Le blog de Google Chromium annonce le remplacement du cadenas « à la fois pour souligner que la sécurité devrait être l’état par défaut et pour rendre les paramètres du site plus accessibles ».
L’équipe de sécurité de Chrome explique en effet que si, en 2013, seuls 14 % des sites du Top 1M d’Alexa avaient recours au HTTPS, « plus de 95 % des chargements de pages dans Chrome sur Windows » se font désormais via un canal sécurité utilisant HTTPS.
Cette « excellente nouvelle », à mesure que « HTTPS est devenu la norme, pas l’exception », les incite à réévaluer la pertinence de l’affichage du cadenas :
« L’icône du cadenas est censée indiquer que la connexion réseau est un canal sécurisé entre le navigateur et le site et qu’elle ne peut pas être altérée ou écoutée par des tiers, mais il s’agit d’un vestige d’une époque où le protocole HTTPS était peu répandu. »
Après avoir redessiné l’icône du cadenas en 2016 « après que nos recherches ont montré que de nombreux utilisateurs ne comprenaient pas ce que l’icône véhiculait », l’équipe sécurité de Chrome relève que, « malgré tous nos efforts, notre étude de 2021 a montré que seuls 11 % des participants à l’étude comprenaient correctement la signification précise de l’icône du cadenas » :
« Ce malentendu n’est pas anodin : presque tous les sites d’hameçonnage utilisent le protocole HTTPS et affichent donc également l’icône du cadenas. Les malentendus sont si répandus que de nombreuses organisations, dont le FBI, publient des conseils explicites indiquant que l’icône du cadenas n’est pas un indicateur de la sécurité d’un site web. »
Ce pourquoi l’équipe propose d’opter pour une icône plus neutre sur le plan de la sécurité, afin d’éviter tout malentendu quant à la prétendue sécurité des sites recourant au HTTPS. Son lancement est prévu pour Chrome 117, qui sortira début septembre 2023.
Google précise par ailleurs que Chrome continuera à afficher les pages HTTP en clair « comme non sécurisées ».