Nouvelles

HTTPS : surfez en confiance, mais ouvrez l'œil

10 septembre 2019

Grâce au protocole HTTPS, la liaison entre votre navigateur (browser) et le site que vous visitez est cryptée. Mais qu'est-ce qui est protégé exactement ? Et qu'est-ce qui ne l'est pas ? Autrement dit, pouvons-nous surfer en toute tranquillité, ou devons-nous rester vigilants à certains égards ?

Qu'est-ce que HTTPS ?

Les transferts de données entre votre navigateur et le site visité passent par le protocole HTTP (hyper text transfer protocol). HTTPS est une extension qui établit une liaison TLS afin de crypter le trafic HTTP.

Le protocole TLS utilise des certificats pour authentifier les données échangées et garantir la confidentialité.

Lorsque vous accédez à un site web, votre navigateur vérifie le certificat de ce site auprès d’un registre centralisé, appélé « Certificate Authority ». Grâce à ce contrôle, vous êtes sûr que le serveur trouvé est bien celui qu'il prétend être (authentification).

Vient ensuite le « handshake » (poignée de main) : votre navigateur et le serveur se mettent d'accord sur le type de cryptage à appliquer. À partir de ce moment, la communication entre les deux parties est cryptée.

Comment le gestionnaire du site installe-t-il HTTPS, et quels sont les avantages ?

Pour pouvoir offrir HTTPS, vous avez besoin d'un certificat SSL. Vous avez le choix entre un certificat Let's Encrypt gratuit et un certificat payant d'un émetteur de certificats. Après accord et délivrance du certificat, vous installerez celui-ci sur votre serveur.

Une liaison HTTPS :

  • renforce la confiance dans votre site web en termes de sécurité (paiements en ligne, connexion sécurisée) et de protection de la confidentialité.
  • améliore la SEO ou Search Engine Optimization : Google privilégie les sites web avec HTTPS dans le classement des résultats de recherche, même s'il s'agit de sites « ordinaires », sans achats ni transactions financières.
  • prévient les transactions avortées : les navigateurs Firefox et Chrome avertissent l'utilisateur qui remplit un formulaire web sur une page non-HTTPS. L'utilisateur alerté va généralement interrompre tout de suite l'interaction.

N'oubliez pas d'ajouter une ligne CAA dans la configuration DNS de votre nom de domaine. Cette ligne désigne l'émetteur qui peut délivrer des certificats pour le nom de domaine. Demandez à votre fournisseur internet ou à votre hébergeur de vous accompagner dans la procédure.

Quant à l'utilisateur, comment reconnaît-il HTTPS ? Et quels sont ses avantages ?

Votre navigateur (Firefox, Edge, Chrome, Safari…) signale la présence de HTTPS à l'aide d'un symbole. Celui-ci varie avec le navigateur et selon que la navigation est mobile ou non : cadenas fermé, le mot 'secure' dans la barre d'adresse, etc.

Si vous accédez à un site sans HTTPS, mais qui demande une interaction du type propre à un environnement sécurisé (compléter un formulaire web, se connecter avec un mot de passe…), un avertissement apparaît.

Une connexion HTTPS apporte la protection suivante :

  • Confidentialité et intégrité : la liaison entre votre navigateur (browser) et le site que vous visitez est cryptée. Autrement dit, les données échangées ne peuvent être interceptées ni modifiées. C'est très important, notamment dans les opérations bancaires Internet ou les achats et paiements en ligne. Si vous surfez par exemple dans un café via une liaison Wifi ouverte, personne ne pourra insérer de faux liens ou des logiciels malveillants dans les contenus.
  • Authenticité : le certificat vous permet de vous assurer que le site web visité est authentique.

Attention : HTTPS ne supprime pas tous les risques !

Aujourd'hui, les usagers belges sont habitués à HTTPS. Ils savent reconnaître une connexion internet cryptée et en comprennent l'importance. C'est ce que montre une étude de marché réalisée à la fin de l'année dernière par InSites Consulting à la demande de DNS Belgium : pour savoir si un site est digne de confiance, le Belge moyen se base principalement sur la présence de HTTPS (45%).

Cela dit, le sentiment de sécurité qui en résulte peut être trompeur. En effet, HTTPS sécurise la connexion avec le site web, mais ne donne aucune certitude quant à la fiabilité du site visité.

La plupart des certificats SSL, qui servent de base à la connexion HTTPS, se contentent de procurer une clé de cryptage au serveur. Et votre navigateur se contente de vérifier la présence de cette clé.

Seuls les certificats (plus chers) Extended Validation (EV), que DNS Belgium utilise aussi, garantissent l'identité du demandeur, par exemple via le registre de commerce. Mais cela ne nous renseigne pas sur le contenu proprement dit du site.

Les cybercriminels ne se privent pas d'exploiter cette fallacieuse impression de sécurité. De plus en plus souvent, ils s'organisent pour que le site utilisé par exemple pour lancer une attaque de phishing offre aussi une connexion HTTPS. Ils savent que le visiteur sera rassuré en voyant dans son navigateur le symbole indiquant une connexion HTTPS.

Pensez-y : le petit cadenas fermé de votre navigateur, qui signale une connexion HTTPS, ne vous protège pas du phishing ni d'autres formes de fraude. Restez toujours sur vos gardes. Et réfléchissez bien avant de cliquer sur un lien dans un e-mail !

Avec cet article, nous contribuons à réaliser ces objectifs de développement durable de l’Organisation des Nations Unies.