Le blog de Google Chromium annonce le remplacement du cadenas « à la fois pour souligner que la sécurité devrait être l'état par défaut et pour rendre les paramètres du site plus accessibles ».
L'équipe de sécurité de Chrome explique en effet que si, en 2013, seuls 14 % des sites du Top 1M d'Alexa avaient recours au HTTPS, « plus de 95 % des chargements de pages dans Chrome sur Windows » se font désormais via un canal sécurité utilisant HTTPS.
Cette « excellente nouvelle », à mesure que « HTTPS est devenu la norme, pas l'exception », les incite à réévaluer la pertinence de l'affichage du cadenas :
« L'icône du cadenas est censée indiquer que la connexion réseau est un canal sécurisé entre le navigateur et le site et qu'elle ne peut pas être altérée ou écoutée par des tiers, mais il s'agit d'un vestige d'une époque où le protocole HTTPS était peu répandu. »
Après avoir redessiné l'icône du cadenas en 2016 « après que nos recherches ont montré que de nombreux utilisateurs ne comprenaient pas ce que l'icône véhiculait », l'équipe sécurité de Chrome relève que, « malgré tous nos efforts, notre étude de 2021 a montré que seuls 11 % des participants à l'étude comprenaient correctement la signification précise de l'icône du cadenas » :
« Ce malentendu n'est pas anodin : presque tous les sites d'hameçonnage utilisent le protocole HTTPS et affichent donc également l'icône du cadenas. Les malentendus sont si répandus que de nombreuses organisations, dont le FBI, publient des conseils explicites indiquant que l'icône du cadenas n'est pas un indicateur de la sécurité d'un site web. »
Ce pourquoi l'équipe propose d'opter pour une icône plus neutre sur le plan de la sécurité, afin d'éviter tout malentendu quant à la prétendue sécurité des sites recourant au HTTPS. Son lancement est prévu pour Chrome 117, qui sortira début septembre 2023.
Google précise par ailleurs que Chrome continuera à afficher les pages HTTP en clair « comme non sécurisées ».
Commentaires (43)
#1
A la TV ici on a eu des “experts” qui prétendaient le contraire, ce serait bien que ces chaînes s’excusent de fake news en diffusant la vrai info (une vérification de l’URL et de l’éditeur du certificat serait une démarche un peu plus pertinente).
Sinon le HTTPS c’est pas mal, mais ça ne m’empêche pas de me demander si google s’intéresserait autant au HTTPS s’il n’avait pas créer de navigateur, ou plutôt si son discours ne serait pas l’inverse si c’était un constructeur d’équipement réseau.
#2
(La sécurité des données utilisateurs selon Google)
– Les utilisateurs ne comprennent pas la signification de l’icone “cadenas”.
– ok. Donc on va faire une icone plus compréhensible sur la sécurité d’une connexion ?
– Non.
– Ah. Donc on va étendre l’icone à la sécurité de la connexion + la réputation/menace du site ?
– Non. Ce qu’on va faire, c’est ne plus parler de sécurité et en faire un bouton de config.
– …. ???
#2.1
Cela me parait logique d’inverser le processus de pensée maintenant que le système est inversé. On met en valeur le truc qui apparait le moins souvent. Aujourd’hui c’est d’afficher un avertissement quand la page n’est pas en https. Cela a plus d’INpact.
Remplacer l’image du cadenas par une image de config est aussi une bonne idée car c’était déjà un bouton de config pour voir le certificat mais aussi autoriser la caméra, le géolocalisation… En gros il n’y a que l’image du bouton qui change, la fonction reste la même qu’avant.
#2.2
Zaktemant ce que je me suis dit …
#2.3
Il y a pas de raison, les équipementiers réseau on rien de particulier contre le https non plus.
Au contraire, ils parlent de sécurité de manière plus stricte. Avant les navigateurs ne disaient rien sur les connexions non chiffrée, maintenant ils indiquent qu’elles sont potentiellement dangereuses.
C’est comme sur ta voiture, tu n’as pas de voyants pour te dire que tes pneus sont bien gonflés, que ta batterie se recharge bien ou que ton moteur ne surchauffe pas. Les voyants s’allument quand il y a une situation particulière qui mérite d’être mentionnée, or maintenant les connexions chiffrées sont juste considérée la norme.
Les infos sur le chiffrement sont toujours accessibles si on le souhaite, mais pas besoin d’afficher un cadenas qui donne l’impression que le site est particulièrement sur alors qu’il ne l’est pas vraiment.
Malheureusement le EV pose certains problèmes, comme le fait que c’est trop facile d’obtenir un certificat avec un nom de société trompeur. C’est pour cela qu’ils ne sont plus affichés de manière particulière par les navigateurs : ça présentait plus de risques que de bénéfices.
#3
Pourquoi pas finalement. Dans Firefox, l’icône est déjà très discrète… trop discrète ? Dans le cas de certificats EV, comme pour les banques, j’ai souvenir qu’elle s’affichait en vert avec un encadré de la même couleur qui mettait en exergue le nom de l’institution. Ce n’est plus le cas actuellement, dommage.
En fait, pour en revenir au sujet initial, c’est plus l’absence de HTTPS qui doit être clairement mis en avant que sa présence. Non ?
#3.1
Non ce n’est plus le cas pour une raison peu claire depuis 2018-2019 pour Chrome et Firefox. J’avais remonté les commits côté Firefox et de mémoire il n’y avait pas vraiment de justification autre que “après tout les certifs EV et OV/DV sont des certificats ce qui revient au même pour l’utilisateur”.
Ceci est bien sûr faux car les EV proposent une vérification bien plus poussée, ce qui est fondamental pour la chaîne de confiance notamment pour l’e-commerce.
Je pense par exemple à tous les faux sites d’e-commerce qui usurpent des siren et qui ne passeraient jamais une validation EV.
A ce jour je ne comprends toujours pas cette décision surtout que ça ne coûtait franchement pas grand chose d’afficher le bandeau vert.
#3.2
J’ai retrouvé le billet de google qui explique le retrait de la green bar.
https://chromium.googlesource.com/chromium/src/+/HEAD/docs/security/ev-to-page-info.md
Je reste très sceptique vis à vis de la suppression de cette bande surtout pour les personnes plus averties, voir :
No one single study conclusively determines that EV UI is completely ineffective or cannot be made to be effective. However, we believe that the body of research, as well as the product principles outlined above, together strongly suggest that the EV UI does not belong in Chrome’s most visible UI surface.
Évidemment il faudrait analyser les études en profondeur mais je trouve ça regrettable de ne pas l’avoir au moins proposé en option surtout que la conclusion est loin d’être si tranchée que ça.
#4
J’ai lu la new sur leurs blog hier soir, je pense que ce n’est pas une mauvaise idée, en effet HTTPS n’indique pas qu’un site est fiable et une icône style “paramètre” serait mieux adapté.
Dans le même temps, les navigateurs devraient tous activer HTTPS pour tous les sites par défaut, il est incomphréhensible que Edge ne propose toujours pas l’option avec une bascule dans ses paramètres.
#4.1
Edge propose cette option. Je viens de regarder.
#5
La décision est très sensée. Il est plus important de mettre en évidence une insécurité avérée, telle que l’absence de HTTPS, que de donner un faux sentiment de sécurité au travers du cadenas.
#6
A l’époque où cette idée a été répandue, il fallait demander un certificat à une autorité de certification et fournir des justificatifs pour l’identité.
C’était peut être contournable, mais en gros, c’était compliqué d’avoir le cadenas.
Maintenant, grâce à let’s encrypt c’est facile d’avoir un certificat pour chiffrer les communications.
Du coup, il n’y a plus de vérification d’identité et les arnaqueurs peuvent avoir le cadenas.
Je précise que c’est une bonne chose, le https est là pour chiffrer.
Du coup, pas vraiment une fake news, juste une information qui avait du sens à une époque mais qui n’en a plus suite à l’évolution des normes.
C’est l’idée, sur firefox le https est sobre (juste un cadenas, pas de couleur), le manque de https a une grosse ligne rouge sur le cadenas.
Il y a aussi un gros avertissement dans les champs d’identification signalant que ce n’est pas sécurisé.
#6.1
Oui, mais ce que je regrette surtout, c’est que les sites avec certificats EV (vérification étendue) ne soient pas davantage mis en valeur comme auparavant. Lorsque tu es habitué à voir le site de ta banque “en vert” et qu’il finit par être indiqué comme n’importe quel autre site sécurisé, je trouve qu’on y perd un peu tout de même. D’autant que certaines banques mettaient en avant ce marquage supplémentaire comme un gage de sécurité (pas un site contrefait) auprès de leurs clients.
#6.2
Totalement d’accord. Je pense qu’il devrait y avoir un système spécifique pour la vérification d’identité qui se chargerait entre autre de certifier que le site n’est pas une arnaque.
Peut être un autre symbole que le cadenas pour éviter la confusion (ou alors un bon gros vert pour bien montrer que l’on peut faire confiance au site).
Notamment pour les banques ou autre établissement où le risque est important.
#6.3
Euh, let’s encrypt est une autorité de certification ! Et il faut aussi lui demander un certificat !
La différence, c’est que let’s encrypt c’est gratuit, automatisé (donc pas d’étapes manuelles fastidieuses), des certificats plus court à renouveler plus souvent.
Mais dans tous les cas, ça a toujours été “facile”, dans le sens possibilité d’avoir un certificat et pas celui de lourdingue avec des étapes manuelles, et pas besoin de justifier SON identité.
Ce qu’il faut justifier c’est la propriété du NDD auquel se destine le certificat ! Et ça, que ce soit une autorité de certification qui fait payer les certificats, ou let’s encrypt, c’est pareil ! Pas possible d’obtenir un certif d’un site qui ne t’appartient pas.
#6.4
Oui j’ai peut être fait un peu trop simplifié.
Mais de mémoire, avant tout était payant et je crois que les autorités de certification demandaient une pièce d’identité (car elles s’engageaient plus ou moins en certifiant), donc pas intéressant pour de l’arnaque
Mais oui, il y avait déjà des niveaux différents de certification (le plus basique demandait moins de vérifications).
Il n’est pas possible de certifier une combinaison server / domaine auquel tu n’as pas accès. Mais on peut certifier des noms proches, par exemple le propriétaire de http://www.bnp.com/ pourrait facilement le certifier et cloner l’interface de bnpparibasfortis (ils ont plein de sites, je n’ai pas retrouvé le .fr).
#7
Objection.
Inverser la logique ne dissipera pas le malentendu sur la sécurité:
Sauf que dans le cas #2, Google dit lui-même qu’une connexion HTTPS (donc sans avertissement) n’est pas synonyme de sécurité sur le site web visité. Donc le malentendu persiste.
#7.1
Le but est à mon avis de “déshabituer” les gens à croire que le cadenas signifie “site sûr” alors qu’en fait il signifiait juste “connexion chiffrée” ce qui n’a rien à voir avec la sureté d’un site visité, tout comme un certificat avec vérification d’identité signifie juste qu’on sait qui a demandé le certificat pas que cette personne est une personne de confiance (même si cela améliore fortement la confiance).
#7.2
Ben oui clairement https = c’est chiffré pas “le site est safe”
#8
Exemple concret avec Trustcor.
Chromium et Firefox ont supprimés le certificat. Possibilité aussi de le désactiver dans les paramètres Android, en attendant sa révocation total.
#9
Du coup, est-ce que le bon move ca n’aurait pas été de remplacer l’icone cadenas par une icone “certificat” ou “bouclier”:
#10
Le but ici est de faire comprendre aux utilisateurs que d’un, en cliquant sur le cadenas, ils ont accès à des paramètres comme le micro, la localisation, les capteurs de mouvements, la gestion des cookies de première partie et troisième partie etc, qu’ils peuvent modifier, et de deux, que le cadenas ne signifie pas que le site est digne de confiance, juste qu’il utilise TLS et un cerificat valide. De nombreux utilisateurs semblent ignorer selon l’étude que le bouton cadenas dans la barre URL est aussi un bouton paramètre, comme 95% des sites sont chiffrés par HTTPS, le cadenas affiché a perdu de sa valeur, et n’est plus adapté.
Les navigateurs devraient proposer par défaut la connexion automatique en HTTPS avec un message d’avertissement, ceci empêche de visiter un site non chiffré sans le vouloir, les sites en HTTPS peuvent contenir des éléments non sécurisés comme les images et sur Chromium, ses avertissements sont affichés, je ne sais plus pour Firefox. Je ne pense pas qu’il soit utile d’afficher un bouclier rouge, jaune et vert, pas besoin d’icônes redondantes si le navigateur se contente simplement d’afficher un message “non sécurisé” pour les liens en HTTP, qui sont de plus en plus rares, que le certificat soit EV ou non-EV ne devrait pas faire de différences pour l’utilisateur, c’est mon avis.
#10.1
Zaktemant ce que je me suis dit …
#11
Un retour de l’affichage explicite du nom des détenteurs de certificat EV serait peut-être un plus pour différencier un site de banque d’un site de phishing.
Je me demande pourquoi ça a été or agressivement caché dans un sous menu de l’icône cadenas…
#12
Quoi donc ? L’absence du cadenas ? Brave l’affiche toujours si on parle bien de la même chose, remplacer le cadenas par une icone plus approprié est une proposition en cours sur Chromium que tu peux essayer sur Chrome Canary, les navigateurs n’ont pas encore fait le changement.
#13
Comme dit précédemment, ils ont purement et simplement supprimé la notion de “sécurité” qui était derrière cette icone. Maintenant c’est juste un bouton de configuration.
Le parallèle avec les voyants de danger d’une voiture ne sont plus pertinent. Un voyant de signalement de danger, MEME S’IL EST ETEINT, donne une information sur le niveau de risque encouru. éteint=risque faible. allumé=risque élevé.
Bref, ce n’est plus une icone de signalement mais un bouton de config.
#14
Dans un sens la confusion se comprend. Il a été répété pendant des années que “cadenas = sécurité”. Aujourd’hui à cause du fishing qui est capable de produire une page cadenassée grâce à Let’s Encrypt, un site malveillant apparaît comme totalement légitime.
Et donc un site cadenassé n’est pas forcément un site de confiance.
Quand on connaît la technique, on sait ce que signifie le cadenas. Quand on ne connaît pas la technique derrière, ça prête à confusion.
Mais je suis pas certain que juste changer une icône lèvera cette confusion.
#15
Il est d’ailleurs cocasse de découvrir des sites institutionnels ou de “grosses” entreprises sans certificats/https. Et il y en a !
#16
Justement c’est pareil :
Le fait qu’on aie un bouton de configuration est normal. Le problème logique c’était avant, vu que le cadenas était abusé pour y mettre les éléments d’information et de configuration spécifique du site en cours, le chiffrement n’étant qu’un de ces éléments.
#17
Non, contemporain a let’s encrypt ils propageaient cette info, et avant let’s encrypt il y a déjà eu des cas d’achat de certificat avec des moyens frauduleux, des certificats délivrés avec des contrôles insuffisants, des pages perso qui héritaient du certificat du domaine, des sites HTTPS défacés avec la présentation qui va bien…
Dire “si il y a le petit cadenas tu peu rentrer ton numéro de CB” a toujours été le résultat d’un amalgame foireux et bien inférieur a la vérification de l’URL (elle même imparfaite mais c’est amha bien mieux).
Les équipementiers réseau peut-être, pas les équipementiers réseau qui font en plus régie publicitaire.
#18
Des exemples ?
#19
Rhalala, encore un exemple pour illustrer que les comparaisons bagnolesques sont toujours à côté de la plaque (probablement parce que la bagnole c’est toujours à côté de la plaque).
Un voyant éteint, peut aussi te donner le signal que le voyant est grillé.
#20
Et c’est considéré comme un défaut (“défaillance”). C’est d’ailleurs pour réduire ce risque que les voyants important s’allument tous au démarrage: pour vérifier qu’aucun n’est grillé.
Au contraire, un message d’avertissement qui ne s’affiche pas est un cas normal. Donc impossible de distinguer une défaillance (avertissement désactivé dans la config) du cas normal. Le fameux “pas de nouvelle, bonne nouvelle”.
#21
“5 minutes avant sa mort, il était encore vivant”. Et tant pis pour ce malheureux voyant pour qui ce dernier cycle allumage/extinction aura été fatal: il y a bien un signal électrique qui lui demande de dire à Penny qu’il y a une anomalie moteur, le fait qu’il soit grillé fait que Sheldon stressera sur autre chose durant le trajet.
#22
Yaka remplacer le cadenas vert par une clé jaune épicétout !
#23
J’apprends quelque chose. Wikipédia va dans le même sens :
#24
hey ouais… C’est pour cela qu’on parle de réduire un risque (afin qu’il soit acceptable) et pas de supprimer un risque.
A noter que certains composants de sécurité critiques sont parfois redondés, ou même autocontrôlés. Et la durée de vie des composants de sécurité critiques est prise en compte dans la détermination de l’intervalle entre deux maintenance/contrôle du véhicule.
Surtout sur les avions ^^
#25
Ca a toujours été possible facilement, ce n’est pas que grâce à Let’sEncrypt.
Avant Let’s Encrypt, j’obtenais un certificat SSL tout aussi facilement en postant un text sur un record DNS ou via un fichier hébergé sur le serveur. En somme , les mêmes techniques de vérification que chez Let’s Encrypt. C’est la gratuité qui a tout changé, mais je pense que ça a plutôt favorisé les petits serveurs légitimes pour le coup. Quand tu montes un site d’arnaque c’est pour en faire du bénéfice et c’est pas forcément compliqué de payer en brouillant les pistes (surtout si tu as déjà quelques cartes volées dans tes datas…)
Ca n’a jamais été un gage de légitimité. Ca certifie juste que la connexion entre le browser et le serveur est sécurisée et authentifié (on accède bien au serveur reconnu pour héberger le site sous ce nom de domaine). Le serveur peut être maintenu par des crapules ça ne change rien.
Le cadenas ne m’a jamais forcément posé de souci par rapport à ça. Mais effectivement, si ça fait des années qu’on dit à Madame Michu que ça veut dire qu’elle peut y déballer ses infos bancaires sans soucis, oui, il y a un intérêt à changer d’icône. Mais Let’s Encrypt n’y est pour rien ;)
#26
Comme qui dirait ma fille : le sous-titre de la niouze aurait pu être “cadena pouce!”
#27
#27.1
J’ai fait une recherche dans les paramètres, mais j’ai l’impression que c’est juste un hasard au final. Sur un autre PC c’est désactivé. MS doit activer des flags sur certaines config pour test.
#28
#28.1
Aucune idée. Sur le PC d’un ami, il a la nouvelle interface d’Edge sans qu’il ai fait quoi que se soit et en version publique.