SSL Archives - Page 3 sur 3 - L'actualité cybersécurité, propriété intellectuelle et noms de domaine

La transition HTTPS enclenchée

Depuis les récentes annonces de Google sur la nécessité de passer votre site en HTTPS sous peine de déréférencement du web, il est temps pour les DSI d’enclencher la transition. Mais cela n’est pas sans impact sur le référencement, et se prépare en amont.

Les raisons du passage en HTTPS sont assez simples : plus de sécurité pour les internautes, plus de confiance, plus de référencement (si un malware est détecté par Google, le SEO peut être impacté), un meilleur taux de rebond, donc plus de chiffre d’affaires. Et puis de manière pragmatique, si Google le dit…avons-nous vraiment le choix ?

Nous avons trouvé les 10 étapes pour passer en HTTPS sans impacter le SEO, et Dimitri Fontaine, directeur IT de Leboncoin confirme d’ailleurs que leur transition s’était déroulée sans encombre.

Acheter et installer un certificat sur le serveur
Activer HTTPS sur le serveur
Choisir la bonne liste de ciphers
Mettre à jour les contenus HTTP en HTTPS (liens internes, images, scripts, pubs, etc)
Activer le nouveau site HTTPS sur Search Console
Envoyer le nouveau sitemap HTTPS
Mettre en place les redirections d’URL HTTP vers les URL HTTPS
Tester
Configurer Google Analytics en HTTPS afin que les nouvelles visites soient prises en compte sans perdre l’historique
Suivre la migration sur Search Console afin de détecter d’éventuelles erreurs

Contrairement à ce qu’on pourrait croire, le trafic SEO du site leboncoin.fr est très faible car la plupart de la navigation se fait en trafic direct. Ainsi, le passage en HTTPS de ce site français de petites annonces a été moins stressant que pour d’autres.

Dimitri Fontaine reconnait que l’opération est moins risquée lorsqu’il n’existe pas une forte dépendance au SEO car le changement de protocole entraînera une perte de trafic SEO, même temporaire. En termes de coûts, ils ont été limités car ce site franco-français n’utilise pas de CDN (qui peut engendrer des facturations supplémentaires de la part du fournisseur liées à l’utilisation du HTTPS). Cela implique bien entendu des coûts humains, relatifs au temps passé par les équipes à vérifier le code dans chaque page. La direction de Leboncoin a décidé la migration HTTPS car le rapport coûts/bénéfices est intéressant. Google a annoncé un meilleur référencement, cependant, à ce jour, aucune conséquence sur le SEO n’a pu être mesurée.

La meilleure raison pour passer en HTTPS reste avant tout la sécurité apportée aux utilisateurs du site, apportant une marque de confiance.

Pour plus d’informations sur l’utilisation du HTTPS, retrouvez l’article de Christophe Gérard sur le blog : https://blog.nameshield.com/fr/2017/03/29/vers-un-web-100-crypte-les-nouveaux-challenges-du-https/

Vers un web 100% chiffré, les nouveaux challenges du HTTPS

Entre mars 2016 et mars 2017, Let’s Encrypt a émis 15 270 certificats SSL contenant le terme « PayPal » ; 14 766 d’entre eux ont été émis pour des domaines menant vers des sites de phishing. C’est le résultat de la récente analyse menée par Vincent Lynch, expert SSL.

Lynch s’est intéressé de près à ce cas à la suite d’un article très intéressant publié par Eric Lawrence (Google Chrome Security Team) en janvier 2017, le visuel ci-dessus est tiré de cet article, dénommé « Certified Malice » qui dénonçait les certificats SSL frauduleux et dénombrait alors « seulement » 709 cas pour PayPal, et bien d’autres sur toutes les plus grandes marques américaines : BankOfAmerica, Apple, Amazon, American Express, Chase Bank, Microsoft, Google…

Quel impact pour l’internaute ?

En Janvier 2017, Google et Mozilla ont mis à jour leur navigateur avec Chrome 56 et Firefox 51, et un changement majeur est intervenu pour les internautes : l’apparition des termes « Sécurisé » ou « Non sécurisé » dans la barre d’adresse.

En 2015, l’initiative Let’s Encrypt, supportée par les grands noms de l’internet (EFF, Mozilla, Cisco, Akamaï…) voyait le jour avec pour objectif de diffuser en masse et gratuitement des certificats SSL au monde entier. Un an et demi plus tard, Let’s Encrypt a délivré des millions de certificats, et d’autres initiatives de ce type ont suivi.

Qui dit gratuit, dit peu ou pas de vérification pour délivrer les certificats, et toute une armée de cybercriminels qui se sont rués vers ces certificats pour sécuriser leurs contenus illicites : phishing, malware… et afficher ainsi le terme « Sécurisé » dans leur barre d’adresse. Comment l’internaute lambda peut-il facilement différencier le vrai du faux ?

Pour mémoire, il existe trois niveaux de vérification lors de l’émission des certificats permettant d’afficher HTTPS : Domain Validation (DV) considéré comme de l’authentification faible, Organization Validation (OV) à authentification forte et Extended Validation (EV) à authentification renforcée. Les certificats gratuits sont des DV, et représentent près de 90% des certificats, la plupart du temps sur des « petits » sites web. Les certificats OV (9%) et EV (1%) sont peu nombreux mais protègent la quasi-totalité des sites web à très fort trafic. Les GAFA (Google, Apple, Facebook, Amazon) sont tous en OV ou EV par exemple.

Le problème pour l’internaute est l’absence de différenciation dans les navigateurs entre les certificats DV et OV. Ces deux types sont affichés de la même manière, étant comme « Sécurisés », alors que les certificats EV affichent le nom du titulaire dans la barre d’adresse.

En reprenant le visuel du début de cet article, on comprend aisément l’intérêt du EV pour PayPal : permettre de distinguer facilement le vrai du faux. Et c’est la raison pour laquelle Nameshield conseillera systématiquement l’emploi du EV pour les sites vitrines, en particulier pour ses clients exposés au cybersquatting, phishing ou encore contrefaçon.

Deux forces qui s’opposent pour l’avenir du HTTPS

Malheureusement les choses ne sont pas aussi simples et là où la logique voudrait qu’on différencie clairement les trois types de certificat, ou en tout cas au moins deux types (DV/OV), Google ne l’entend pas de cette oreille et souhaite à l’inverse supprimer cette notion d’affichage EV. Chris Palmer (Senior Software Engineer pour Chrome) le confirme à demi-mot dans son article paru ici.

Nous sommes donc aujourd’hui dans une situation où les Autorités de Certification historiques, Microsoft et dans une moindre mesure Apple, font face à Google, Mozilla et Let’s Encrypt dans une vision que l’on peut résumer comme suit :

Vision de Google/Mozilla/Let’s Encrypt :

HTTP = Non Sécurisé

HTTPS = Sécurisé

Vision des AC historiques/Microsoft/Apple :

HTTP = Non Sécurisé

HTTPS DV = pas d’indicateur dans la barre d’adresse

HTTPS OV = Sécurisé

HTTPS EV = Nom de la société dans la barre d’adresse

La discussion est ouverte en ce moment même, au sein de l’instance supérieure du SSL qu’est le CAB/forum. On peut facilement comprendre que les Autorités de Certification voient d’un très mauvais œil la fin de la différenciation visuelle entre DV/OV/EV dans les navigateurs, c’est leur raison d’être de délivrer des certificats à authentification forte, mais est-ce seulement un tort ? Il s’agit quand même de rassurer l’internaute en lui garantissant l’identité du site qu’il visite.

A l’inverse, Google et Let’s Encrypt n’hésitent pas à dire que les notions de phishing et de garantie de contenu des sites web, ne sont pas du ressort des Autorités de Certification, et que d’autres systèmes existent (par exemple, Google Safe Browsing), et qu’en conséquence il faut avoir une vision binaire : les échanges sont chiffrés et inviolables (= HTTPS = Sécurisé) ou ils ne le sont pas (= HTTP = Non sécurisé). On peut simplement se demander si au travers de cette vision qui se défend également, ce n’est pas plutôt un problème de sémantique du terme employé : Sécurisé.

Que veut dire « Sécurisé » pour l’internaute ? Est-ce qu’en voyant « Sécurisé » dans sa barre d’adresse, il sera enclin à entrer ses login/password ou son numéro de carte bancaire ? On peut penser que oui et dans ce cas, le risque actuel est bien présent. Kirk Hall (Director Policy and Compliance – SSL, Entrust) a fait une intervention remarquée à la dernière conférence RSA sur ce sujet (si vous avez un peu de temps, l’enregistrement est ici).

Enfin, il ne faut pas négliger le poids de l’industrie financière ni des grandes marques qui voient d’un très mauvais œil l’augmentation du risque de fraude en ligne et que ne peut décemment pas totalement ignorer Google.

Comment rassurer l’internaute ?

Pour le moment nous ne pouvons que vous encourager à opter pour les certificats Extended Validation pour vos sites vitrines et/ou de e-commerce afin de faciliter la tâche des internautes et à rester à l’écoute de ce qui se passe sur le web. Rassurer et éduquer également les internautes en n’hésitant pas à mentionner sur vos sites les choix que vous faites en termes de sécurité et d’authentification.

Au même titre que vous surveillez certainement les dépôts de nom de domaine sur vos marques, vous pouvez aujourd’hui également surveiller les enregistrements de certificats, et ce pour réagir rapidement.

Et en tant qu’internaute, lorsque le terme « sécurisé » est mentionné dans la barre d’adresse, systématiquement contrôlez les détails du certificat pour voir qui en est le titulaire.

Game over HTTP, welcome HTTPS

Chrome 56 et Firefox 51 sont arrivés et sonnent le glas de l’ère du HTTP.

Annoncée depuis longtemps, l’apparition des termes « Non sécurisé » dans la barre d’adresse est maintenant effective pour toutes les pages contenant la saisie de mots de passe qui seraient encore en HTTP.

Plus qu’un long discours, voilà à quoi cela peut ressembler sur un site à très fort trafic :

(Traitement HTTP sur la page d’accueil du site, à gauche Chrome 56, à droite Firefox 51, depuis le 27 janvier 2017)

Nous vous laissons imaginer les conséquences sur l’image de marque qui n’offre pas la sécurité attendue à ses internautes peu enclins à poursuivre leur navigation avec de telles alertes : perte de confiance, baisse des taux de clic et conversion, augmentation du taux de rebond et, au final, perte de chiffre d’affaires au profit d’autres sites web. Dramatique.

N’oublions pas non plus que les pages concernées pour l’instant sont uniquement celles contenant des données à sécuriser (mot de passe, paiement en ligne), mais que la volonté des deux géants du web est de considérer à l’avenir toutes les pages en HTTP comme « Non Sécurisé », affiché en rouge.

Pas de calendrier annoncé pour l’instant, mais la machine est en marche comme l’a confié Emily Schechter, chef de produit Chrome Security dans son fameux post de septembre 2016 :

“Historically, Chrome has not explicitly labelled HTTP connections as non-secure. Beginning in January 2017 (Chrome 56), we’ll mark HTTP sites that transmit passwords or credit cards as non-secure, as part of a long-term plan to mark all HTTP sites as non-secure,”

Comment s’organiser

Le trafic HTTPS mondial vient de passer le cap symbolique des 50% (50,15% à fin janvier 2017, contre 39% un an plus tôt), porté notamment par l’initiative Let’s Encrypt. Actuellement, au niveau mondial le protocole HTTPS est déployé sur plus de la moitié du top 100 des sites figurant sur l’indice Alexa et 44 % d’entre eux l’ont activé par défaut.

Mais la France est en retard (voir notre article précédent sur le sujet ici), en particulier dans le monde de l’entreprise où l’inertie est importante, de même que la peur du déréférencement ou de la chute des revenus publicitaires.

Demain tous les sites web seront concernés, du site web de vente en ligne au simple site vitrine, tous devront passer au HTTPS pour rassurer les internautes. Si la réflexion n’est pas déjà lancée au sein des équipes web et marketing de votre entreprise, il est plus que temps de se positionner.

• Former et informer vor équipes : HTTPS, certificats SSL ;
• Définir votre stratégie de certification : Autorité de Certification, types de certificats, workflow ;
• Identifier l’ensemble des sites web de votre société… et définir les priorités d’action :

1-Sites contenant un espace de saisie de données personnelles (formulaire, login, mot de passe, récupération de mot de passe, achats en ligne) => vérifier la présence de httpS
2-Sites corporate, vitrine, flagship : prévoir de passer en httpS par défaut en 2017
3-Sites secondaires

• Préparer la transition vers le httpS avec vos équipes web
• Effectuer la transition vers le httpS des sites identifiés et surveiller le bon déroulement
• Gérer vos certificats

Nameshield vous accompagne

Notre équipe d’experts SSL vous accompagne dans la formation de vos équipes en organisant régulièrement des réunions d’information au sein de ses locaux pour vous permettre d’échanger avec d’autres acteurs du marché.

Nous mettons également à votre disposition les outils nécessaires à la prise de décision (audit, analyse, conseil).

Nameshield est fournisseur reconnu de solutions de sécurisation de vos sites web : certificats SSL, DNS, registry lock, n’hésitez pas à contacter nos équipes pour plus de renseignements.

SAVE THE DATE – 11 mai 2017 : le SSL café

Nous vous proposons de nous retrouver autour d’un petit déjeuner dans nos locaux pour échanger sur le marché des certificats SSL/TLS, l’actualité, les problématiques et les solutions à mettre en place pour un passage au HTTPS sans encombre. Inscrivez-vous par email ou téléphone auprès de votre contact habituel.

Transition vers le HTTPS : la France est en retard… et le réveil pourrait être difficile

Le JDN vient de publier un article très intéressant sur le décollage du HTTPS sur le top 100 des sites les plus visités en France. Il en ressort que 44/100 sont maintenant en HTTPS par défaut (dont 12 dans le top 20) et 54% des pages vues sont en HTTPS. C’est une bonne nouvelle pour les internautes français MAIS…

…on peut surtout remercier les acteurs américains. Sur le top 20, le seul acteur français aujourd’hui en HTTPS par défaut est Leboncoin.fr ! Si on pousse jusqu’au top 50, on ne trouve que quatre acteurs français supplémentaires : La Poste, Le Crédit Agricole, Mappy et Service Public.fr. Sur le top 100, 44 acteurs sont en HTTPS par défaut, dont seulement 15 acteurs français. Du côté du e-commerce c’est encore pire avec 33 acteurs français dans le top 40 mais seulement 7 en HTTPS par défaut.

La France est à la traine… et doit réagir

Google et Firefox, les deux fers de lance de la généralisation du HTTPS, continuent à annoncer des mesures toujours plus fermes en vue de l’adoption généralisée du HTTPS par défaut :

bonus sur le référencement naturel,
« malus » au cours de la navigation avec de plus en plus d’alertes,
limitation de fonctionnalités au seul HTTPS : HTTP2, géolocalisation, utilisation de la caméra, auto-remplissage des formulaires…
dépréciation des versions trop anciennes : SHA1 remplacé par SHA256

Chrome 56 arrive en Janvier 2017 avec une première série d’alertes dans les barres d’adresse pour les pages de connexion et contenant des champs de carte de crédit… et annonce déjà la couleur pour la suite avec la volonté clairement affichée d’une alerte pour tous les sites en HTTP (voir visuels ci-dessous).

Firefox n’est pas en reste et annonce la mise en place d’une alerte sur les saisies de mot de passe

Et d’autres acteurs majeurs comme WordPress, Apple ou Microsoft suivent le mouvement.

Pourtant le HTTPS peine à s’imposer pour la plupart des acteurs français du Web. Pourquoi ?

La transition d’un site Web en HTTPS par défaut n’est pas une mince affaire et deux freins importants existent encore : le risque d’un déclassement en termes de SEO si la transition est mal opérée, et certaines régies publicitaires qui restent en sources HTTP. Le trafic et les revenus publicitaires, le nerf de la guerre pour beaucoup de sites web.

Et donc, on attend ! On attend le dernier moment en espérant que Google et Firefox reculent ? C’est peu probable et le calendrier se resserre. Même si Google n’a pas encore annoncé de date pour la mise en place des alertes sur le HTTP, il y a fort à parier qu’ils le feront le plus tôt possible, et les conséquences risquent d’être désastreuses s’il faut agir dans l’urgence.

Nous recommandons d’étudier au plus tôt un calendrier de transition vers le HTTPS par défaut, projet à mener en étroite collaboration avec les équipes web et référencement, pour tous les sites vitrine dans un premier temps et pour l’ensemble des activités web dans un second.

Les équipes de Nameshield pourront vous accompagner en termes de conseil pour la mise en place et la gestion des certificats qui permettront d’afficher le HTTPS.

HTTPS et SSL : Google continue son offensive

Chrome 53 est arrivé le 31 août et avec lui Google continue de militer pour un internet plus sûr.

Avec son navigateur Chrome, Google souligne de plus en plus clairement quand un site ne dispose pas de httpS dès sa page d’accueil. Et les versions à venir vont continuer dans ce sens jusqu’à barrer purement et simplement le http d’une croix rouge, ce qui sera rédhibitoire pour l’image de marque des sites web, donc des marques notoires.

Site en http

Site en httpS par défaut

Site en httpS EV (Extended Validation)

Firefox a d’ores et déjà annoncé une mesure similaire. Ajoutez à cela le httpS comme facteur supplémentaire de référencement naturel et la prise en compte du httpS pour les pages de saisie de données personnelles dans les résultats de Google shopping, si vous ne l’avez pas encore envisagé, il est temps de préparer la migration de votre site web vers plus de sécurité.

Pourquoi passer maintenant au HTTPS ?

Cela va devenir incontournable ;
C’est bénéfique pour votre image en ligne, notamment avec Extended Validation ;
La transition d’un site web vers le httpS se prépare et il vaut mieux se pencher dessus maintenant que dans l’urgence demain.

A quoi ressemblera la barre de navigation en Janvier 2017 ?

Pour les pages des sites HTTP proposant la saisie de mots de passe ou de cartes de crédit, le petit picto d’avertissement « i » sera agrémenté d’un texte pour le moins explicite : « Not secure » !

Ce que Chrome souhaite afficher à terme

Pour tous les sites, le but ultime de Google est d’afficher le libellé « Not secure » pour toutes les pages des site HTTP.

Source : https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html

Les équipes de Nameshield vous accompagnent dans le choix des certificats SSL les plus adaptés pour obtenir le HTTPS, contactez dès maintenant votre commercial ou votre chargé de clientèle pour aborder la question.

Petit-Déjeuner BRAND PROTECTION

Le 14 avril, Nameshield organisait un petit-déjeuner sur le thème de la « BRAND PROTECTION »

Après un bref rappel des fondamentaux en ce qui concerne le web et les noms de domaine, les speakers, Geoffroy DARRIEUS, Expert en brand protection, et Sarah KOPYC, Juriste – consultante, ont pu développer la méthodologie à suivre et les outils à utiliser pour protéger sa marque sur le web et l’optimiser au maximum.

Les noms de domaine sont des actifs immatériels liés à la marque qu’il est impossible de négliger tant sur un plan stratégique que juridique et qui peuvent être de vraies sources de profit, à condition qu’ils soient bien utilisés. Leur optimisation commence par un audit du portefeuille suivi d’un certain nombre de bonnes pratiques, aussi bien techniques qu’humaines, à mettre en place. Nameshield a également rappelé les solutions juridiques existantes en cas de litiges concernant les marques et les noms de domaine.

Les experts et les invités ont ainsi pu échanger sur des problématiques communes qu’ils rencontrent au quotidien.

En bref, une conférence riche en informations et en échanges, aussi digeste que les viennoiseries proposées !

Geoffroy Darrieus, Expert Brand Protection

Si vous êtes intéressé par les thématiques de protection de marque sur le web, n’hésitez pas à nous rejoindre lors d’un prochain petit-déjeuner « Brand Protection » ou « Sécurité Web » qui ont lieu tous les mois.

Pour plus d’informations, envoyer un mail à : communication@nameshield.net

Nameshield était au Global Ip Exchange à Hambourg

Nameshield était présent au Global IP Exchange à Hambourg.

Ce rendez-vous réunissait les décideurs en matière de propriété intellectuelle, marques, brevets, et autre actifs immatériels. Achim BRINKMAN et Sarah KOPYC représentaient le groupe Nameshield lors de ce rendez-vous incontournable pour les experts de ces domaines. Cet évènement permet aux participants de connaitre les stratégies et solutions utilisées par les autres sociétés, d’échanger et de développer de nouveaux partenariats grâce à un réseau interactif et puissant, et enfin d’échanger sur les défis auxquels la communauté devra faire face à l’avenir afin d’y apporter des solutions. Certains sujets comme la lutte contre la contrefaçon ont notamment été abordés; défi de taille qui concerne toutes les marques et les consommateurs et pour lequel le groupe Nameshield s’est engagé en soutenant une solution qui a récemment vu le jour : Brandsays.

Pour en savoir plus sur Brandsays, contacter : caroline.de-chaisemartin@brandsays.com

Petit-déjeuner Nameshield

Le 9 février dernier, Nameshield accueillait pour un petit-déjeuner sur le thème suivant : « Comment gérer les conflits entre marques et noms de domaine et vous protéger techniquement contre les attaques dans le cyberespace ? »

Lucie LOOS, Isabelle TOUTAUD et Véronique DAHAN

Les aspects aussi bien juridiques que techniques ont pu être abordés grâce à la présence de Lucie LOOS, experte DNS et sécurité du groupe Nameshield, Véronique DAHAN du Cabinet August & Debouzy, ainsi que d’Isabelle TOUTAUD, Directrice juridique à l’AFNIC.

Plus de 100 personnes ont répondu présentes à cette conférence. Des profils très variés se sont rencontrés pour se tenir informés des dernières actualités. Dirigeants, directeurs juridiques, directeurs techniques, directeurs marketing et leurs dérivés ont ainsi pu échanger sur des problématiques communes qu’ils rencontrent au quotidien.

Cette conférence était l’occasion de rappeler que les noms de domaine, qu’ils soient rattachés ou non aux marques corporate, ombrelle ou de produits ou services, sont des actifs à part entière qu’il est impossible de négliger tant sur un plan stratégique que juridique. En effet, face à la montée des attaques sur le web, la sécurité est une priorité pour protéger ses actifs immatériels et sa marque.

Les experts présents ce jour-là ont donc fait le point sur les conflits pouvant exister entre marques/signes distinctifs et noms de domaine, d’une part devant les juridictions françaises et d’autre part via les procédures extra-judiciaires mises en place spécifiquement pour régler ces conflits.

Ensuite, Lucie LOOS, experte DNS et sécurité du groupe Nameshield, a présenté les protections techniques les plus adéquates pour protéger ses actifs immatériels contre les attaques en ligne et se prémunir de la cybercriminalité.

En bref, une conférence riche en informations et en échanges, aussi digeste que les viennoiseries proposées !

Pour plus d’informations, envoyer un mail à : communication@nameshield.net

Petit-déjeuner Nameshield – « Brand Protection »

Le 3 Novembre dernier, Nameshield organisait son deuxième petit-déjeuner sur le thème cette fois-ci de la « Brand Protection ». L’occasion pour les nombreux invités présents de découvrir pour certains et approfondir pour d’autres les dangers que représente le web pour leur marque et, surtout, les moyens concrets pour la protéger.

La conférence a débuté par un rappel des chiffres du web et de la contrefaçon, avant d’aborder les sujets plus techniques et juridiques.

25% du web seulement indexé par Google

La cybercriminalité représente 190 milliards d’euros en 2013

La moitié des entreprises françaises ont déjà été confrontée à la contrefaçon

Un médicament sur deux vendu sur Internet est un faux et entraîne la mort de 700 000 personnes par an

Ce qu’il faut retenir de la leçon :

Anticiper les attaques
Contrôler sa marque sur le web
Protéger ses actifs immatériels contre les usages abusifs
Surveiller ses noms de domaine en cohérence avec ses marques
Réagir avec efficacité face aux attaques (procédures juridiques…)

En guise de conclusion, un point sur l’avancé des nouvelles extensions et l’enjeu des .BRAND

Une conférence de qualité après un petit-déjeuner convivial qui fut l’occasion d’échanger, de partager les expériences, et surtout, d’avoir des réponses concrètes aux problématiques web auxquelles chaque entreprise fait face grâce à une équipe d’experts aussi compétents qu’agréables.

Le prochain petit-déjeuner Nameshield à ne surtout pas louper ?

24 Novembre 2015 : Petit-déjeuner « Sécurité Web »

Sarah Kopyc – Juriste – Consultante chez Nameshield Group

Référencement naturel et certificats SSL : faut-il passer au HTTPS:// ?

Commençons par le commencement, à savoir, qu’est-ce que https:// exactement, et à quoi cela sert-il ?

Le HTTP est un protocole de communication internet utilisé pour charger la plupart des pages web. Le problème de ce protocole est qu’il n’est pas massivement sécurisé ; n’importe quel cyber criminel peut ainsi surveiller les données de votre trafic et les sites web que vous visitez. Cela devient particulièrement embêtant lorsque le site web en question demande aux internautes de remplir des formulaires contenant des informations personnelles et confidentielles, que ces individus mal intentionnés peuvent espionner très facilement.

Pour protéger la vie privée, le protocole HTTPS a donc été développé. Le « S » signifie « Sécurisé », ce qui indique que la communication entre l’internaute et le site web est sécurisée. En utilisant ce protocole, le navigateur encrypte l’ensemble des données échangées à l’aide d’une clé de cryptage, que seule une clé de décryptage unique peut déchiffrer. Les hackers ont alors besoin de cette clé de décryptage, extrêmement dure à identifier, et sans laquelle les données interceptées n’ont aucun sens. Utiliser HTTPS rend beaucoup plus difficile, voire impossible, de surveiller ou d’intercepter les communications. Utiliser HTTPS offre à vos internautes la garantie qu’ils peuvent échanger avec votre site en toute sécurité.

Avec HTTP seulement, n’importe quel cyber criminel peut ainsi surveiller les données de votre trafic et les sites web que vous visitez.

Maintenant, concentrons-nous sur le rapport entre le fait de disposer d’un site en HTTPS et le référencement naturel. En août 2014, Google a annoncé publiquement son intention de prendre en compte la présence du HTTPS sur un site web comme un signal positif en termes de sécurité avec pour conséquence un impact positif sur le classement dans les résultats de son moteur de recherche. Cette annonce a mis le monde des webmasters en émoi, notamment pour les détenteurs de sites web qui, traditionnellement, n’utilisent pas de protocole sécurisé, tels que les sites ne faisant pas de e-commerce ou ne disposant pas d’espace de transaction.

A quel point est-ce important de passer en HTTPS pour le référencement naturel ?

Et bien la réponse est : cela dépend ! Cela dépend de votre situation personnelle, à savoir du contenu de votre site web, de ce que les internautes attendent d’un site web de votre catégorie, de l’état des sites web concurrents, du bénéfice d’une telle transition par rapport au budget investi. Pour parler plus généralement…

Dans un futur immédiat, l’impact du passage au HTTPS reste considéré par Google comme un signal supplémentaire certes, mais dont le poids n’est pas majeur. Google a annoncé cependant suivre de près cette transition et se réserve la possibilité de mettre beaucoup plus de poids sur ce facteur dans l’avenir. En faisant le changement maintenant, il faut s’attendre à impact faible sur votre SEO si la mise à jour est effectuée correctement. Ce que les propriétaires de site web doivent garder à l’esprit, c’est la multitude des autres paramètres de poids plus important qui peuvent être optimisés également avant de se focaliser sur ce changement.

Dans un futur immédiat, l’impact du passage au HTTPS reste considéré par Google comme un signal supplémentaire certes, mais dont le poids n’est pas majeur.

A moyen et long terme cependant, offrir une expérience de navigation sécurisée aux internautes est susceptible de devenir un aspect beaucoup plus important, voire indispensable, de sorte que nous recommandons de se pencher sur la question dès maintenant. Des acteurs comme Google, mais aussi Microsoft, Mozilla ou encore Akamaï poussent de plus en plus pour un web plus sûr. Considérant la position ultra-dominante du moteur de recherche de Google dans la plupart des marchés, il nous parait sage d’aligner votre stratégie de référencement sur leurs grands objectifs. Il parait également raisonnable de penser que Google augmentera graduellement l’importance de ce critère parmi ses critères de classement SEO.

Il faut également considérer le fait qu’en adoptant le protocole sécurisé, et en multipliant les signaux de sécurité sur votre site (barre d’adresse en vert, sceau de sécurité, cadenas et HTTPS), plus nombreux seront les internautes disposés à communiquer leurs données personnelles et à réaliser des transactions parce qu’ils se sentiront en sécurité. Et si votre site web devient plus efficace dans la conversion de votre trafic en clic ou acte d’achat, la valeur du trafic issu du SEO, mais aussi des autres canaux, augmentera d’autant plus. Si vous vous posez la question de l’adoption ou non du HTTPS, il est important de considérer les bénéfices collatéraux que vous pourriez en tirer.

Il est fortement recommandé de s’adresser à votre webmaster et à votre agence de référencement pour planifier la transition.

Y a-t-il des risques liés à la transition vers le HTTPS ?

Si vous avez pris la décision de faire passer votre site vers HTTPS, il y a des éléments techniques essentiels qui doivent être pensés pour assurer une transition en douceur d’un point de vue du SEO. Il existe malheureusement de nombreux exemples de sites ayant perdu plus qu’ils n’ont gagné durant une telle transition, et oui il existe des risques liés à la transition vers le HTTPS si une planification soignée n’est pas mise en œuvre.

Il est fortement recommandé de s’adresser à votre webmaster et à votre agence de référencement pour planifier la transition. Pour les personnes impliquées directement dans le SEO, vous trouverez à la fin de cet article une liste des points clés à considérer et des liens vers des ressources complémentaires en ligne.

Quel impact en termes de visibilité ?

Avec presque un an de recul maintenant, certaines études commencent à voir le jour sur l’impact réel du passage à httpS et font état de résultats significatifs. Parmi celles-ci l’étude de Searchmetrics, blog spécialisé dans le SEO, qui base son étude sur l’observation depuis 2012 de près de 30 000 keywords, et dont les conclusions sont sans appel : il existe une différence statistique de 1% à 5% en matière de visibilité entre le http et le httpS. Cette étude est disponible ICI

Il reste cependant un dernier frein important à l’adoption massive du HTTPS : la publicité. En effet, malgré les annonces et résultats très probants constatés auprès de ceux qui ont fait la transition, un nombre très important de sites web reste encore et toujours en HTTP, y compris sur les pages de connexion à leur espace confidentiel. Pour passer proprement au HTTPS, il faut en effet que tous les éléments de la page soient chargés en HTTPS et les régies publicitaires du web ont tendance à négliger cet aspect. Les choses sont cependant en train d’évoluer rapidement là aussi puisque Google, encore lui, délivre depuis fin 2014 ses publicités Youtube en HTTPS et a annoncé pour le 30 juin 2015 le passage des campagnes issues de Google Display Network, AdMob et DoubleClick en HTTPS. Très certainement de quoi entrainer le reste du marché.

Les signes pour une adoption du HTTPS se multiplient sur le marché. Tous les grands acteurs vont dans ce sens.

Conclusion

Faut-il passer au HTTPS dès maintenant ou attendre ? En admettant que le passage au HTTPS présente des risques si la transition n’est pas bien orchestrée, on peut légitimement se poser la question. Pour autant, les signes pour une adoption du HTTPS se multiplient sur le marché. Tous les grands acteurs vont dans ce sens, et les internautes, au travers notamment des révélations d’Edward Snowden et des actualités quotidiennes mentionnant diverses attaques toutes plus importantes les unes que les autres, commencent (enfin) à se soucier réellement de la sécurité de leur navigation.

Alors pourquoi attendre ? Un jour ou l’autre il faudra passer au HTTPS sur l’ensemble des pages comprenant des échanges de données personnelles et sensibles. Le faire dès aujourd’hui c’est prendre les devants, c’est mieux se positionner dans les moteurs de recherche, c’est augmenter les revenus issus du canal internet et enfin c’est envoyer un message positif aux internautes comme quoi vous vous souciez de leur sécurité, et c’est en tirer les bénéfices pour votre image de marque.

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.

Cookie	Durée	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_25904574_14	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durée	Description
NID	6 months	NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durée	Description
ppwp_wp_session	30 minutes	No description
visit	30 minutes	No description