Google Chrome activera par défaut l’option « Always Use Secure Connections » à partir de la version Chrome 154 prévue pour octobre 2026, a indiqué l’entreprise dans une annonce officielle.

Concrètement, cette modification fera en sorte que Chrome demande l’accord de l’utilisateur avant d’ouvrir toute page publique qui n’utilise pas le protocole HTTPS. Un message d’alerte, que l’utilisateur pourra ignorer s’il le souhaite, expliquera brièvement les risques associés aux connexions non chiffrées.

Le déploiement se fera par étapes : la version Chrome 147 activera la fonction pour plus d’un milliard d’utilisateurs de la navigation renforcée (« Enhanced Safe Browsing ») en avril 2026, puis la configuration deviendra la valeur par défaut pour l’ensemble des utilisateurs environ six mois plus tard.

Modifications à venir et calendrier

Avertissement destiné aux sites publics

La nouvelle logique d’alerte concerne uniquement les sites accessibles publiquement. Les ressources jugées « privées » — telles que les adresses IP locales, les noms d’hôtes à étiquette unique et certains raccourcis internes — sont explicitement exclues du déclenchement du message.

Dans sa communication, l’équipe sécurité de Chrome explique que, bien que les navigations en HTTP vers des ressources privées comportent elles aussi des risques, elles présentent généralement moins d’expositions exploitables par un attaquant que les mêmes navigations vers des sites publics.

Les navigations HTTP vers des sites privés peuvent demeurer risquées, mais il existe généralement moins de vecteurs d’exploitation par rapport aux sites publics, car les chemins d’attaque sont plus limités dans des environnements restreints.

Voici un exemple visuel du message d’avertissement que verront les internautes :

Rythme d’affichage des avertissements

Pour limiter la fatigue liée aux notifications, Chrome adopte une stratégie visant à réduire la répétition des avertissements pour les mêmes sites consultés fréquemment. Autrement dit, un internaute ne verra pas le même avertissement à chaque visite d’un site non sécurisé.

Les données des tests internes indiquent qu’un utilisateur « médian » verra moins d’un avertissement par semaine en moyenne, tandis que 95 % des utilisateurs recevront moins de trois avertissements par semaine. Ces chiffres visent à équilibrer sécurité et confort d’utilisation.

État actuel de l’adoption du HTTPS

L’utilisation du HTTPS s’est stabilisée, oscillant actuellement entre 95 % et 99 % des navigations sur Chrome, tous environnements confondus. En ne prenant en compte que les sites publics, la part du HTTPS atteint généralement 97–99 % selon les plateformes.

Sur Windows, les visites vers des sites publics en HTTPS représentent environ 98 %. Les utilisateurs sur Android et macOS dépassent 99 %, tandis que Linux approche les 97 %.

En quoi cette décision a-t-elle de l’importance ?

Consulter des liens en HTTP expose les internautes à des menaces concrètes. Parce que le contenu transite en clair, un acteur malveillant présent sur le chemin de communication peut injecter des scripts, rediriger vers des pages d’hameçonnage, ou distribuer des logiciels malveillants sans que l’utilisateur s’en aperçoive.

L’adoption du HTTPS a fortement progressé entre 2015 et 2020, puis a ralenti : le dernier rapport de transparence de Google montre que la croissance s’est essoufflée. Les 1 à 5 % restants de trafic non chiffré représentent néanmoins des millions de requêtes quotidiennes, autant d’opportunités pour des attaques ciblées.

Le rapport de Google sur l’évolution du protocole HTTPS est disponible ici : rapport de transparence sur l’adoption du HTTPS.

Les exploitations les plus courantes liées au HTTP incluent :

• l’écoute ou l’interception des données sensibles (identifiants, tokens, cookies) ;
• la modification du contenu renvoyé à l’utilisateur (injections publicitaires, scripts malveillants) ;
• les redirections silencieuses vers des sites d’escroquerie ;
• les attaques de type « man-in-the-middle » (MITM) sur des réseaux non fiables.

Compte tenu de ces risques, Google a prévu une période d’adaptation : les responsables de sites web qui continuent d’exploiter uniquement le protocole HTTP disposeront d’environ un an avant que Chrome n’affiche l’avertissement par défaut à leurs visiteurs.

Conséquences pour les propriétaires de sites et bonnes pratiques de migration

Pour les administrateurs de sites web, la mise en conformité avec le HTTPS n’est plus seulement une bonne pratique recommandée : elle devient une exigence pratique pour éviter de voir ses visiteurs recevoir des avertissements susceptibles de nuire au trafic et à la confiance.

Voici un guide détaillé et neutre décrivant les étapes techniques et organisationnelles à envisager pour migrer correctement :

1. Obtenir et installer un certificat TLS

La première étape consiste à se doter d’un certificat valide. Plusieurs options existent : autorités commerciales, certificats gratuits via Let’s Encrypt, ou certificats fournis par des hébergeurs. Choisissez une solution qui prend en charge la gestion automatisée du renouvellement afin d’éviter des interruptions.

Points techniques :

• privilégiez TLS 1.2 ou supérieur ;
• activez des suites de chiffrement modernes et sûres ;
• veillez à la chaîne de certification complète (intermédiaires inclus) pour éviter les erreurs de validation.

2. Redirections 301 et canonicalisation

Implémentez des redirections permanentes (301) depuis les versions HTTP vers leurs équivalents HTTPS. Ces redirections doivent être configurées côté serveur et testées pour s’assurer qu’elles ne créent pas de boucles ni de pertes de paramètres importants dans les URLs.

Vérifiez également les balises et les URL générées dynamiquement par votre CMS pour qu’elles pointent vers la version sécurisée.

3. Corriger le contenu mixte

Le « contenu mixte » survient lorsqu’une page chargée via HTTPS inclut des ressources (images, scripts, CSS) servies en HTTP. Les navigateurs bloquent souvent certains types de contenu mixte et affichent des avertissements. Identifiez et remplacez toutes les références HTTP par des liens HTTPS ou des chemins relatifs.

Outils utiles : scanners de contenu mixte, rapports de la console développeur, crawlers capables d’analyser les ressources d’une page.

4. Mettre à jour les services tiers

Les widgets, CDN, APIs et autres services tiers doivent également offrir des accès en HTTPS. Contactez les fournisseurs qui ne proposent encore que le HTTP et planifiez leur remplacement ou la mise à niveau de l’intégration.

5. Configuration des en-têtes de sécurité

Une fois le HTTPS actif, renforcez la sécurité via des en-têtes appropriés :

• Strict-Transport-Security (HSTS) pour indiquer que le site doit être consulté uniquement en HTTPS ;
• Content-Security-Policy (CSP) pour réduire les risques d’injection ;
• Referrer-Policy, X-Frame-Options, et autres en-têtes pertinents selon le contexte.

Attention : l’activation d’un HSTS strict doit être précédée de tests car il peut rendre difficile le retour temporaire au HTTP s’il est mal configuré.

6. Mise à jour des outils SEO et des liens internes

Adaptez vos outils d’analyse, les paramètres Google Search Console / Bing Webmaster Tools, les fichiers sitemap, et mettez à jour tous les liens internes pour qu’ils pointent vers la version HTTPS. Vérifiez la santé des redirections et surveillez les erreurs 4xx/5xx après migration.

7. Tester et surveiller

Avant et après le passage au HTTPS, exécutez des audits réguliers :

• scans de vulnérabilités TLS ;
• analyse du contenu mixte ;
• monitoring des performances et du taux d’erreur ;
• suivi des indicateurs SEO (indexation, trafic organique).

8. Planifier la communication et le support

Bien que cette évolution ne doive pas être présentée comme une opération de marketing, informez votre équipe technique, vos partenaires intégrés et, si pertinent, vos utilisateurs professionnels des changements afin d’anticiper les incidents liés aux intégrations tierces ou aux certificats mal renouvelés.

Impacts potentiels sur le trafic et l’expérience utilisateur

Pour la majorité des sites qui ont déjà migré vers le HTTPS, l’impact devrait être minime. En revanche, les propriétaires de sites encore en HTTP risquent de constater :

• une augmentation des taux de rebond si l’avertissement dissuade une fraction d’utilisateurs ;
• une perte de confiance perçue par certains visiteurs moins à l’aise avec l’avertissement ;
• des effets secondaires sur le référencement si les redirections sont mal configurées (doublons, problèmes d’indexation).

Les équipes SEO doivent suivre de près les métriques clés après la migration : pages indexées, trafic organique, taux de conversion, temps de chargement, et erreurs remontées par les outils pour corriger rapidement les régressions.

Ce que fait Google pour faciliter la transition

Google a annoncé plusieurs mesures d’accompagnement :

• un déploiement progressif pour limiter l’effet « coupure » ;
• des campagnes d’information et des contacts ciblés avec les propriétaires des sites qui génèrent le plus de trafic en HTTP ;
• des évolutions techniques visant à réduire les obstacles à l’adoption du HTTPS sur les réseaux locaux et dispositifs privés.

Par exemple, la société a introduit une permission d’accès au réseau local permettant aux pages en HTTPS d’échanger avec des appareils privés une fois que l’utilisateur a autorisé la communication. Cela vise à pallier des cas où des ressources internes (imprimantes, caméras, NAS) n’étaient pas accessibles sans ouvrir des exceptions de sécurité.

Spécificités pour les environnements professionnels et éducatifs

Les organisations, établissements scolaires et structures administratives peuvent adapter la politique de Chrome selon leurs contraintes. Des stratégies d’entreprise permettent de :

• désactiver l’affichage automatique des avertissements pour certaines populations pilotées ;
• déployer des configurations de certificats internes gérées par des autorités de confiance centralisées ;
• définir des règles de compatibilité pour des dispositifs anciens ou des solutions métier ne supportant pas facilement le HTTPS.

Ces options administratives ont pour but d’offrir une trajectoire réaliste de migration tout en conservant un niveau opérationnel acceptable pour les systèmes critiques.

Cas particuliers et limitations

Plusieurs situations méritent une attention spécifique :

• Sites uniquement utilisés pour rediriger : certains domaines n’hébergent que des redirections HTTP vers des cibles en HTTPS. Ces intermédiaires représentent une faille potentielle car la redirection initiale en clair peut être substituée ou interceptée. Google cible précisément ces cas dans ses communications.
• Périphériques et réseaux locaux : des équipements embarqués ou des interfaces d’administration locale peuvent encore dépendre du HTTP. Les équipes doivent prévoir des solutions adaptées, par exemple l’octroi de certificats internes ou des VPN pour sécuriser l’accès.
• Anciens navigateurs ou systèmes : dans de rares environnements legacy, la prise en charge moderne de TLS peut être insuffisante ; l’approche recommandée consiste alors à isoler ces systèmes ou à prévoir des trajectoires de mise à niveau.

Comment suivre l’évolution et se préparer

Pour se préparer à ce changement à grande échelle, les administrateurs peuvent mettre en place plusieurs pratiques de suivi :

• surveillance active des logs serveur pour détecter des accès HTTP persistants ;
• inventaire des domaines et sous-domaines afin d’identifier les ressources non sécurisées ;
• tests automatisés des redirections et de la présence de contenu mixte ;
• audits périodiques des certificats et de leurs dates d’expiration.

Même si l’activation par défaut de « Always Use Secure Connections » ne constitue pas un changement brusque pour la plupart des sites, elle fournit une échéance claire pour terminer les migrations et supprimer les dernières traces de HTTP dans l’écosystème web.

Questions de confidentialité et d’expérience utilisateur

Le message d’avertissement mis en place par Chrome vise à informer, non à collecter davantage de données utilisateur. Les choix de l’utilisateur restent respectés : le message peut être ignoré, et les paramètres du navigateur permettent d’ajuster le comportement pour des usages spécifiques. Les principes de minimisation des nuisances s’appliquent : fréquence limitée des alertes et ciblage uniquement des sites publics.

Sur le plan de l’expérience, l’objectif est de réduire l’exposition aux attaques tout en maintenant une navigation fluide. Le compromis technico-ergonomique retenu par Chrome s’appuie sur des tests pour éviter des interruptions répétées et inutiles.

---

Image mise en avant : Philo Athanasiou/Shutterstock