Google avait prévenu plusieurs mois en amont, mais ça va surprendre quand même :
A partir de janvier 2017, si une page web non sécurisée fait mine de vous demander un mot de passe, votre navigateur affichera une mise en garde de sécurité.
L’idée de Google derrière cette mesure est de protéger l’internaute . S’il le souhaite, celui-ci pourra bien sûr passer outre l’avertissement, et saisir sur la page en question mot de passe et autres informations de formulaire, mais il le fera alors en toute connaissance de cause.
Précisons que ce n’est en place pour le moment que sur les dernières versions du navigateur Internet édité par Google : le célèbre Chrome, qui représente actuellement plus de 50% des parts de marché. (source: zdnet.fr)
Mais que vous utilisiez Google Chrome ou un browser concurrent, ce n’est qu’une question de temps avant que ce type de message ne vous apparaisse … ou apparaisse à l’écran de vos clients si votre site est concerné ?
Les navigateurs ne plaisantent plus avec la sécurité des données, et la généralisation des sites sécurisés est une tendance de fond . Tout site recueillant le moindre semblant d’information personnelle est fortement invité par les développeurs de navigateurs Internet à passer en https (S comme sécurisé) sous peine que ses visiteurs voient s’afficher des avertissements inquiétants sur le thème suivant :
Attention risque potentiel : ce site demande des informations sensibles mais la confidentialité de vos échanges avec lui n’est pas garantie.
On voit venir que pour certains sites, cette alerte sera quelque peu disproportionnée : ainsi seront concernés de simples forums fonctionnant par pseudo et mot de passe, et recueillant peu de données sensibles.
Mais qui dit mot de passe dit confidentialité, et un navigateur se doit de veiller sur les données personnelles de son utilisateur.
Au passage, quand on considère que Google gagne des milliards grâce aux données personnelles qu’il recueille sur ses utilisateurs, on peut voir là comme une ironie … mais ne confondons pas tout : chaque client de Gmail, Youtube ou autre service de Google, en acceptant les conditions d’utilisation, consent à cet usage.
Cette mesure va concerner les boutiques en ligne (propulsées par Prestashop ou autre CMS) fonctionnant de façon classique avec création de compte. Cette création de compte, nécessaire pour envoyer sa commande au client, implique généralement un mot de passe, afin que la fois suivante le client n’ait pas à tout ressaisir : les pages du site marchand où figurent le formulaire de connexion tomberont sous le coup de l’avertissement de sécurité si la boutique ne dispose pas d’une adresse en https, c’est-à-dire d’un certificat SSL/TLS .
HTTPS / site sécurisé / certificat SSL TLS, C’est quoi ?
C’est un peu la même chose… une fois que ça marche !
D’un point de vue technique, on appelle site sécurisé un site web disposant d’une adresse de type https ( et non pas http ) avec un « S » comme sécurité, donc – généralement le fait de saisir l’adresse en http vous redirigera automatiquement vers la version https – mais cette différence d’adresse n’est que la pointe émergée de l’iceberg : pour que tout se passe bien sans encombre pour les internautes, le responsable technique du site doit y installer et activer un certificat SSL/TLS .
Le SSL comme son successeur le TLS, qu’on amalgame souvent en SSL/TLS sont des protocoles de sécurisation. Lorsqu’ils sont respectés lors d’un échange, par exemple entre votre ordinateur et le site Internet de votre banque, ces protocoles garantissent :
- Que la communication se fait bien avec le site dont l’adresse est affichée
- Que les données échangées sont confidentielles ( car cryptées lors du trajet )
- Que les données sont intègres (pas d’infos perdues ou altérées en route)
C’est la validité de ce certificat SSL/TLS qui fait que le navigateur affichera un voyant au vert / un cadenas proprement verrouillé au niveau de l’adresse de la page, non loin du https.
J’ai un site, comment le passer en https ?
Pour un site dynamique propulsé par un CMS moderne comme Prestashop ou WordPress, l’opération est relativement simple – notamment si le SSL est mis en place dès la conception du site – et se résume à deux étapes :
- Activer le SSL du côté de l’hébergeur du site (ex: OVH gère ça simplement )
- Régler dans la configuration du CMS le fait que désormais, l’adresse du site commence par https et non plus http
En pratique cependant, pour un site Internet déjà en production, plusieurs points peuvent venir compliquer l’opération :
- Certaines images, logos ou icônes, appelés « en dur » dans le code HTML des pages, continueront après l’activation du SSL d’utiliser l’adresse en http : le navigateur annoncera alors à l’internaute que le certificat SSL est compromis. En effet pour qu’il soit valide il faut que la page n’encapsule aucune ressource qui ne soit pas sécurisée.
- De même si le thème graphique fait appel à certains scripts JS ou feuilles de styles CSS se trouvant sur un hébergement non sécurisé, un avertissement de sécurité apparaîtra.
Ce type d’erreurs, quand on en comprend la source exacte, est plutôt bénin, mais pour la plupart des internautes, l’avertissement de sécurité aura un effet dissuasif certain, qui peut conduire à quitter le site / abandonner son panier.
Il faut donc intervenir à divers niveaux sur le site (configuration générale, réglage des modules, customization du thème…) afin de faire « la chasse au non sécurisé » sur toutes les pages. - Enfin le passage en https doit également être répercuté dans la configuration de certains systèmes externes au site : typiquement, dans le cas d’une boutique en ligne, le paiement CB implique un dialogue entre le serveur hébergeant la boutique, et le serveur de la banque. Il faut que le serveur de la banque, au moment de confirmer un paiement, fasse bien appel à la page en https sous peine d’échec de l’opération. Lors de la mise en place du SSL, pour que le paiement en ligne continue de fonctionner, il faut donc faire le nécessaire auprès de la banque.
En résumé : le passage en SSL peut être une opération simple, mais au cas par cas divers types de complications peuvent surgir, en fonction du type de site, des modules et services utilisés.
Si vous gérez un site Internet déjà en production et que vous souhaitez le passer en https afin de protéger au mieux la confidentialité de vos clients, et leur éviter des messages d’avertissement inquiétants, il est recommandé de faire appel à un prestataire compétent qui vous accompagnera et vous évitera les diverses embûches possibles.
En cas de question, ou si vous avez besoin d’un devis, n’hésitez pas à utiliser le formulaire de contact.