Blog

Qu'est-ce que le HTTPS ?

Le protocole de transfert hypertexte sécurisé (HTTPS) est la version sécurisée de HTTP, qui est le principal protocole utilisé pour envoyer des données entre un navigateur web et un site web. Le HTTPS est crypté afin d'accroître la sécurité du transfert de données. Cela est particulièrement important lorsque les utilisateurs transmettent des données sensibles, par exemple en se connectant à un compte bancaire, à un service de messagerie électronique ou à un prestataire d'assurance maladie.

Tout site web, en particulier ceux qui nécessitent des identifiants de connexion, doit utiliser le HTTPS. Dans les navigateurs web modernes comme Chrome, les sites web qui n'utilisent pas le HTTPS sont marqués différemment de ceux qui le sont. Recherchez un cadenas vert dans la barre d'URL pour signifier que la page web est sécurisée. Les navigateurs web prennent le HTTPS au sérieux ; Google Chrome et d'autres navigateurs marquent tous les sites web non HTTPS comme non sécurisés.

HTTPS

Comment fonctionne le HTTPS ?

Le HTTPS utilise un protocole de cryptage pour crypter les communications. Ce protocole est appelé Transport Layer Security (TLS), bien qu'il ait été connu auparavant sous le nom de Secure Sockets Layer (SSL). Ce protocole sécurise les communications en utilisant ce que l'on appelle une infrastructure à clé publique asymétrique. Ce type de système de sécurité utilise deux clés différentes pour crypter les communications entre deux parties :

La clé privée - cette clé est contrôlée par le propriétaire d'un site web et elle est gardée, comme le lecteur peut l'avoir supposé, privée. Cette clé vit sur un serveur web et est utilisée pour décrypter les informations cryptées par la clé publique.

La clé publique - cette clé est disponible pour tous ceux qui veulent interagir avec le serveur de manière sécurisée. Les informations cryptées par la clé publique ne peuvent être décryptées que par la clé privée.

Pourquoi le HTTPS est-il important ? Que se passe-t-il si un site web n'a pas de HTTPS ?

Le HTTPS empêche les sites web de diffuser leurs informations d'une manière qui soit facilement visible par toute personne fouinant sur le réseau. Lorsque les informations sont envoyées via le protocole HTTP normal, elles sont divisées en paquets de données qui peuvent être facilement "reniflés" à l'aide de logiciels gratuits. Cela rend la communication sur un support non sécurisé, tel que le Wi-Fi public, très vulnérable à l'interception. En fait, toutes les communications par HTTP se font en texte clair, ce qui les rend très accessibles à toute personne disposant des outils appropriés et vulnérables aux attaques par voie terrestre.

Avec le HTTPS, le trafic est crypté de telle sorte que même si les paquets sont reniflés ou interceptés d'une autre manière, ils sont perçus comme des caractères absurdes. 

Voyons un exemple :

Avant le chiffrage:

Il s'agit d'une chaîne de texte entièrement lisible

Après le chiffrage (md5) :

b63d79424493f17007a4baf60d37c177

Dans les sites web sans HTTPS, il est possible pour les fournisseurs d'accès à Internet (FAI) ou d'autres intermédiaires d'injecter du contenu dans les pages web sans l'approbation du propriétaire du site. Cela prend généralement la forme de publicité, lorsqu'un FAI cherchant à augmenter ses revenus injecte de la publicité payante dans les pages web de ses clients. Il n'est pas surprenant que, lorsque cela se produit, les bénéfices des publicités et le contrôle de la qualité de ces publicités ne sont en aucun cas partagés avec le propriétaire du site web. Le HTTPS élimine la possibilité pour des tiers non modérés d'injecter de la publicité dans le contenu du site web.

POP UP

En quoi le HTTPS est-il différent du HTTP ?

Techniquement parlant, le HTTPS n'est pas un protocole distinct du HTTP. Il utilise simplement un cryptage TLS/SSL sur le protocole HTTP. Le HTTPS est basé sur la transmission de certificats TLS/SSL, qui vérifient qu'un fournisseur particulier est bien celui qu'il prétend être.

Lorsqu'un utilisateur se connecte à une page web, celle-ci envoie son certificat SSL qui contient la clé publique nécessaire pour démarrer la session sécurisée. Les deux ordinateurs, le client et le serveur, passent ensuite par un processus appelé "poignée de main SSL/TLS", qui est une série de communications en va-et-vient utilisées pour établir une connexion sécurisée. Pour en savoir plus sur le cryptage et la poignée de main SSL/TLS, lisez ce qui se passe lors d'une poignée de main TLS.

Comment un site web commence-t-il à utiliser le HTTPS ?

De nombreux fournisseurs d'hébergement de sites web et d'autres services proposent des certificats TLS/SSL payants. Ces certificats seront souvent partagés entre de nombreux clients. Il existe des certificats plus coûteux qui peuvent être enregistrés individuellement pour des propriétés web particulières.

Tous les sites web utilisant Cloudflare reçoivent gratuitement un HTTPS en utilisant un certificat partagé (le terme technique pour cela est un certificat SSL multi-domaines). La création d'un compte gratuit garantit qu'une propriété web bénéficie d'une protection HTTPS continuellement mise à jour. Dans les deux cas, une propriété web bénéficie de tous les avantages de l'utilisation du HTTPS.