Il est temps que HTTPS devienne la valeur par défaut

• À partir de Chrome 154, dont la sortie est prévue en octobre 2026, le paramètre par défaut du navigateur passera à « Toujours utiliser des connexions sécurisées (Always Use Secure Connections) »
• Ce réglage affiche un avertissement et une demande d’autorisation lorsqu’un utilisateur accède à un site public sans HTTPS
• Le taux d’adoption de HTTPS est passé de 30 à 45 % en 2015 à 95 à 99 % en 2020, mais il stagne depuis
• Chrome prévoit d’activer par défaut un mode imposant HTTPS limité aux sites publics, afin d’améliorer la sécurité tout en réduisant au minimum la gêne pour les utilisateurs
• Ce changement vise à renforcer la sécurité du Web dans son ensemble et à minimiser les risques restants liés à HTTP

Changement du paramètre par défaut de Chrome

• À partir de Chrome 154, qui sortira en octobre 2026, le paramètre « Always Use Secure Connections » sera activé par défaut
  • Lors du premier accès à un site public sans HTTPS, un avertissement et une demande d’autorisation seront affichés à l’utilisateur
  • Dans Chrome 147 (avril 2026), la mesure sera d’abord appliquée à plus d’un milliard d’utilisateurs d’Enhanced Safe Browsing
• Les utilisateurs pourront désactiver ce paramètre s’ils le souhaitent

État du déploiement de HTTPS

• Depuis plus de 10 ans, Google suit le taux d’utilisation de HTTPS dans Chrome via le rapport de transparence HTTPS
  • De 30 à 45 % en 2015 à 95 à 99 % en 2020
  • Depuis, la progression s’est stabilisée
• Ce niveau d’adoption élevé permet désormais d’envisager des mesures plus fermes contre le trafic HTTP restant

Trouver l’équilibre entre sécurité des utilisateurs et réduction des avertissements

• Même si 95 % du trafic total passe par HTTPS, les 5 % restants en HTTP constituent toujours un risque
• Chrome réduit la gêne pour les utilisateurs en évitant les avertissements répétés pour un même site
  • Aucun avertissement répété n’est affiché pour les sites non sécurisés fréquemment visités
• Les sites privés (par ex. 192.168.0.1, intranet, etc.) utilisent encore souvent HTTP, car il est difficile d’obtenir des certificats
  • Comme ces sites présentent un risque plus faible, les avertissements seront limités aux seuls sites publics
• D’après les résultats des expérimentations, dans le mode réservé aux sites publics, le taux d’apparition des avertissements est inférieur à 3 %, et la plupart des utilisateurs n’en verront pas plus d’un par semaine

Usage actuel de HTTP et mesures d’amélioration

• Une part importante du trafic HTTP provient des requêtes initiales redirigées ensuite vers HTTPS
• Les pages de configuration d’appareils sur le réseau local utilisent souvent HTTP en raison de problèmes de certificats
• Chrome introduit la fonctionnalité Local Network Access Permission
  • Même depuis une page HTTPS, l’accès au réseau local sera possible après consentement de l’utilisateur
  • Cela élargit les possibilités de migration vers HTTPS pour les pages de configuration des appareils locaux

Informations pour les développeurs et les administrateurs IT

• Il est recommandé aux développeurs de sites web et aux administrateurs IT d’activer dès maintenant le paramètre « Always Use Secure Connections » afin de vérifier quels sites seront affectés
• Dans les environnements d’administration de Chrome (entreprises, établissements d’enseignement, etc.), la documentation officielle permet de consulter
  • les conditions d’affichage des avertissements
  • les méthodes d’atténuation
  • les modalités de configuration des politiques par organisation

Suite du plan

• Google s’est également fixé pour objectif supplémentaire d’alléger les obstacles à l’adoption de HTTPS pour les sites sur réseau local