Le futur du web sera sécurisé, ou ne sera pas. À terme, tous les sites devraient être accessibles grâce au protocole HTTPS et non plus le vénérable HTTP qui est beaucoup moins satisfaisant sur le plan de la sécurité. La présence du « S » dans l’URL certifie que le site que l’on visite n’est pas une copie malicieuse, mais ce protocole assure aussi que les communications entre votre ordinateur et le serveur qui héberge le site ne peuvent pas être interceptées.
On a l’habitude de voir ces sites protégés sur les boutiques en ligne et tous les sites qui gèrent des données sensibles, comme votre numéro de carte bleue, ou encore vos avis d’imposition. Mais plusieurs acteurs majeurs mettent leurs poids dans la balance pour que tous les sites passent au HTTPS et que la sécurité devienne la norme. Google avait déjà indiqué que ses algorithmes favoriseront à terme les sites sécurisés, c’est au tour de la fondation Mozilla de mettre en avant ses arguments.
Et le créateur de Firefox n’y va pas de main-morte en annonçant, en fin de semaine dernière, son intention de déprécier le web non-sécurisé. Les sites qui utiliseront le protocole HTTP au lieu du HTTPS n’auront progressivement qu’une version inférieure du navigateur, avec moins de fonction et, à terme, plus d’accès du tout.
Naturellement, la fondation ne veut pas bloquer tous les sites non-sécurisés — qui restent encore ultra-majoritaires — du jour au lendemain. Comme elle l’indique dans une foire aux questions chargée de rassurer les webmasters, il ne s’agit à ce jour que d’une note d’intention. Pour forcer la cadence, Mozilla prévient qu’un jour, les sites sans protection seront défavorisés par rapport à ceux qui sont correctement configurés en HTTPS.
Le changement devrait être très progressif toutefois : la première étape, qui n’a même pas de date à ce stade, consistera à réserver certaines nouvelles fonctionnalités aux sites sécurisés. Dans un deuxième temps seulement, des fonctions existantes seront retirées pour les sites sans sécurité. La fondation Mozilla veut toutefois prendre son temps pour que le retrait de fonctions essentielles et qui pourraient bloquer certains sites ne se fasse que si le gain côté sécurité compense la disparition des fonctions en questions.
Malgré tout, le message est très clair : il est temps de passer au HTTPS. Jusque-là, ce processus est toutefois complexe et assez coûteux, même si Mozilla cite deux fournisseurs de certificats gratuits (WoSign et StartSSL). À l’heure actuelle, le plus simple est peut-être de reposer sur CloudFlare, service gratuit qui ajoute un intermédiaire à votre site pour le sécuriser. Les choses évoluent toutefois et le HTTPS devrait rapidement devenir une formalité gratuite.
La fondation Mozilla ne s’arrête pas à des consignes, d’ailleurs : elle finance aussi, avec d’autres acteurs majeures comme l’EFF ou Akamai, le projet Let’s Encrypt. À son lancement, toujours prévu pour le milieu de l’année, ce service permettra d’obtenir un certificat gratuit de façon automatisée.
Voilà qui devrait faciliter le déploiement de cette couche de sécurité, qui est parfois plus étendue qu’on ne pourrait le croire. Un exemple : le réseau de blogs WordPress.com qui héberge des dizaines et des dizaines de millions de sites (plus de 18 millions de blogs créés en 2014) est d’ores et déjà entièrement sécurisé.
