Sommaire
En Octobre, Google avait annoncé l’arrivée d’une mise à jour Chrome significative visant à renforcer la sécurité des sites web. Cette mise à jour Chrome se déploie en trois étapes :
- La version Chrome 79 le sortie 10 décembre 2019
- La mise à jour Chrome 80 en janvier
- Puis la version finale, Chrome 81 en février 2020
Mise à jour Chrome 80
Les impacts majeurs sur les site web sont à prévoir à partir de Chrome 80. Dès Janvier et l’arrivée de de la mise à jour Chrome 80, le navigateur par défaut de Google bloquera les contenus audio et vidéo dits “mixtes”. Autrement dit, même si votre site est sécurisé HTTPS, si ces contenus se chargent encore via une connexion non sécurisée HTTP, ils feront baisser le niveau de sécurité affiché pour votre site web. Les images chargée via HTTP elles, seront encore affichées. De nouveaux critères à prendre en compte dans la conception web!
Mise à jour Chrome 81
Puis, Chrome 81 sera ensuite mis en vigueur en février 2020 avec des mesures plus drastiques : cette mise à jour Chrome bloquera purement et simplement tous les contenus chargés via un protocole HTTP (contenus mixtes), images incluses. Chrome tentera néanmoins de les mettre automatiquement à niveau HTTPS avant d’emprunter cette mesure.
Conséquences
Chrome affichera des messages de sécurité à l’ouverture des sites web. La mention “non sécurisé” aura un impact négatif significatif sur la réputation de votre site, son expérience utilisateur et donc son trafic. Cela fera probablement chuter vos revenus si vous possédez un site de vente en ligne!
Avant d’aller plus loin, revenons sur les principaux termes techniques qu’il est important de comprendre pour la suite de cet article.
HTTPS : définition
HTTPS (Hyper Text Transfer Protocol Secure) est un mécanisme qui permet de connecter le navigateur de votre internaute avec votre site web en toute sécurité. En HTTPS, les données sensibles que votre internaute partage avec votre site web sont cryptées, autrement dit, entièrement protégées.
HTTP : définition
À l’inverse, une connexion HTTP est dit non sécurisée car elle encourt un risque potentiel de piratage ou d’espionnage des données. Concrètement, en HTTP, à chaque fois qu’un internaute entre une donnée personnelle dans un site web, cette information est transférée vers votre serveur sous forme de texte “lisible”. Des pirates mal intentionnés et bien équipés n’auraient pas de mal à mettre la main sur ces données.
Contenu Mixte : définition
Le contenu mixte, comme son nom l’indique, représente tout type de contenu utilisant à la fois un protocole HTTP et HTTPS. Ce type de contenu est généralement créé lorsqu’une page HTML classique est chargée via un protocole HTTPS mais que d’autres éléments présents sur cette page comme les images et les vidéos passent par une connexion HTTP non sécurisée.
Cas et exemples de contenu mixte
Cas 1 – connexion sécurisée : vous êtes prêt(e) pour la mise à jour Chrome 80/81
Si votre page web est entièrement sécurisée sans contenu mixte, vous verrez alors apparaître ce message en cliquant sur le petit cadenas. Vous pouvez quitter cet article, vous êtes tranquille.
Cela signifie que que la page en question, ainsi que les différents éléments qui la composent sont sécurisés.
Cas 2 – connexion pas totalement sécurisée : Chrome 80/81 vous concerne directement !
Voyons maintenant à quoi ressemble un avertissement de contenu mixte. Vous pouvez repérer cet avertissement lorsque l’icône du cadenas vu précédemment laisse place à un petit “i”.
Comme l’explique Chrome, la connexion n’est pas totalement sécurisée. Ce site web utilise un protocole de connexion sécurisée (HTTPS) comme l’indique “Certificat (Valide)”, mais la présence d’une image non sécurisée chargée via un protocole non sécurisé HTTP le rend potentiellement dangereux.
Voici des causes fréquentes de contenus mixtes :
- Une image présente dans un de vos articles ou widget qui pointent vers HTTP (
http://votredomaine.com/image.png) - Des scripts vidéos intégrés sur votre site web utilisant HTTP au lieu de HTTPS.
Pensez à faire une redirection 301 de HTTP vers HTTPS si certaines pages de votre site web sont encore en HTTP.
Cas 3 – connexion non sécurisée : prenez des mesures immédiatement
Dans le pire des cas, si vous n’avez pas encore effectué la migration de votre site web vers un protocole HTTPS, ce message de sécurité évident apparaîtra juste à côté de votre URL :
Dans ce cas, le protocole de votre site web est non sécurisé et vous encourrez les risques évoqués en début d’article. De plus, ce message n’indique pas la possible éléments externes eux aussi non sécurisés. Vous devez donc impérativement passer sur un protocole HTTPS (appelez votre développeur web maintenant!), et vérifier ensuite l’état de votre connexion afin de vous assurer que tous les éléments de votre site fonctionnent en HTTPS.
Si vous avez un site WordPress, n’oubliez pas d’effectuer une mise à jour WordPress pour assurer une connexion sécurisée.
Faites le test avant la mise à jour Chrome 81
Il existe plusieurs façons de détecter si et où votre site contient du contenu mixte. Vous pouvez par exemple essayer le vérificateur de sitecheck.
Si votre site contient des contenus mixtes, vous verrez apparaître un résultat de la sorte :
Que faire si votre site web contient du contenu mixte?
Il vous reste peu de temps avant la mise à jour Chrome 81. Si vous avez déjà installé votre certificat SSL (HTTPS) et que la redirection de HTTP à HTTPS fonctionne, recherchez simplement les contenus mixtes comme montré précédemment et remplacez-les par de nouveaux contenus. Cela devrait rapidement supprimer l’avertissement de contenu mixte présent à côté de l’URL de votre site. S’il persiste, certains scripts et autres éléments codés en dur, peut-être par votre développeur, devront être retirés manuellement à travers une recherche plus approfondie.
Autre ressource qui pourrait vous intéresser
- Consultez la dernière mise à jour Facebook IOS 14
