Cela fait plus de deux ans que Google a annoncé que l’utilisation du protocole https (au lieu de http) était un critère positif de positionnement dans les pages de résultats de recherche (source en anglais). Et Chrome, le navigateur de Google, fait très clairement la distinction entre les sites utilisant l’un ou l’autre de ces protocoles.

Dans le cas d'un site utilisant https, Chrome affiche dans la barre d'adresse un cadenas vert et le nom du site.

Dans le cas d’un site utilisant https, Chrome affiche dans la barre d’adresse un cadenas vert et le nom du site.

 

Pas de cadenas ici, mais un point d'exclamation qui affiche un message d'avertissement quand il est cliqué.

Pas de cadenas ici, mais un point d’exclamation qui affiche un message d’avertissement quand il est cliqué.

 

Mais commençons par le commencement…

C’est quoi, http(s) ?

HTTP, c’est le Hyper Text Transfer Protocol, le protocole grâce auquel le web est ce qu’il est. C’est la base du fonctionnement des sites internet aujourd’hui. HTTPS, c’est HTTP via TLS (Transport Layer Security). C’est-à-dire que c’est HTTP mais dans une couche de sécurité supplémentaire.

Mais pour quoi faire ?

HTTPS a deux usages principaux :

  • authentifier le site auquel l’utilisateur se connecte (c’est pour ça que Chrome peut écrire Twitter, Inc. [US] dans l’exemple ci-dessus). Concrètement, c’est la garantie que vous êtes bien connecté à Twitter et pas à un site qui essaierait de se faire passer pour Twitter.
  • chiffrer (et non pas crypter) les échanges entre l’utilisateur et le site. Pour s’assurer, par exemple, qu’un pirate ne vole pas votre mot de passe Facebook via le WiFi gratuit du Starbucks. Ou qu’un gouvernement moyennement démocratique n’intercepte pas vos communications privées.
Avant HTTPS, il fallait envoyer un droid avec un hologramme pour s'assurer qu'une communication était sécurisée. C'était moins pratique.

Avant HTTPS, il fallait envoyer un droid avec un hologramme pour s’assurer qu’une communication ne tombe pas entre les mains de personnes mal intentionnées. C’était moins pratique.

Et pourquoi Google veut que tout le monde utilise HTTPS ?

Les principaux acteurs d’internet, comme Mozilla (en) ou Apple (en), militent également en faveur d’un internet entièrement chiffré. Parce qu’il n’y a aucune raison de ne pas s’offrir un peu de sécurité en plus.

Google profite donc de son influence sur les internautes (via Chrome) comme sur les éditeurs de sites (via le moteur de recherche) pour encourager le changement.

Donc, en 2017, tout le monde en HTTPS ?

Oui, si vous lancez un nouveau site ou si vous avez un projet de refonte de votre site actuel. Il serait dommage de ne pas en profiter pour mettre à jour votre hébergement.

Si ce n’est pas le cas, dîtes-vous que plus d’un tiers des résultats de recherche de Google sont en https. Vous n’êtes pas encore dans la minorité des retardataires, mais ne trainez pas trop : Google est en train de gagner sa bataille contre le web non sécurisé. Concept Image va d’ailleurs encourager tous ses clients à basculer sur HTTPS dans le courant de l’année.