Google s'apprête à activer par défaut la fonctionnalité « Toujours utiliser une connexion sécurisée » dans Chrome pour renforcer la protection des utilisateurs avec HTTPS. Le déploiement de cette mesure, qui vise à éliminer les dernières navigations via le protocole HTTP non sécurisé, s'étalera sur l'année 2026.
Un déploiement en deux étapes pour éradiquer les risques du HTTP
Constatant que l'adoption du HTTPS stagne depuis 2020, Google décidé pour accélérer la transition. A partir d'avril 2026, avec la sortie de Chrome 147, les utilisateurs ayant activé la navigation sécurisée renforcée bénéficieront de ce changement. La généralisation à tous les utilisateurs interviendra en octobre 2026 avec Chrome 154.
Une fois la fonctionnalité active, le navigateur demandera l'autorisation de l'utilisateur avant d'établir une première connexion à un site public qui n'utilise pas le protocole HTTPS et est donc HTTP. L'équipe Chrome justifie cette décision par la persistance de menaces bien réelles. « Les attaques de ce type ne sont pas hypothétiques »expliquent-ils, ajoutant qu'une seule navigation non sécurisée peut suffire à un pirate informatique pour compromettre un appareil via un logiciel malveillant ou une autre technique.
Cette politique HTTPS par défaut ne s'appliquera cependant pas aux sites privés, tels que les intranets d'entreprise ou les adresses IP locales utilisées pour configurer le matériel (comme 192.168.0.1). La raison est technique : il est complexe pour un site privé d'obtenir un certificat HTTPS valide.
Bien que ces connexions HTTP locales ne soient pas totalement sans risque, la menace est considérée comme intrinsèquement moindre que sur le Web public. En effet, il faudrait qu'un hacker se trouve au sein même du réseau local pour pouvoir exploiter une vulnérabilité, ce qui limite considérablement les vecteurs d'attaque.
