Qu'est-ce que le HTTPS ?
Le protocole de transfert hypertexte sécurisé (HTTPS) est la version sécurisée de HTTP, qui est le principal protocole utilisé pour envoyer des données entre un navigateur Web et un site Web. HTTPS est crypté afin d'augmenter la sécurité du transfert de données. Ceci est particulièrement important lorsque les utilisateurs transmettent des données sensibles, par exemple en se connectant à un compte bancaire, à un service de messagerie ou à un fournisseur d'assurance.
Tout site Web, en particulier ceux qui nécessitent des identifiants de connexion, doit utiliser HTTPS. Dans les navigateurs Web modernes tels que Chrome et Internet Explorer, les sites Web qui n'utilisent pas HTTPS sont marqués différemment de ceux qui l'utilisent. Recherchez un cadenas vert dans la barre d'URL pour indiquer que la page Web est sécurisée. Les navigateurs Web prennent de plus en plus le HTTPS au sérieux ; Google Chrome et d'autres navigateurs signalent tous les sites Web non HTTPS comme non sécurisés.
Comment fonctionne HTTPS ?
HTTPS utilise un protocole de chiffrement pour chiffrer les communications. Le protocole s'appelle Transport Layer Security (TLS), bien qu'il s'appelait auparavant Secure Sockets Layer (SSL). Ce protocole sécurise les communications en utilisant ce que l'on appelle une infrastructure à clé publique asymétrique. Ce type de système de sécurité utilise deux clés différentes pour chiffrer les communications entre deux parties :
- La clé privée : cette clé est contrôlée par le propriétaire d'un site Web et elle est gardée, comme le lecteur l'a peut-être supposé, privée. Cette clé se trouve sur un serveur Web et est utilisée pour déchiffrer les informations chiffrées par la clé publique.
- La clé publique : cette clé est disponible pour tous ceux qui souhaitent interagir avec le serveur de manière sécurisée. Les informations chiffrées par la clé publique ne peuvent être déchiffrées que par la clé privée.
Pourquoi le HTTPS est-il important ?
HTTPS empêche les sites Web de diffuser leurs informations d'une manière facilement visible par toute personne écoutant sur le réseau. Lorsque des informations sont envoyées via HTTP standard, les informations sont divisées en paquets de données qui peuvent être facilement « snifées » à l'aide d'un logiciel gratuit. Cela rend la communication sur un support non sécurisé, tel que le Wi-Fi public, très vulnérable à l'interception. En fait, toutes les communications qui se produisent via HTTP se produisent en texte brut, ce qui les rend hautement accessibles à toute personne disposant des outils appropriés et vulnérables aux attaques sur le chemin.
Avec HTTPS, le trafic est crypté de sorte que même si les paquets sont interceptés, ils apparaîtront comme des caractères absurdes.
Dans les sites Web sans HTTPS, il est possible pour les fournisseurs de services Internet (FAI) ou d'autres intermédiaires d'injecter du contenu dans des pages Web sans l'approbation du propriétaire du site Web. Cela prend généralement la forme de publicité, où un FAI cherchant à augmenter ses revenus injecte de la publicité payante dans les pages Web de ses clients. Sans surprise, lorsque cela se produit, les bénéfices des publicités et le contrôle de la qualité de ces publicités ne sont en aucun cas partagés avec le propriétaire du site Web. HTTPS élimine la capacité des tiers non modérés à injecter de la publicité dans le contenu Web.
En quoi HTTPS est-il différent de HTTP ?
Techniquement parlant, HTTPS n'est pas un protocole distinct de HTTP. Il utilise simplement le cryptage TLS/SSL sur le protocole HTTP. HTTPS se produit sur la base de la transmission de certificats TLS/SSL, qui vérifient qu'un fournisseur particulier est bien celui qu'il prétend être.
Lorsqu'un utilisateur se connecte à une page Web, la page Web enverra son certificat SSL qui contient la clé publique nécessaire pour démarrer la session sécurisée. Les deux ordinateurs, le client et le serveur, passent ensuite par un processus appelé poignée de main SSL/TLS, qui est une série de communications aller-retour utilisées pour établir une connexion sécurisée.
Comment un site Web utilise HTTPS ?
De nombreux hébergeurs de sites Web et autres services proposent des certificats TLS/SSL moyennant des frais. Ces certificats seront souvent partagés entre plusieurs clients. Des certificats plus coûteux sont disponibles et peuvent être enregistrés individuellement sur des propriétés Web particulières.