HTTPS : ce que cela signifie et pourquoi c’est important

Nous profitons tous de l’incroyable diversité des sites Web sur Internet. Divertissement, information, inspiration, prestations de service et bien d’autres encore sont apparemment disponibles en quantités illimitées. Mais malheureusement, tous les sites Web ne sont pas bénins. Il existe, comme en dehors du monde numérique, des hommes d’affaires douteux, des cybercriminels et du crime organisé. C’est ainsi que des utilisateurs de services de banque en ligne sont attirés vers de faux sites Web, afin de pouvoir intercepter leurs identifiants. Il arrive aussi que quelqu’un installe un point d’accès WLAN public, afin de pouvoir écouter en secret la communication qui a lieu à partir de celui-ci.

Au début, l’ensemble du trafic de données sur le World Wide Web a été déployé de manière ouverte, c’est-à-dire en clair et facile à pirater. C’est le protocole HTTP qui intercède pour la communication entre le client (navigateur Web) et le serveur Web, sans chiffrement. Ceci facilite les activités criminelles et l’espionnage de métadonnées ou attaque-de-l’homme-du-milieu.

C’est pour rendre le Web plus sûr que le HTTPS a été développé. Prenez connaissance ici de ce qu’est le HTTPS et comment il fonctionne.

L’abréviation HTTPS signifie « Hypertext Transfer Protocol Secure », qui se traduit par « Protocole hypertexte de transmission sécurisé ». Le protocole de transmission est en quelque sorte le langage par lequel le client - en règle générale le navigateur - et le serveur Web se comprennent. Le HTTPS est la version du protocole de transmission qui opère en transmission chiffrée.

Le HTTPS remplit deux fonctions :

La communication entre le client Web et le serveur Web est chiffrée. Ceci afin d’empêcher qu’un tiers non autorisé « écoute » la communication en prenant par exemple connaissance du trafic en réseau WLAN.

Le serveur Web est authentifié par le fait qu’en tout début de communication, un certificat est envoyé au client Web pour attester de la crédibilité du domaine. Cette mesure contribue à combattre les tromperies résultant de faux sites Web.

Quelle différence entre protocole HTTP et HTTPS ? La réponse simple est : techniquement, aucune ! Le protocole lui-même, c’est à dire la syntaxe, est identique dans les deux variantes.

La différence réside dans le fait que le HTTPS utilise un protocole de transport particulier, à savoir SSL/TLS. Ce n’est pas le protocole lui-même, mais son mode de transport qui est sécurisé de manière supplémentaire. On peut comparer par analogie :

• Deux personnes se téléphonent.
• Elles utilisent un langage commun pour se comprendre : HTTP.
• La liaison téléphonique par laquelle transite leur conversation n’est pas sécurisée dans le cas d’HTTP, tandis que dans le cas d’HTTPS, elle est spécialement protégée des oreilles indiscrètes.

Le tableau qui suit rassemble les différences essentielles du point de vue de l’utilisateur :

Selon les navigateurs et les paramétrages de sécurité, le logiciel peut même empêcher l’ouverture d’un site Web non sécurisé ou indiquer un avertissement à la place de la page Web.

Ce n’est pas HTTP lui-même qui est responsable de la sécurité, mais le protocole de transport sous-jacent. Où se trouve la différence ?

Le protocole HTTP ne gouverne que la façon dont les contenus doivent être structurés et comment le client Web et le serveur Web échangent entre eux. Par contre, le protocole de transport définit comment les flux de données doivent être transmis entre les ordinateurs. Il s’assure par exemple qu’aucun paquet de données n’est perdu. Le protocole de transport standard également utilisé par HTTP est le TCP, le « Transmission Control Protocol ».

Il existe une extension à ce protocole qui chiffre les flux de données. Cette extension s’appelle TLS (ancien nom : SSL). Toute communication transmise au moyen de ce protocole de transport est ainsi chiffrée de manière que seul le vrai destinataire (navigateur Web ou serveur Web) puisse lire le contenu transmis.

Lorsqu’une URL est indiquée avec le préfixe

http://https://,

Les capacités des hackers à espionner et manipuler les sites Web augmentent sans arrêt. C’est pourquoi il est important de chiffrer les flux de données - en particulier sur les réseaux librement accessibles - à un point d’accès public Wifi.

HTTPS est le nouveau standard. Comme indiqué plus haut, les sites Web sans HTTPS sont au minimum étiquetés négativement, voire même bloqués par les navigateurs Web actuels. Par contre, HTTPS est considéré apparemment de manière positive dans le classement Google, même si Google ne l’a pas explicitement confirmé jusqu’à présent.

Le Règlement Général sur la Protection des Données (RGPD) prescrit que les sites Web doivent être maintenus selon l’état de l’art le plus récent en matière de sécurité, ce qui signifie actuellement : HTTPS.