Le 1er janvier 2017, Google qualifie de dangereux les sites dépourvus de cryptage SSL. Cet article décrit dans un premier temps ce qu’il peut être entrepris pour contrer ce problème et s’attache ensuite à expliquer par des exemples concrets comment le cryptage SSL fonctionne.
Avec un joli chiffre de 73,8%, Google Chrome est le navigateur le plus utilisé dans le monde entier. Vient ensuite Mozilla Firefox, avec 15%. Actuellement, les sites web non cryptés sont accompagnés au sein des deux navigateurs d’un petit "i" encerclé. Un clic sur l’icône renseigne que "la connexion n’est pas sûre".
Cependant, à partir de janvier 2017, le navigateur Google Chrome émet sous sa version 56 un avertissement quand une page web ne contient aucun certificat SSL. Très prochainement, il a aussi été prévu que les utilisateurs de Google Chrome soient avertis quand d’autres espaces du site ne sont pas sécurisés. À quoi cela devrait-il concrètement ressembler, ce n’est pas encore connu.
Illustration 1 : Parts du marché mondial des navigateurs en novembre 2016.
Quand un site web sécurisé est ouvert, le serveur requis fournit un certificat. Ce dernier est délivré par un Certification Authority (CA). Des CA renommés sont par exemple Symantec, Thawte ou GlobalSign. Avec ce certificat, l’utilisateur est en capacité de vérifier l’identité du serveur et la validité du cryptage.
Le chiffrement lui-même utilise toujours un processus de clé publique. Les données sont d’abord codées au cours du transfert, puis seront décodées à leur réception. Si les données sont récupérées au moment de leur transfert à partir du serveur, elles seront inemployables du fait de leur cryptage.
Illustration 2 : Présentation graphique du fonctionnement du SSL/TLS
Un cadenas vert indique aux utilisateurs, sur le côté de gauche de l’URL, que le site dispose d’un certificat SSL. Les données qui sont transférées sur cette page sont cryptées et donc protégées contre l’accès et la manipulation par des tiers.
On peut s’avoir si un site web est sécurisé par un protocole au moyen de ce cadenas, mais aussi grâce au HTTPS. Dans le cas où des problèmes de connexion au site web ou lors de l’intégration du certificat seraient rencontrés, un petit triangle rouge sera affiché dans la barre de navigation.
SSL et TLS sont deux termes différents pour une seule chose. Il s’agit dans les deux cas du cryptage des pages web via l’utilisation d’un protocole hybride. Le TLS (Transport Layer Security) décrit le développement du SSL (Secure Sockets Layer). La désignation TLS s’est pourtant établie dans de nombreuses régions, mais reste tout à fait inconnue dans d’autres. Compte tenu de ce fait, de nombreux fournisseurs d’accès Internet utilisent le terme SSL.
Deux ans après le coup d’envoi de l’offensive de sécurité "HTTPS Everywhere", les premiers succès ont été visibles. Au mois d’octobre, la moitié des sites web du monde entier sont équipés du cryptage SSL. Ce résultat se base sur les données télémétriques de Google et Mozilla Firefox.
Le rapport de transparence de Google révèle que :
WordPress, avec une part de marché haute de 58,8% (ce qui fait de lui le premier CMS mondial), a donc pris la résolution suivante :
Son fondateur Matt Mullenweg a fait savoir dans un article de son blog que dès l’année prochaine, des changements entreront en vigueur. Ainsi, si ses dires sont vrais, certaines fonctionnalités pourraient être introduites et seraient disponibles uniquement pour les sites web qui supportent le protocole HTTPS. En outre, les hébergeurs qui ne proposent pas de cryptage SSL standard ne seront plus soutenus et promus.
Illustration 3 : Part des sites web sécurisées (échelle mondiale)
Les géants d’actualités comme cnn.com. forbes.com et le dailymail.co.uk sont de mauvais exemples : ils n’utilisent actuellement aucun chiffrement. Cette décision de ne pas sécuriser leurs propres sites web est totalement consciente et voulue de la part de ces portails d’actualités : sous certaines circonstances, la livraison de publicité peut être entravée par le système HTTPS. En effet, les annonces qui ne se conforment pas au SSL sont automatiquement retirées de AdSense.
Cependant, les annonces qui sont compatibles avec un protocole de cryptage génèrent souvent un plus mauvais chiffre d’affaires après leur changement en HTTPS. Les recettes publicitaires diminuent de 35%. Il faut cependant toujours se rappeler que les connexions non sécurisées représentent un risque qui ne devrait pas être envisagé. Il y a toutefois encore un long chemin à parcourir avant d’arriver à l’objectif clairement défini de Google Chrome, qui est un cryptage SSL omniprésent sur le réseau.
Illustration 4 : Avertissement actuel relatif aux pages non cryptées sur Google Chrome et Mozilla Firefox.
Outre les grands portails d’actualité, les moyennes entreprises ont aussi besoin de s’améliorer. Environ 50% d’entres elles utilisent un cryptage SSL. Les raisons de cette utilisation restreinte d’un protocole de sécurité est la perte potentielle de revenus liés au domaine publicitaire, mais aussi le manque de règles de conformité dans l’entreprise ainsi que les problèmes rencontrés par les utilisateurs.
La prise de conscience générale des risques a cependant lieu : plus de trois quarts des entreprises interrogées sécurisent leurs données sur un système de sauvegarde spécial, et presque deux tiers d’entre elles possèdent un logiciel de cryptage des e-mails en cours d’utilisation. L’utilisation du protocole n’est donc pas saugrenue : le SSL est bien pris en compte.
Un cryptage SSL augmente la confiance des clients vis-à-vis d’une entreprise dans le cas de démarches en ligne. En dehors du client et du serveur, aucun tiers n’a accès aux données et ne peut lire les communications ou les manipuler. Le symbole de cryptage équivaut à un label de qualité. Les utilisateurs restent plus longtemps sur une page et le taux de rebond diminue.
Cela vaut particulièrement dans le domaine du e-commerce. Le symbole du cryptage conduit à une énorme réduction des abandons dans les transactions d’achat, surtout si les sceaux sécurisés sont affichés sur la page. Un faible taux de rebond aura une incidence positive sur la visibilité dans les moteurs de recherche et peut conduire à de meilleures positions dans les SERP. De plus, Google considère depuis 2014 le SSL comme un facteur de classement. Avec une part de 92,45% sur le marché des moteurs de recherche, Google montre clairement la marche à suivre.
Illustration 5 : Part de marché des moteurs de recherche en France
Un autre avantage qui se présente pour les webmasters est une augmentation de la qualité des données. Si un utilisateur passe d’une page sécurisée à une qui ne l’est pas, le referrer sera perdu. Dans le cadre de la web analytique, cela signifie que l’URL initiale sera supprimée et seulement la page non cryptée sera retenue en tant que visite unique dans Google Analytics.
Au contraire, si on passe d’une page non chiffrée à une page sécurisée par le SSL, le referrer reste le même et la qualité des données augmente. L’intégration d’un certificat SSL apporte ainsi des avantages décisifs qui ne doivent pas être ignorés.
En 2017, l’intégration d’un certificat SSL n’est plus un bon conseil, c’est une nécessité. C’est presque sûr que cet aspect va devenir un nouveau standard au cours des prochaines années chez Google Chrome, Mozilla Firefox et WordPress.
En janvier 2017, Google Chrome met déjà en garde contre les sites non-chiffrés. WordPress, de son côté, n’apporte petit à petit plus aucun support aux pages qui ne contiennent pas le protocole HTTPS. Tous ces aspects sont de fortes incitations à la conversion vers le SSL. Une confiance supérieure de l’utilisateur, de meilleurs chances de référencement et la sécurité des données sont les arguments les plus forts qui parlent en faveur du SSL.
Écrit le 31.01.2017 par Michael Piotrowski.
Suivi, analyse et optimisation de vos actifs numériques grâce à notre technologie unique
S’inscrire gratuitement