Le protocole HTTPS, vers des sites web sécurisés
Depuis l’émergence de nouvelles fraudes sur internet, les professionnels de la sécurité pour le web n’ont pas cessé d’étudier les possibilités pour rendre la navigation des internautes plus sûre. En cette année 2017, l’enjeu n’en est que plus important au vu de la diversité des déviances existantes. Au travers de cet article, nous allons explorer cet univers qu’est la sécurité par le protocole HTTPS : en comprendre la signification complète, ses enjeux et les différentes problématiques que soulève celui-ci.
Un peu de théorie
Petit cours théorique pour démarrer : que signifie HTTPS ? C’est l’abréviation suivante : HyperText Transfer Protocol Secure.
Cette définition se scinde en deux parties distinctes. La première est le protocole HTTP, HyperText Transfer Protocol, majoritairement répandu sur le web, il est en ligne depuis 1990. Pour faire simple, celui-ci a pour objectif de transférer des paquets de données par le biais d’un URL entre un navigateur installé (comprenez ici le client) et un serveur web. HTTP n’est pas un langage de programmation même si les nombreuses syntaxes utilisées laissent à penser le contraire. Il s’agit en fait d’un moyen de communication entre deux entités permettant donc de formuler des demandes et des réponses. En réalité, ce protocole s’intègre à des langages de programmation, distinction à assimiler.
La deuxième partie du protocole HTTPS, c’est le Transport Layer Security ou TLS en abrégé (anciennement SSL). Il s’agit ici du protocole de sécurisation s’ajoutant à l’HTTP basique, fonctionnant sur le même système que celui impliquant un client et un serveur. La sécurisation du protocole HTTP et donc de la connexion d’un internaute doit alors répondre à trois critères :
- Authentification du serveur
- Garantie de la confidentialité
- Intégrité des données échangées
Pour ne pas s’étendre sur le fonctionnement du protocole TLS, qui avouons-le est complexe, comprenez ici qu'un système de chiffrement et un système de signature cryptographique sont utilisés pour vérifier le certificat de sécurité.
Pour répondre à une question évidente, comment savoir si l’on navigue sur un site sécurisé par HTTPS ? Il vous suffit de cliquer sur le cadenas présent à côté de l’URL du navigateur pour connaître la nature du protocole utilisé. En règle générale, si celui-ci est vert, tout est OK.
D’ailleurs comment passer son site de HTTP vers HTTPS ? Il faut en fait acquérir des certificats auprès d'un hébergeur ou entreprise compétente puis effectuer un travail en interne sur son site : vérification des liens, XML, redirections…
Les enjeux du protocole HTTPS
C’est ici qu’une précision doit être faite. L’intérêt de HTTPS est avant tout de limiter considérablement la récolte de données sensibles et non d’être seulement un élément de sécurité. Nous parlions tout à l’heure de transferts de données, c’est sur ce point précis que le protocole démontre toute son efficacité.
Les enjeux du protocole HTTPS sont nombreux. En fait, depuis le développement de multiples activités sur le web, la sécurisation est une nécessité pour tous : e-commerces, agences web, sites d’informations… toutes ces activités en ligne impliquent aujourd’hui un niveau de sécurité élevé. Pour prendre le cas de figure du référencement par exemple, Google accorde aujourd’hui une importance majeure aux sites sécurisés. Pour récompenser ces sites, la solution est simple pour le géant : un meilleur positionnement dans le classement des résultats de recherche. Donnée officielle partagée par Google, ces sites sous HTTPS représentent 40% des résultats sur la première page.
Pour le cas des e-commerces, il est primordial que le protocole soit mis en place. Si ce n’est pas le cas, fuyez ! Lors du paiement, vous rentrez en général des données très sensibles alors il est normal que ces mêmes données soient sécurisées lors de la transaction. C’est simple, sans le protocole TLS, il est possible que vos données soient gentiment piratées.
Mais la sécurité ne se limite pas à ce genre d’activités, imaginez également un scénario dans lequel vous souhaitez administrer un site important dans un lieu public par exemple, un pirate peut très bien s’introduire dans le système et ainsi récupérer l’ensemble des données sensibles comme les identifiants de connexion : là, c’est le drame.
Pour vous donner une idée de l’ampleur du ‘phénomène’ de sécurisation du web, Chrome exigera dans un futur proche qu’un ensemble de formulaires ou sites chargés en navigation privée soient sécurisés avec le protocole.
Les problématiques soulevées
Néanmoins, HTTPS ne signifie pas forcément sécurisation optimale ni assurance d’un excellent positionnement sur le web. C’est là tout le problème. Beaucoup d’internautes s’imaginent qu’avec un tel protocole de sécurité, tout peut être fait sans aucune peur : grosse erreur. Internet reste tout de même une plateforme sujette à de nombreuses déviances, il convient donc de s’en prémunir.
De plus, il est intéressant de savoir que le HTTPS présente aussi des inconvénients. Outre sa mise en place parfois onéreuse, les temps de chargement sont parfois en hausse. L’existence de flux externes tels que des publicités issues de serveurs non sécurisés peut également poser des problèmes avec l’affichage de pop-up de sécurité. Les revenus Adsense sont souvent revus à la baisse si la sécurisation est effective. L’objectif n’est pas de pénaliser le propriétaire du site mais de filtrer les annonces pour qu’elles soient en conformité avec le protocole TLS pour plus de sécurité.
Vous l’avez compris, la sécurité passe également par la confiance que l’on accorde au site internet visité. Ne plaçons pas notre confiance en n’importe quel site. Nous ne sommes jamais à l’abri des pirates !
SEV Ouest Communication vous accompagne pour effectuer votre transition HTTP vers HTTPS, n'hésitez pas à nous contacter !