Google a confirmé que Chrome activera par défaut le paramètre Toujours utiliser les connexions sécurisées à partir d'octobre 2026. Cette fonction, optionnelle depuis 2022, tentera de forcer le HTTPS sur tous les sites. Si un site public n'est pas sécurisé, le navigateur demandera la permission de l'utilisateur avant d'y accéder.
La fin d'une ère : le HTTP vit ses derniers instants
Google s'apprête à porter le coup de grâce au HTTP. L'entreprise a annoncé que le paramètre Toujours utiliser les connexions sécurisées sera activé par défaut pour tous les utilisateurs de Chrome 154, prévu pour octobre 2026. La raison de ce changement est un constat simple : l'adoption du HTTPS stagne.
Après une progression fulgurante entre 2015 et 2020, la part des navigations sécurisées s'est stabilisée entre 95 et 99 %. Si ce chiffre semble élevé, les quelques points de pourcentage restants représentent des milliards de navigations à risque. Google rappelle qu'une seule connexion HTTP non sécurisée suffit à un attaquant pour intercepter le trafic, injecter des malwares ou détourner l'utilisateur.
Taux d'adoption du HTTPS
Un avertissement pour vous protéger, mais sans harcèlement
Concrètement, une fois la fonction active, Chrome tentera de charger toutes les pages en HTTPS. Si le site ne le propose pas, un avertissement s'affichera, que l'utilisateur pourra ignorer pour accéder tout de même au site. Google se veut toutefois pragmatique et veut éviter de harceler ses utilisateurs. Le navigateur ne remontera pas d'alerte pour un site non sécurisé que vous visitez régulièrement. Une expérimentation a montré que l'utilisateur médian verrait moins d'un avertissement par semaine. Le déploiement sera progressif : les utilisateurs ayant activé la Navigation sécurisée améliorée (Enhanced Safe Browsing) recevront la mise à jour dès avril 2026 (via Chrome 147).
Les sites privés et locaux ne sont pas concernés
Le détail le plus important est que cette mesure ne concernera, par défaut, que les sites publics. Les sites privés ou locaux, comme les adresses IP (type 192.168.0.1 pour un routeur) ou les intranets d'entreprise, sont exclus. La raison est double : obtenir un certificat HTTPS pour ces noms non uniques est complexe, et le risque est jugé moins critique, car un attaquant devrait déjà se trouver sur le même réseau local (Wi-Fi domestique ou d'entreprise) pour en abuser. Il reste possible d'activer manuellement la protection pour ces sites privés dans les réglages.
On en dit quoi ?
Ce n'est pas une révolution, mais plutôt la fin logique d'une transition entamée il y a dix ans. Google officialise le HTTPS comme le standard minimal du web. En réalité, d'autres navigateurs plus axés sur la sécurité, comme Brave ou Tor, le font déjà. Mais quand Chrome, avec son écrasante part de marché, bouge, c'est tout l'écosystème qui doit suivre. Le fait de se concentrer uniquement sur les sites publics et d'éviter les avertissements répétés montre que Google a trouvé un équilibre pour ne pas trop gonfler les utilisateurs. La manœuvre vise surtout à forcer la main aux derniers sites HTTP récalcitrants, dont beaucoup ne sont que des redirections non sécurisées vers des sites sécurisés, une faille auparavant invisible pour l'utilisateur.
