entre l'utilisateur, chaque extrêmité disposant de la clé de déchiffrage pour arriver à comprendre la valeur des informations fournies. Sans cette clé, personne d'autre ne peut accéder aux informations. Bien entendu, en pratique l'utilisateur ne voit rien de tout cela, il se contente d'entrer ses identifiants comme avant, mais dans l'ombre le tout est bien plus sécurisé.

C'est très bien tout ça, mais quel est le rapport avec Google Chrome ?

Google Chrome vous connecte au(x) serveur(s) des sites que vous visitez. Le problème, c'est que tous n'ont pas choisi le protocole https : beaucoup sont restés en simple http et donc ne sont pas aux normes actuelles de sécurité. Voilà déjà un moment que les sites ont la possibilité d'utiliser le https mais tous ne franchissent pas ce cap (cela peut avoir diverses raisons : manque de ressources, manque de sérieux, etc) et continuent à rester en http. 

Google a décidé que son navigateur Chrome 68 considèrera les sites http comme non sécurisés. Lorsque vous vous rendrez dessus, vous aurez un message vous expliquant que le site n'est pas sécurisé et donc potentiellement dangereux. Cela permet d'une part de protéger l'utilisateur face à des problèmes de sécurité et cela peut mettre la pression sur les webmasters récalcitrants, car un tel message d'erreur peut impacter leur traffic. Notez que les utilisateurs pourront quand-même se rendre sur le site, acceptant de prendre le risque malgré l'avertissement de Chrome.

Attention aux idées reçues !

Les choses doivent être le plus simple possible pour l'utilisateur : les connexions doivent être aussi sécurisées que possible avec autant de transparence que possible. Par conséquent, nous pensons que si l'on ne nous dit rien, tout est sécurisé de manière optimale et maintenant que l'on nous parle de https, nous allons penser que nous sommes au niveau du risque 0.

Il faut pourtant garder une chose à l'esprit : le https ne signifie en aucun cas que vous n'aurez pas de problème. Si le serveur du site/de l'entreprise se fait pirater, vous aurez des problèmes. Si votre compte se fait pirater (le pirate arrive ainsi à obtenir vos identifiants) d'une manière ou d'une autre, vous aurez des problèmes. Le https n'est pas la solution miracle qui protège de tous les problèmes !

Allez-vous encore sur des sites en http ?