La nouvelle version du navigateur Safari, disponible avec iOS 18.4 et macOS 15.4, marque un tournant discret mais symbolique dans la navigation web : le cadenas HTTPS disparaît de la barre d’URL. Apple emboîte ainsi le pas à Google, qui avait amorcé ce changement dans Chrome dès 2023. Désormais, seul Firefox conserve encore ce petit icône rassurant. Mais pour combien de temps ?
Le blog WebKit, moteur open source de rendu de Safari, explique ce choix : à l’heure actuelle, plus de 87 % des connexions sont chiffrées via HTTPS, ce qui en fait la norme plutôt que l’exception. Résultat ? Le cadenas est devenu inutile, voire trompeur. Beaucoup d’utilisateurs le perçoivent comme une preuve de fiabilité du site, alors qu’il ne garantit qu’une chose : que la connexion est chiffrée. Des sites d’hameçonnage peuvent parfaitement utiliser HTTPS tout en restant dangereux.
Les développeurs Webkit (et Apple) préfèrent donc faire disparaître cet indicateur visuel… tout en offrant un nouveau menu « Connection Security Details » pour celles et ceux qui veulent en savoir plus. Sur macOS, il est accessible depuis le menu Safari ; sur iOS, iPadOS et visionOS, depuis le menu de la page.
Ce panneau affiche des informations techniques comme l’émetteur du certificat et sa date d’expiration — des données utiles pour les utilisateurs avertis. Autre précision : dans l’Union européenne, ce nouvel affichage mentionne également les certificats QWAC (Qualified Web Authentication Certificate), ajoutant un indicateur spécifique de sécurité renforcée pour les sites concernés.
Enfin, WebKit signale qu’un avertissement sera désormais affiché lorsqu’un site utilise encore l’algorithme 3DES, considéré comme obsolète dans le cadre de TLS.
Safari sous Linux: les navigateurs et projets autour de Webkit
