Une grande partie du Web est passée aux liens sécurisés : lorsque vous tapez sur un site comme pcworld.com, ses pages sont diffusées via une connexion https (« protocole de transfert hypertexte sécurisé ») plutôt que via http non sécurisé. Mais tous les opérateurs de sites Web ne l’ont pas encore fait.
Du point de vue de la sécurité, http laisse les utilisateurs ouverts aux exploits. Essayez de charger une connexion http et vous ouvrez une fenêtre permettant aux mauvais acteurs d’insérer des exploits, des logiciels malveillants ou des attaques d’ingénierie sociale.
L’équipe de développement de Chrome sait qu’il s’agit d’un problème. Dans un an, le navigateur modifiera donc son approche. À partir d’octobre 2026, avec la sortie de Chrome 154, Chrome interdira par défaut toutes les connexions http.
Mais attendspourriez-vous dire. J’ai déjà vu des sites Chrome signaler une erreur de confidentialité car ils n’étaient pas servis via https.. Oui, vous avez raison. Cet avertissement existe depuis un certain temps, mais il ne bloque pas la connexion. Il apparaît également uniquement pour les sites qui sont uniquement diffusés en http. Chrome ne signale ni ne bloque encore les connexions qui tentent d’atteindre d’abord le site http, puis sont automatiquement redirigées vers une version servie via https.
Comme le souligne le billet de blog de Google sur ce changement à venir, même ce type de redirection offre l’ouverture dont un attaquant aurait besoin. Pire encore, comme l’avertissement « Non sécurisé » n’apparaît pas actuellement dans Chrome, les utilisateurs ne savent même pas qu’ils se sont rendus vulnérables à ce moment-là.
Pourquoi maintenant passer au https par défaut ? Ce changement était planifié depuis longtemps, le point de bascule étant influencé par les taux d’adoption du https sur le Web. À partir de ses propres statistiques, Google estime le nombre de sites proposant des connexions https entre 95 et 99 pour cent, contre seulement 30 à 45 pour cent en 2015.
Si vous craignez de recevoir des avertissements constants (semblables à ces notifications omniprésentes de paramètres de cookies), Google n’a pas tardé à garantir qu’il équilibrerait la sécurité et la convivialité. Cette valeur par défaut s’appliquera aux sites publics, qui utilisent majoritairement https par défaut. Le point de friction concernera davantage les sites privés comme l’adresse IP d’un routeur (par exemple, 192.168.1.1), mais Chrome n’affichera un avertissement que sur les sites nouveaux ou peu visités.
Quant à la raison du long déploiement, le calendrier permet aux sites Web de passer entièrement à la diffusion de pages via https. Chrome intégrera également les utilisateurs à cette nouvelle valeur par défaut. Les personnes déjà inscrites à la navigation sécurisée améliorée seront déplacées vers « Toujours utiliser des connexions sécurisées » par défaut à partir de Chrome 147, dont la sortie est prévue en avril 2026.
La bonne nouvelle est que, selon les propres tests de Google, les utilisateurs verront rarement des avertissements contextuels intrusifs. Il n’y a donc vraiment aucune raison d’attendre que le changement se produise finalement. Vous pouvez désormais effectuer le changement manuellement vous-même.
Naviguez simplement dans Chrome pour chrome://paramètres/sécuritépuis faites défiler vers le bas et actionnez la bascule pour Utilisez toujours des connexions sécurisées. Dans les rares cas où vous voyez des connexions http, vous verrez d’abord un écran d’avertissement concernant un manque de https. Si vous continuez, la page se chargera et vous verrez l’avertissement d’erreur de confidentialité familier, qui vous oblige toujours à cliquer plusieurs fois avant de voir le site.
