Google s’apprête à activer par défaut la fonctionnalité « Toujours utiliser une connexion sécurisée » dans Chrome afin de renforcer la protection des utilisateurs avec le HTTPS. Le déploiement de cette mesure, qui vise à éliminer les dernières navigations via le protocole HTTP non sécurisé, s’étalera sur l’année 2026.
Un déploiement en deux temps pour éradiquer les risques du HTTP
Constatant que l’adoption du HTTPS stagne depuis 2020, Google a décidé d’accélérer la transition. Dès avril 2026, avec la sortie de Chrome 147, les utilisateurs ayant activé la navigation sécurisée améliorée bénéficieront de ce changement. La généralisation à tous les utilisateurs interviendra en octobre 2026 avec Chrome 154.
Une fois la fonctionnalité active, le navigateur demandera la permission de l’utilisateur avant d’établir une première connexion à un site public qui n’utilise pas le protocole HTTPS et qui est donc en HTTP. L’équipe de Chrome justifie cette décision par la persistance de menaces bien réelles. « Les attaques de ce type ne sont pas hypothétiques », expliquent-ils, ajoutant qu’une seule navigation non sécurisée peut suffire à un hacker pour compromettre un appareil via un malware ou une autre technique.
Cette politique de HTTPS par défaut ne s’appliquera cependant pas aux sites privés, tels que les intranets d’entreprise ou les adresses IP locales utilisées pour configurer du matériel (comme 192.168.0.1). La raison est d’ordre technique : il est complexe pour un site privé d’obtenir un certificat HTTPS valide.
Bien que ces connexions HTTP locales ne soient pas totalement sans risque, la menace est jugée intrinsèquement moins élevée que sur le Web public. En effet, un pirate devrait se trouver au sein même du réseau local pour pouvoir exploiter une faille, ce qui limite considérablement les vecteurs d’attaque.
