Google a commencé depuis plusieurs années à migrer ses sites en HTTPS (HyperText Transfer Protocol Secure). En 2010, c’est la messagerie Gmail qui y passait de manière permanente. Depuis, de nombreux autres services (si ce n’est tous) du géant de Mountain View sont ainsi sécurisés. Il a même fait du tout-HTTPS un cheval de bataille, incitant les éditeurs de sites Web à faire de même, menaçant parfois de sanctions comme sur le référencement par exemple.
En septembre 2016, Google prévenait de ses intentions : il va intensifier la chasse aux sites non-HTTPS. Première étape : tous les sites qui demandent un mot de passe et/ou des informations bancaires sont désormais montrés du doigt avec cette mention « Non sécurisé » depuis janvier 2017. En avril dernier, il ajoutait qu’à « partir d’octobre 2017, Chrome affichera le message « Not Secure » dans deux situations complémentaires ». En l’occurrence, il s'agit de toutes les pages visitées en mode navigation privée, et à chaque fois qu’un utilisateur entre des données sur un site HTTP.
Rappelons que jusque-là, les sites non-HTTPS étaient signalés comme non sécurisés, mais uniquement en cliquant sur le petit symbole i « Information » à gauche de la barre d’URL. Désormais, presque tous les sites sont donc menacés d’afficher la mention « Non sécurisé » à côté de leur nom ; une bien mauvaise publicité. « Nous pourrions envisager de signaler tous les sites non-HTTPS », écrivait également Google, qui ne semble pas considérer pour le moment de signaler les sites dans les résultats de recherche ce qui serait encore préférable. Rappelons aussi que Mozilla signale lui aussi les sites non-HTTPS depuis mars dernier.
La décision peut paraître contraignante mais il existe désormais de nombreux moyens de passer un site en HTTPS. D’abord, les hébergeurs proposent régulièrement cette option, gratuite ou payante selon la formule. De plus, l’essor de Let’s Encrypt, qui fournit des certificats gratuits, ne donne plus d’excuse. Enfin, il existe aussi des autorités capables de fournir des certificats payants, à l’image des GlobalSign, Symantec ou Certigna par exemple.