Le protocole HTTPS

Lorsque nous naviguons sur Internet, qui peut voir ce que nous lisons ? Qui peut voir le texte que nous entrons dans des formulaires ?

Avec le protocole standard HTTP, beaucoup de personnes peuvent voir ces informations : les pirates informatiques qui interceptent des paquets de données, les FAI qui surveillent le trafic ou encore les agences gouvernementales qui tirent profit des câbles de fibre, composant essentiel d'Internet. En utilisant des méthodes bien connues, toutes ces personnes peuvent lire le contenu de chaque site et même intégrer leur propre contenu.

C'est pourquoi de plus en plus de sites décident d'utiliser le protocole HTTPS ("Hypertext Transfer Protocol Secure" en anglais) pour protéger la vie privée de leurs utilisateurs et utilisatrices et pour éviter la falsification. HTTPS est une combinaison des protocoles HTTP et TLS : il chiffre les requêtes et les réponses HTTP à l'aide du protocole TLS.

Lors d'une connexion HTTPS, la première étape consiste à observer l'URL dans la barre d'adresse. Les connexions HTTP standards produisent des URL qui commencent par "http://", tandis que les connexions HTTPS (sécurisées) produisent des URL qui commencent par "https://".

⬆️ Regardez maintenant la barre d'adresse. Vous devriez voir une URL commençant par "https://www.khanacademy.org/". Si elle commence par "khanacademy.org/", essayez de double-cliquer sur la barre d'adresse pour accéder à l'URL complète.

Évidemment, la plupart des utilisateurs entrent simplement le domaine (ex. : "khanacademy.org"), tandis que d'autres, plus avertis, peuvent chercher une URL comme celle-ci : "http://khanacademy.org". Un site web qui sert en HTTPS et qui veut s'assurer que tous ses utilisateurs bénéficient d'une connexion sécurisée redirige normalement toutes les requêtes vers la version HTTPS de son site.

🔍 Essayez d'entrer les URL de plusieurs sites que vous aimez dans un nouvel onglet et examinez l'URL finale dans la barre d'adresse une fois que le site a chargé. Avez-vous parfois été redirigé vers la version HTTPS ? Certains sites utilisent-ils le protocole HTTP, alors que vous aimeriez beaucoup qu'ils utilisent HTTPS ?

Lorsque le navigateur charge une URL qui commence par "https", il lance la mise en place d'une connexion sécurisée via le protocole TLS. (Besoin de vous rafraîchir la mémoire ? Consultez l'article sur le protocole TLS.)

Au début de ce processus, le navigateur doit vérifier le certificat numérique du domaine. Ce certificat peut être invalide pour plusieurs raisons, et les navigateurs affichent souvent des erreurs de certificat.

Voici ce qu'affiche Chrome lorsqu'il découvre qu'un certificat a été délivré par une autorité de certification à laquelle il ne fait pas confiance :

Si le certificat est valide et que tout se passe sans problème lors de la mise en place du protocole TLS, la plupart des navigateurs affichent un cadenas dans la barre d'adresse. Ce cadenas indique une connexion sécurisée via HTTPS.

Voici l'icône du cadenas chez Firefox :

Si vous cliquez sur ce cadenas, vous pouvez obtenir davantage d'informations à propos de la sécurité du site :

Une connexion HTTPS permet de garantir que le navigateur et le domaine sécurisé sont les seuls à pouvoir accéder aux données contenues dans les requêtes et réponses HTTP. Des personnes malveillantes peuvent toujours voir qu'une adresse IP communique avec un autre domaine/une autre adresse IP, et elles peuvent également savoir combien de temps la communication dure. Cependant, ces individus ne peuvent pas voir le contenu de la communication (les pages consultées, le texte envoyé...).

Le protocole HTTPS a également pour but d'empêcher la falsification du contenu d'un site web. Lorsqu'un site est sécurisé à l'aide d'une simple connexion HTTP, les paquets de données peuvent être interceptés et leurs contenus remplacés. Si un pirate informatique ou même un gouvernement intercepte les visites faites sur un site d'actualité, il peut facilement ajouter des infox. Le protocole TLS inclut un mécanisme qui permet de détecter une éventuelle modification des paquets de données, rendant ainsi les connexions HTTPS résistantes face à la falsification.

De nombreuses organisations estiment que tous les sites web devraient servir l'ensemble des connexions en HTTPS, en raison des avantages indéniables de ce protocole. En février 2019, près de 50 % des sites web les plus importants utilisaient HTTPS par défaut. Atteindrons-nous un jour 100 % ? Vous pouvez nous aider à y parvenir en demandant à vos sites préférés d'utiliser le protocole HTTPS ou en devenant vous-même un développeur web soucieux de la sécurité.

🙋🏽🙋🏻‍♀️🙋🏿‍♂️Vous avez des questions sur ce sujet ? Nous vous répondrons volontiers ! Posez simplement votre question dans l'espace ci-dessous !