Le 3 octobre dernier, Google Chrome annonçait le blocage progressif des contenus mixtes sur les pages https afin de garantir aux internautes que ces dernières ne chargent que du contenu réellement sécurisé. En effet, malgré le protocole https, des éléments non sécurisés peuvent être chargés sur la page via une connexion http. Ils peuvent prendre la forme de scripts, d’iframe, d’images ou encore de vidéos. Après avoir œuvré pour faire du protocole https un standard dans la sécurisation des sites web, Google Chrome veut donc aller plus loin pour rendre la navigation des internautes encore plus sûre. Mais concrètement, à quoi devons-nous nous attendre ?

Fin des contenus mixtes en https : Chrome renforce ses critères de sécurité

Protocole https : un blocage progressif des contenus mixtes par Chrome

Alors que Google Chrome annonce que 90 % de ses utilisateurs naviguent sur des pages utilisant le protocole https, le navigateur veut aller encore plus loin en rendant ces pages beaucoup plus sûres. En effet, ce protocole permet toujours de charger des composants à partir d’une connexion http : on parle alors de contenus mixtes.

Ces derniers représentent une faille de sécurité pour les internautes. C’est pourquoi Google Chrome a décidé de mettre en place un blocage progressif de ces contenus. Cela va se faire en plusieurs étapes afin de laisser le temps aux développeurs et aux éditeurs de sites de se préparer et de sécuriser complètement leurs pages.

Actuellement, Chrome bloque déjà la plupart des contenus mixtes de façon automatique. Avec la mise à jour Chrome 79 qui sera déployée en décembre 2019, les internautes pourront cliquer sur le cadenas qui apparaît sur la barre d’adresse pour changer les paramètres et permettre l’affichage des contenus bloqués (à leurs risques et périls).

La mise à jour Chrome 80 redirigera automatiques les ressources vidéo et audio vers une connexion https et les bloquera si elles ne peuvent pas être chargées via celle-ci. Là encore, les internautes auront la possibilité d’aller outre et de débloquer manuellement ces contenus. Par ailleurs, les images liées à une connexion http seront toujours affichées mais un signalement apparaîtra pour informer l’internaute que la connexion n’est pas sécurisée. Le but est donc de pousser les éditeurs et les développeurs à migrer tout leur contenu vers une connexion https.

Enfin, la mise à jour Chrome 81 qui est attendue entre février et avril 2020 mettra automatiquement à niveau en https les images mixtes et les bloquera si elles ne peuvent pas être chargées via cette connexion sécurisée.

Les risques liés aux pages https non sécurisées

Cela peut sembler surprenant de parler de pages https non sécurisées alors que ce protocole de connexion est censé être un élément essentiel dans la sécurisation des sites web. Le problème vient des composants qui font appel à des connexions http. C’est le cas de certaines images ou de ressources appelées depuis un autre site. Ces contenus dits mixtes sont alors des voies d’entrée pour les malwares ou autres tentatives de pishing.

Attention, la mise en place d’un certificat ssl ne suffit pas pour sécuriser votre site. Vous devez vérifier que l’ensemble de vos images appellent bien une adresse en https. Sur WordPress, certains plug-ins le font pour vous et évite ainsi que vous touchiez vous-même à la base de données ou que vous modifiez une à une vos images.