Pénalisation du HTTP : n’attendez plus pour sécuriser votre site web !

Depuis la fin du mois de janvier, le protocole HTTPS devient la norme. Dès lors que votre site web collecte des données personnelles sur ses visiteurs, vous êtes concerné·e par cette réforme de sécurité.

Quelques explications sur le HTTP et le HTTPS

Définition de HTTP

Tout d’abord, il est nécessaire de comprendre ce qu’est le HTTP. En peu de mots, nous pouvons définir le HTTP (HyperText Transfer Protocol) comme un langage, un protocole de communication, développé pour le web. Il assure la transmission d’informations entre un serveur web et un « client ». Les navigateurs internet (Mozilla Firefox, Chrome, IE, Safari, Opéra…) sont les clients HTTP les plus connus. Ce sont eux qui nous permettent d’accéder aux données d’un serveur et ainsi de consulter un site web.

HTTP vs HTTPS

Le sigle HTTPS est doté d’un « S » pour « Secure ». Il s’agit ainsi d’une version sécurisée du protocole HTTP qui repose sur le cryptage des informations sensibles. Cette couche de chiffrement (comme le protocole de sécurisation SSL ou TLS, mais je ne voudrais pas vous perdre dans des détails techniques) permet au visiteur de vérifier l’identité du site auquel il accède. Ce contrôle est permis par l’émission d’un certificat d’authentification par une autorité tierce, et réputée fiable par les navigateurs web. Ce certificat vise à garantir l’intégrité et la confidentialité des données transmises par l’internaute ainsi que de celles reçues du serveur.

Le protocole HTTPS est employé depuis longtemps par la plupart des sites web sur lesquels des transactions financières sont en jeu : banques en ligne, plateformes de commerces électroniques telles que les boutiques en ligne, etc. L’usage du HTTPS s’est aussi généralisé sur les messageries et réseaux sociaux, pour une consultation sécurisée des données confidentielles qu’ils abritent.

En février 2017, moins de 17 % de l’internet français aurait recours au HTTPS¹. Ce taux devrait néanmoins évoluer favorablement dans les prochains mois, et ce de manière significative. Pour étendre l’usage du HTTPS à l’ensemble des sites web, les navigateurs internet commencent en effet à pénaliser les « mauvais élèves ».

La pénalisation du HTTP

Nombre d’internautes ont appris à reconnaître les indicateurs de sécurité d’un site web et à vérifier leur présence lors de leurs achats en ligne ou pour la consultation de leurs comptes bancaires. En revanche, peu d’entre eux se montrent vigilants sur l’ensemble des sites web qu’ils consultent. Mais cela pourrait bien changer, sous l’impulsion des navigateurs internet.

Google Chrome

En janvier dernier, le navigateur Google Chrome a entrepris le signalement des sites web recueillant des données sensibles sans recours au HTTPS. Quel que soit le site qu’il consulte, chaque visiteur peut plus facilement percevoir les risques encourus.

Voici ce que vous pouvez voir actuellement en consultant un site « à risque », dans la barre de saisie de la page consultée, (en haut, à gauche de l’adresse du site).

En cliquant sur le pictogramme « i » (parfois suivi de la mention « Non sécurisé »), vous accédez à plus d’informations.

Le message d’avertissement associé à un site non sécurisé est le suivant : « Votre connexion à ce site n’est pas privée. Les informations que vous transmettez peuvent être visualisées par d’autres personnes (comme par exemple les mots de passe, les messages, les cartes de crédit, etc.) »

Cette alerte a clairement de quoi inquiéter la majorité d’entre nous. Bien sûr, il ne s’agit pas d’imaginer que derrière chaque site en HTTP, une personne malveillante observe tous vos faits et gestes par une sorte de « judas de porte virtuel ». Il existe néanmoins des risques de détournement ou de falsification de vos données et la prudence est donc de mise.

Le cas de Microsoft Edge

Sur Microsoft Edge (le navigateur conçu par Microsoft pour remplacer Internet Explorer), le parti pris actuel est celui de la valorisation des sites protégés (cadenas discret apposé à gauche de l’URL du site).

Pour le moment, les sites non certifiés ne semblent pas pénalisés sur ce navigateur. Pour savoir si le site consulté est en HTTP ou HTTPS, il est même nécessaire de cliquer sur la barre de navigation, puisque par défaut, cette information est masquée (capture 1 vs capture 2 ci-dessous). On remarquera au passage que de grands sites web comme Bing ou L’Internaute ne sont pas encore passés au HTTPS !

Si Microsoft Edge se montre actuellement très tolérant vis-à-vis du HTTP, d’autres navigateurs emboîtent le pas à Chrome.

Firefox, Chrome : même combat

Sur Firefox, c’est un cadenas barré d’une ligne rouge qui matérialise l’absence de certificat de sécurité sur un site web.

Le navigateur fournit un récapitulatif assez clair sur les données de sécurité associées au site en cours de consultation (pour y accéder, cliquez sur l’icône « i » précédant l’adresse du site puis sur « > » et « Plus d’informations »).

Sanctions et privilèges

Par la visibilité croissante donnée à ces alertes de sécurité, les navigateurs entendent bien pénaliser les sites en HTTP. « Affublés » de la mention « Site non sécurisé », ceux-ci risquent en effet de perdre progressivement des visiteurs au profit des sites en HTTPS, forcément plus rassurants.

A cette pénalisation directe du HTTP (qu’on peut voir comme « le bâton ») une pénalisation indirecte s’ajoute (la « carotte ») : une valorisation SEO des sites en HTTPS, au détriment des sites non sécurisés.

Les équipes de Google (derrière le navigateur Chrome) annonçaient dès 2014 leur souhait de favoriser les sites passés au HTTPS :

« Nous commençons à utiliser le protocole HTTPS en tant que facteur de positionnement. Pour l’instant, cet indicateur a très peu de poids, et ce afin de laisser le temps aux webmasters de passer au protocole HTTPS. »

Deux déclarations plus récentes des équipes de Google confirment l’intérêt de migrer son site vers le protocole HTTPS :

« Gmail, la recherche Google et YouTube bénéficient de connexions sécurisées depuis longtemps, et nous avons également commencé à légèrement améliorer le classement des URL HTTPS dans les résultats de recherche l’an dernier. La navigation sur le Web devrait être une expérience privée entre l’utilisateur et le site Web, sans que cela ne donne lieu à des actes d’espionnage, à des attaques dites « de l’homme du milieu » ni à des modifications de données. C’est pourquoi nous appuyons fortement la généralisation du HTTPS. »

« Il est conseillé de protéger son site Web à l’aide du protocole HTTPS, même si le site en question ne traite pas de communications sensibles. Le HTTPS protège l’intégrité de votre site Web, et assure la confidentialité et la sécurité de vos utilisateurs. De plus, certaines nouvelles fonctionnalités très puissantes sont réservées aux sites Web offrant une connexion HTTPS. »

Certains tests, comme ceux réalisés sur ce site témoignent aussi d’une incidence positive du HTTPS sur la vitesse de chargement d’un site. Or, la vitesse fait partie des facteurs ayant un impact sur le référencement d’une page internet.

J’ai un site web : suis-je concerné par le passage au HTTPS ?

Pour savoir si votre site web est concerné par les nouvelles mesures des navigateurs et donc potentiellement pénalisable, voici la première question à vous poser :

Est-ce que la navigation sur mon site est d’ores et déjà cryptée ?

Pour répondre à cela, vous avez compris qu’il suffit d’observer ce qui est indiqué en haut à gauche de votre navigateur, lorsque vous êtes sur votre site web.

Vous repérez un cadenas vert (suivi ou non de la mention « Sécurisé », selon les navigateurs) ?

C’est parfait, votre site répond à la norme HTTPS.

Dans le cas contraire, une seconde question se présente à vous :

Est-ce que mon site collecte des données privées ?

Les sites web impactés par le signalement des navigateurs sont tous ceux sur lesquels nous pouvons communiquer des informations à caractère confidentiel. Votre site est une boutique en ligne ? Pas de doute, il est concerné par ces mesures sécuritaires. Le cryptage du processus de paiement est indispensable, mais pas suffisant. Les informations saisies dans un espace client (que possède toute boutique en ligne) sont aussi des données privées.

Si votre site n’est pas une boutique en ligne mais qu’il collecte malgré tout des informations confidentielles telles que des mots de passe, il convient d’envisager la migration vers HTTPS.

La dépréciation des sites en HTTP devant progressivement se généraliser à l’ensemble des sites web, vous pouvez dans tous les cas anticiper le passage de votre site en HTTPS.

Pourquoi sécuriser mon site ?

Nous avons déjà évoqué l’intérêt de sécuriser son site, mais voici une synthèse des arguments évoqués, pour davantage de clarté :

• rassurer vos visiteurs, les nouveaux comme les habitués (vous-mêmes, vous n’êtes probablement pas à l’aise à l’idée de surfer sur un site web vulnérable)
• améliorer la vitesse de chargement de votre site (navigation plus fluide pour les usagers + atout en termes de référencement)
• favoriser le positionnement de votre site dans les moteurs de recherche (le « bonus SEO » de Google pourrait être intéressant, surtout si vos principaux concurrents n’ont pas encore basculé vers le HTTPS)
• sécuriser les données qui transitent sur votre site (eh oui, il ne s’agirait pas d’oublier que cela reste l’enjeu principal d’une migration vers HTTPS !)

Comment passer au HTTPS ?

La migration de votre site vers HTTPS passe par l’obtention d’un certificat SSL auprès de votre hébergeur.

Il existe différents types de certificats SSL :

• les certificats à validation de domaine (DV) : l’autorité de certification s’assure uniquement que vous êtes bien le/la propriétaire du nom de domaine (nom du site). Les données échangées sur le site sont cryptées, mais sans authentification.
• les certificats à validation de l’organisation (OV) : l’obtention de ce certificat implique de justifier que vous êtes bien la personne morale détentrice du domaine (attestation papier à fournir)
• les certificats à validation étendue (EV) : pour ce certificat, davantage d’informations sont à transmettre et celles-ci sont réexaminées chaque année.

Il faut donc déterminer en premier lieu quel est le certificat le plus adapté à votre situation. Les tableaux comparatifs de votre hébergeur pourront vous y aider.

Quelques exemples, pour trois grands hébergeurs :

•  1&1 : https://www.1and1.fr/certificat-ssl
• Gandhi : https://www.gandi.net/ssl?lang=fr
• OVH : https://www.ovh.com/fr/ssl/

Dans bien des cas, un certificat à validation de domaine pourra faire l’affaire. « Let’s Encrypt », le certificat DV proposé entre autres par OVH, est gratuit (mais exclusivement valable si votre site web dispose d’un hébergement  mutualisé OVH).

L’étape suivante est celle de l’acquisition du certificat. La procédure varie en fonction de la certification choisie et de l’hébergeur du site. Il n’y a donc pas de schéma type. Il en va de même pour l’étape de l’installation. Chez certains hébergeurs, elle est automatique.

Une fois votre site passé en HTTPS, plusieurs manipulations techniques et vérifications s’imposent, sans quoi le basculement serait très préjudiciable pour votre référencement internet.

Voici un récapitulatif des actions à mener suite à une migration en HTTPS :

• rediriger toutes les pages de votre site via des redirections 301
• mettre à jour vos liens internes et vos images
• ajouter votre nouveau site sur la Google Search Console
• soumettre votre nouveau sitemap sur ce même outil
• utiliser l’outil SSL Server Test pour vérifier la bonne installation du certificat SSL sur votre site
• contrôler votre site et vos positions SEO, pour s’assurer de l’absence de problème

Si vous n’êtes pas à l’aise avec cette procédure de migration HTTPS et/ou tous les contrôles qui s’en suivent, il est plus simple et plus prudent de vous rapprocher de votre prestataire technique.

1. « Statistiques sur l’internet français » – www.udomo.fr [consulté le 17/03/17]