Pour son navigateur Chrome, Google va rendre la navigation HTTPS obligatoire par défaut. Ce changement n'est pas pour tout de suite. Il interviendra dans le cadre de la sortie de Chrome 154 en octobre 2026.
Le paramètre de sécurité " Toujours utiliser une connexion sécurisée " sera alors activé. En conséquence, Chrome demandera l'autorisation de l'utilisateur avant le premier accès à tout site public sans HTTPS. Une telle fonctionnalité est disponible en option depuis 2022.
Google estime que le temps est venu
Bien que l'adoption du HTTPS ait massivement progressé, passant de 30-45 % en 2015 à une fourchette de 95-99 % vers 2020, les progrès ont depuis stagné. Google considère que le risque demeure important, parce que les attaquants n'ont besoin que d'une seule navigation non sécurisée pour compromettre un appareil.
L'équipe de sécurité de Chrome souligne que même les redirections HTTP invisibles (un site HTTP redirigeant immédiatement vers sa version HTTPS) constituent une porte d'entrée.
" Lorsque les liens n'utilisent pas HTTPS, un attaquant peut détourner la navigation et forcer les utilisateurs de Chrome à charger des ressources arbitraires contrôlées par l'attaquant, et exposer l'utilisateur à des malwares, une exploitation ciblée ou des attaques d'ingénierie sociale. "
En évitant la surcharge d'alertes
Google est conscient qu'avertir systématiquement les utilisateurs serait assez perturbateur avec des navigations HTTP qui n'ont pas disparu. Pour éviter une surcharge d'alertes, la mesure sera appliquée avec discernement.
Le navigateur n'affichera pas d'avertissements répétés pour un site non sécurisé que l'utilisateur visite régulièrement. L'alerte n'apparaîtra que lors de la visite d'un site nouveau (ou non visité récemment). En outre, l'activation par défaut ne concernera que les sites publics.
Une variante pour les sites privés et réseaux locaux
La principale source de trafic HTTP restant provient des sites privés (adresses IP locales, intranet d'une entreprise). Google reconnaît que si ces connexions présentent un risque, celui-ci est " généralement moins dangereux ", avec une exploitation par un attaquant sur le réseau local.
C'est pourquoi l'activation par défaut sera celle avec un avertissement pour les sites publics uniquement, tout en ayant la possibilité de l'étendre aux sites privés, si souhaité.
À noter que le déploiement commencera dès avril 2026 avec Google Chrome 147, pour le milliard d'utilisateurs ayant opté pour la protection renforcée de la navigation sécurisée.
