Bien que conseillée, l'activation de HTTPS dans Gmail était jusqu'à présent laissée à la discrétion de l'utilisateur pour établir une connexion sécurisée entre le navigateur Web et les serveurs Google ( communications authentifiées et cryptées ) lors du transfert des e-mails, alors que la page de connexion est quant à elle toujours chiffrée afin de protéger le mot de passe.

La firme de Mountain View a décidé que dorénavant HTTPS sera activé par défaut dans Gmail. La procédure est actuellement en cours de déploiement pour l'ensemble des comptes Gmail. En dépit des paramètres initiaux, tous les utilisateurs Gmail sans exception vont donc passer au HTTPS. Néanmoins, l'utilisateur qui le désire pourra toujours désactiver de son propre chef la prise en charge de ce protocole dans un souci éventuel de performances.

La question de HTTPS par défaut avait été évoquée au mois de juin 2009 lorsque des chercheurs et universitaires impliqués dans la sécurité informatique et le respect de la vie privée avaient adressé une lettre ouverte au PDG de Google. Pour Google, l'activation par défaut de HTTPS ne coulait pas de source en raison du possible ralentissement du service.

Google a finalement pris sa décision, et difficile de ne pas penser que la révélation d'attaques venues de Chine soit totalement étrangère à cette annonce. Ces attaques qui ont notamment ciblé les comptes Gmail de militants des droits de l'Homme en Chine ont probablement servi de catalyseur.

Rappelons que selon Google, seuls deux comptes Gmail ont laissé filtré certains détails comme la date de création du compte, l'objet des messages. Si d'autres comptes Gmail ont été corrompus avec cette fois-ci le vol de mots de passe, c'est par contre le fait de l'installation d'un malware sur l'ordinateur de l'utilisateur ou d'hameçonnage, et HTTPS n'y pourra pas grand-chose.