Fermer
Google

Google lance une liste noire des sites qui obligent la connexion en HTTP

Google a poussé les sites à commencer à utiliser HTTPS depuis un certain temps maintenant, en espérant que cela contribuerait à forcer le monde à davantage se sécuriser. Maintenant, Google marque des sites nouvellement enregistrés qui demandent aux personnes de saisir les données de connexion et les mots de passe sur une connexion HTTP, jugée comme dangereuse.

Selon le cabinet de sécurité Sucuri, Google a commencé à créer des listes noires sur certains sites, et à y ajouter le flag « Content Deceptive », même s’ils sont clean, et ne chargent pas de ressources externes.

La raison derrière ce choix est que les sites Web utilisent seulement le protocole HTTP, même s’ils contiennent des champs de mot de passe ou de mot de passe. Tout ce que Google attend pour supprimer ce flag est de recevoir un certificat SSL/TLS. « Lors de l’enquête, les sites Web contenaient des pages de connexion ou des champs de saisie de mot de passe qui n’étaient pas livrés en HTTPS. Cela pourrait signifier que Google élargit sa définition du phishing et montre sa déception pour inclure des sites Web qui permettent aux utilisateurs d’entrer des informations sensibles en HTTP », note Sucuri.

Le support SSL ne date pas d’aujourd’hui

Google a poussé le SSL comme une norme de meilleures pratiques sur le Web depuis des années, donc il n’est pas surprenant que la firme adopte une position beaucoup plus forte et agressive.

Par exemple, en 2014, Google a déclaré que le HTTPS aide les sites Web à être classé plus haut dans leurs résultats de moteurs de recherche. Plus tôt cette année, la firme a déployé le flag « Non sécurisé » sur Chrome lorsque les sites Web HTTP portaient sur des cartes de crédit ou des mots de passe. Maintenant, vous pouvez voir cette information dans Chrome juste à côté du champ d’adresse, parallèlement aux avertissements concernant les risques que les utilisateurs prennent lors de la visite de ces sites non protégés. Alors que le HTTPS fonctionne comme un signe de sécurité en ligne, il est également intéressant de noter que Google n’affiche pas beaucoup d’informations sur la barre d’adresse lorsque vous visitez un site Web non sécurisé, du moins plus maintenant. Il affiche uniquement un subtil symbole “i” qui, lorsque l’on clique dessus, indique “Vous ne devriez pas saisir d’informations sensibles sur ce site (par exemple, vos mots de passe ou les informations de votre carte de paiement), car elles risquent d’être dérobées par des pirates informatiques”.

À ce jour, comme le souligne Sucuri, Google a le pouvoir de réduire le trafic d’un site de 95 % avec ses avertissements sur liste noire. Cela signifie que ce dernier passage de Google peut être le plus efficace, poussant ainsi les administrateurs d’un site à activer le SSL.

Mots-clé : GooglehttpHTTPS
Yohann Poiron

L’auteur Yohann Poiron

J’ai fondé le BlogNT en 2010. Autodidacte en matière de développement de sites en PHP, j’ai toujours poussé ma curiosité sur les sujets et les actualités du Web. Je suis actuellement engagé en tant qu’architecte interopérabilité.