Bonjour à toutes et à tous. Je me permets aujourd’hui de vous parler un peu des applications Facebook, et plus particulièrement des nouvelles attentes en terme de sécurité. Depuis 8 mois, Facebook permet la navigation sécurisée, en HTTPS et non plus en HTTP, ce qui implique que lorsque l’internaute tombe sur une page affichée à l’aide d’une Iframe (c’est le cas pour la majorité des applications qui ne sont pas générées automatiquement), il quitte –éventuellement– cette navigation sécurisée.

Concrètement, cela signifie qu’au lieu de découvrir votre magnifique encart faisant office de Landing-Page (ou autre), il tombe d’abord sur un message d’avertissement de la part de Facebook. Et le moins que l’on puisse dire, c’est que ce message décourage vraiment l’internaute à poursuivre son parcours, puisqu’il explique que le contenu affiché n’étant pas sécurisé, Facebook basculera automatiquement sa navigation en HTTP. Comme premier aperçu d’une présence de marque, on peut forcément mieux faire.

Cet aspect regrettable concerne beaucoup de monde ; en Avril 2011, Facebook expliquait que plus de 9,6 millions d’utilisateurs étaient déjà passés au HTTPS, et je suppose que ce chiffre a du grimper en flèche ces derniers mois. Ce n’est donc plus un détail, mais un réel problème. Pour que ce message ne s’affiche pas, il vous suffit de sécuriser à votre tour la navigation lors de l’affichage de votre propre contenu, et ce, en faisant appel à un certificat SSL. Oui je sais, même le nom paraît compliqué.

Seulement voilà, nous sommes désormais dans l’obligation de nous intéresser à ce certificat, tout simplement parce que Facebook le rend obligatoire pour toute application créée à partir du 1er Octobre 2011. En d’autres termes, si vous ne possédez pas de certificat SSL, vous ne pourrez plus créer d’applications dans 3 jours, à moins que vous ne passiez par des services automatisés (comme Static HTML par exemple), avec à la clé, une personnalisation malheureusement plus pauvre de l’onglet.

Facebook se défendra en expliquant qu’il s’agit d’une manière de garantir une certaine sécurité dans le parcours utilisateur (et c’est tout à fait vrai), mais cela fait aussi ses affaires, puisque cette nouveauté devrait booster l’hébergement d’applications via ses partenaires (pour rappel, Facebook suggère aux développeurs de passer par Heroku pour ce qui est de l’hébergement, une solution proposant des tarifs qui évoluent selon l’intensité de l’activité générée par l’application).

Le plus gros problème dans l’obtention d’un certificat SSL, ce n’est pas la démarche, mais la durée de cette démarche. Vous pouvez en faire la demande auprès de votre hébergeur ou d’un autre service (je n’ai pas vérifié si les certificats SSL auto signés suffisaient), pour un coût allant de quelques euros à plus de 350€ selon l’autorité de certification, et il vous faudra attendre de quelques heures à deux ou trois semaines afin de l’obtenir. Autant dire que si vous n’avez pas encore fait la démarche, c’est assez pressé.

Lorsque vous aurez obtenu votre certificat SSL (et donc que les internautes auront la possibilité de naviguer en HTTPS sur votre plateforme, comme le souhaite Facebook), il vous suffira alors de vous rendre sur l’interface Développeurs de Facebook, de sélectionner la ou les applications qui en ont besoin, de cliquer sur « modifier l’application » et de renseigner les champs « URL sécurisée (HTTPS) du canevas », ainsi que « Secure Page Tab URL » si votre application est un onglet de Fan-Page.

Je tiens tout de même à vous rappeler que vous n’avez pas besoin de la Rolls Royce des certificats SSL pour permettre la navigation sécurisée à vos visiteurs, attention donc de ne pas vous faire avoir par certains prestataires qui proposent des tarifs très (trop) élevés pour votre utilisation : je doute que vous soyez dans une démarche de paiement bancaire, et donc qu’il vous faille un certificat avec garantie sur transactions financières, contrôles avancés, et autres subtilités de ce genre.

Si vous avez la moindre question ou la moindre suggestion à apporter au sujet de cet article, n’hésitez pas à m’en faire part à travers les commentaires ; n’oubliez pas également que vous pouvez me retrouver sur Twitter, pseudo @Kriisiis, ou encore sur la Fan-Page Kriisiis.fr sur Facebook. Et si des experts dans le domaine pouvaient apporter des compléments d’informations vis-à-vis de ce sujet que je ne maitrise pas trop (pas du tout), vous m’en verriez ravi !

Edit (29/09/11 0:35) : Il semblerait que Facebook ait commencé à prévenir certains développeurs de l’urgence de la situation par email (exemple ci-dessous). Merci à @Manoz de m’avoir prévenu !