Dernière mise à jour : Août 2021

Depuis sa version 68, Google Chrome affiche l’avertissement « Non sécurisé » dans la barre d’adresse lorsque la page web consultée n’est pas sécurisée. La dernière version du navigateur a introduit une autre nouveauté : cliquer sur l’avertissement ouvre une fenêtre pop-up indiquant le message « Votre connexion à ce site n’est pas sécurisée ». Les utilisateurs se voient également conseiller de ne pas saisir d’informations sensibles sur le site en question.

L’avertissement « Non sécurisé » indique que la connexion n’est pas sécurisée. Cela signifie que les informations envoyées et reçues sur cette page ne sont pas protégées. Il existe donc un risque qu’elles soient volées, lues ou modifiées par des cybercriminels, des hackers ou des entités ayant accès à l’infrastructure Internet (par exemple, des fournisseurs d'accès Internet [FAI] ou des pouvoirs publics). Cet avertissement ne veut pas dire que votre ordinateur ou le site web que vous consultez contient des malwares. Il vise uniquement à vous informer que la connexion à la page n’est pas sécurisée.

Il appartient au propriétaire d'un site web de sécuriser ce dernier. De leur côté, les visiteurs ne peuvent rien faire contre ces avertissements. En revanche, ils peuvent demander aux propriétaires ou aux administrateurs d’adopter des mesures de sécurité appropriées. Faisons le point sur ce que recouvre l’avertissement « Non sécurisé » et voyons comment y remédier, que vous soyez propriétaire de site ou internaute.

Premier point : le message se présente différemment selon le navigateur utilisé. Voici à quoi il ressemble dans Chrome, Safari et Firefox.

Avertissement « Non sécurisé » dans Chrome :

Avertissement « Non sécurisé » dans Safari :

Avertissement « Non sécurisé » dans Firefox :

HTTP → « Non sécurisé », HTTPS → « Sécurisé »

L’avertissement « Non sécurisé » s’affiche sur toutes les pages utilisant le protocole HTTP, indiquant ainsi leur incapacité à fournir une connexion sécurisée. Le protocole HTTP a longtemps été le principal protocole de communication Internet.

Ces dernières années, la plupart des sites web sont passés au protocole HTTPS (« S » pour « sécurisé »), synonyme de chiffrement des données et d’authentification du propriétaire du site. De Google à Facebook, en passant par Amazon, des millions de sites web l’utilisent pour protéger les informations des internautes pendant leur navigation, les connexions à leurs comptes ou leurs achats en ligne.

Il arrive que des sites web n'offrent une connexion HTTPS sécurisée que sur certaines pages. Le message « Non sécurisé » s’affichera alors uniquement sur les pages non sécurisées.

Si vous consultez un site web HTTP ou êtes propriétaire/administrateur d’un tel site, voici ce que vous pouvez faire.

Propriétaires/administrateurs

L’avertissement « Non sécurisé » s’affiche sur toutes les pages utilisant le protocole HTTP, celui-ci n’étant par nature pas sécurisé. Si vous remarquez ce message sur un site web dont vous êtes propriétaire ou administrateur, vous ne réglerez le problème qu'en passant au protocole HTTPS.

Le HTTPS s’appuie lui-même sur le protocole TLS/SSL pour fournir une connexion sécurisée, c'est-à-dire à la fois chiffrée et authentifiée. Pour pouvoir utiliser le HTTPS, vous devez d’abord obtenir un certificat TLS/SSL. Une fois celui-ci installé, vous pourrez activer le protocole HTTPS sur votre serveur web.

Vous êtes l’administrateur technique ou le développeur du site ? Commencez par dresser l'inventaire de vos pages HTTPS. En effet, certains sites n'utilisent pas le HTTPS par défaut et ne le déploient que sur certaines pages. Vous vous trouvez dans l’un ou l’autre de ces cas de figure ? Renseignez-vous sur les étapes à suivre pour déployer la totalité de votre site en HTTPS par défaut. Vous trouverez les informations nécessaires dans notre guide de configuration de l’extension HTTPS Everywhere.

Si aucune page de votre site n'est servie en HTTPS, commencez par consulter notre guide comparatif des certificats TLS/SSL, qui vous aidera à identifier le certificat TLS le mieux adapté à vos besoins. Ces exigences dépendront du nombre de noms de domaines que vous administrez, ainsi que du niveau de confiance que vous souhaitez fournir aux utilisateurs de votre site. Ensuite, consultez notre guide consacré à HTTPS Everywhere pour savoir comment activer le HTTPS par défaut.

L’interface utilisateur de tous les principaux navigateurs web (Google Chrome, Mozilla Firefox, Microsoft Edge et Apple Safari) affiche un avertissement sur les pages non sécurisées. Le HTTPS est donc essentiel non seulement pour sécuriser votre site web, mais également pour offrir une expérience optimale à vos visiteurs. Par ailleurs, l’utilisation du protocole HTTPS est obligatoire sur bon nombre de technologies web récentes, parmi lesquelles certaines peuvent contribuer à améliorer les performances de votre site web.

Internautes

Si vous voyez l’avertissement « Non sécurisé », c’est parce que la connexion à la page ou au site web que vous consultez n’est pas chiffrée. Lorsque votre navigateur Chrome établit une connexion à un site web, il peut utiliser le protocole HTTP (non sécurisé) ou HTTPS (sécurisé).

Toutes la pages servies en HTTP déclencheront l’affichage de l’avertissement « Non sécurisé ». Mieux vaut éviter d’y effectuer des transactions sensibles, comme se connecter à un compte utilisateur ou fournir des informations personnelles ou bancaires. En naviguant sur ces sites web, vous vous exposez également à des risques : vous pourriez en effet afficher des informations susceptibles de vous mettre en danger ou d'enfreindre les lois en vigueur dans votre pays.

En tant que simple visiteur du site web, vous ne pouvez rien faire contre cet avertissement. La seule façon d’y remédier est que l’opérateur du site obtienne un certificat TLS et active le HTTPS par ce biais. Votre navigateur pourra alors établir automatiquement une connexion sécurisée au site en question.

Si un site web que vous visitez régulièrement affiche l’avertissement « Non sécurisé », contactez son administrateur pour lui demander de passer au HTTPS. Autre possibilité : essayez de remplacer « http » par « https » dans l’URL. Certains sites n'appliquent que partiellement le HTTPS, c'est-à-dire qu'il n'est pas déployé par défaut sur toutes les pages.

Sachez que même les activités de navigation les plus anodines– chercher des recettes, lire l'actualité, etc. – peuvent être surveillées, modifiées et enregistrées par des entités externes comme votre fournisseur d’accès Internet (FAI), voire des pouvoirs publics. Autrement dit, le respect de votre vie privée n’est pas assuré. Les réseaux Wi-Fi publics (dans les cafés, les aéroports, etc.) constituent un risque supplémentaire : lorsque vous vous connectez à ces réseaux ouverts, des attaquants peuvent voir les pages que vous consultez, les informations que vous envoyez, et les recherches que vous effectuez.