Page d'accueil » comment » Qu'est-ce que HTTPS et pourquoi devrais-je m'en soucier?

    Qu'est-ce que HTTPS et pourquoi devrais-je m'en soucier?

    HTTPS, l'icône de cadenas dans la barre d'adresse, une connexion cryptée à un site Web, c'est ce que l'on appelle beaucoup de choses. Alors qu'il était autrefois réservé principalement aux mots de passe et autres données sensibles, l'ensemble du Web abandonne progressivement HTTP et passe à HTTPS..

    Le “S” dans HTTPS signifie “Secure”. Il s'agit de la version sécurisée du «protocole de transfert hypertexte» standard utilisé par votre navigateur Web lors de la communication avec des sites Web..

    Comment HTTP vous met à risque

    Lorsque vous vous connectez à un site Web avec un protocole HTTP normal, votre navigateur recherche l'adresse IP correspondant au site Web, se connecte à cette adresse IP et suppose qu'il est connecté au serveur Web approprié. Les données sont envoyées via la connexion en texte clair. Un espion sur un réseau Wi-Fi, votre fournisseur de service Internet ou des agences de renseignement gouvernementales comme la NSA peuvent voir les pages Web que vous visitez et les données que vous transférez..

    Cela pose de gros problèmes. D'une part, il n'y a aucun moyen de vérifier que vous êtes connecté au bon site web. Peut-être toi pense vous avez accédé au site Web de votre banque, mais vous vous trouvez sur un réseau compromis qui vous redirige vers un site Web imposteur. Les mots de passe et les numéros de carte de crédit ne doivent jamais être envoyés via une connexion HTTP, sans quoi un indiscret pourrait les voler..

    Ces problèmes se produisent car les connexions HTTP ne sont pas cryptées. Les connexions HTTPS sont.

    Comment le cryptage HTTPS vous protège

    HTTPS est beaucoup plus sécurisé que HTTP. Lorsque vous vous connectez à un serveur sécurisé par HTTPS, des sites tels que ceux de votre banque vous redirigent automatiquement vers HTTPS. Votre navigateur Web vérifie le certificat de sécurité du site Web et vérifie qu'il a été émis par une autorité de certification légitime. Cela vous aide à vous assurer que, si vous voyez «https://bank.com» dans la barre d'adresse de votre navigateur Web, vous êtes réellement connecté au site Web réel de votre banque. La société qui a délivré le certificat de sécurité en atteste. Malheureusement, les autorités de certification émettent parfois de mauvais certificats et le système tombe en panne. Bien qu'il ne soit pas parfait, HTTPS est toujours beaucoup plus sécurisé que HTTP..

    Lorsque vous envoyez des informations sensibles via une connexion HTTPS, personne ne peut les écouter en transit. Le HTTPS est ce qui rend les opérations bancaires et les achats en ligne sécurisés possibles.

    Il offre également une confidentialité supplémentaire pour la navigation Web normale. Par exemple, le moteur de recherche de Google utilise désormais par défaut les connexions HTTPS. Cela signifie que les internautes ne peuvent pas voir ce que vous recherchez sur Google.fr. Il en va de même pour Wikipedia et d'autres sites. Auparavant, tous les utilisateurs du même réseau Wi-Fi pouvaient consulter vos recherches, de même que votre fournisseur de services Internet..

    Pourquoi tout le monde veut laisser HTTP derrière

    HTTPS était à l'origine destiné aux mots de passe, aux paiements et à d'autres données sensibles, mais tout le Web évolue désormais dans ce sens..

    Aux États-Unis, votre fournisseur de services Internet est autorisé à surveiller votre historique de navigation Web et à le vendre à des annonceurs. Si le Web passe à HTTPS, votre fournisseur de service Internet ne peut pas voir autant de ces données. Il voit seulement que vous vous connectez à un site Web spécifique, par opposition aux pages individuelles que vous consultez. Cela signifie beaucoup plus de confidentialité pour votre navigation.

    Pire encore, HTTP permet à votre fournisseur de services Internet de modifier les pages Web que vous visitez, s’il le souhaite. Ils pourraient ajouter du contenu à la page Web, modifier la page ou même supprimer des éléments. Par exemple, les fournisseurs de services Internet pourraient utiliser cette méthode pour injecter davantage de publicités dans les pages Web que vous visitez. Comcast émet déjà des avertissements sur sa limite de bande passante et Verizon a injecté un super-cookie utilisé pour le suivi des publicités. HTTPS empêche les fournisseurs de services Internet et toute autre personne exploitant un réseau d'altérer de telles pages Web.

    Et, bien sûr, il est impossible de parler de cryptage sur le Web sans mentionner Edward Snowden. Les documents divulgués par Snowden en 2013 montraient que le gouvernement des États-Unis surveillait les pages Web visitées par les utilisateurs d'Internet du monde entier. Cela a incité beaucoup d'entreprises technologiques à évoluer vers un cryptage et une confidentialité accrus. En passant à HTTPS, les gouvernements du monde entier ont plus de mal à consulter toutes vos habitudes de navigation..

    Comment les navigateurs encouragent les sites Web à transférer HTTP

    En raison de cette volonté de passer à HTTPS, toutes les nouvelles normes conçues pour accélérer le Web exigent le cryptage HTTPS. HTTP / 2 est une nouvelle version majeure du protocole HTTP pris en charge par tous les principaux navigateurs Web. Il ajoute des fonctionnalités de compression, de traitement en pipeline et autres qui accélèrent le chargement des pages Web. Tous les navigateurs Web exigent que les sites utilisent le cryptage HTTPS s’ils souhaitent utiliser ces nouvelles fonctionnalités utiles HTTP / 2. Les appareils modernes disposent d’un matériel dédié pour traiter le chiffrement AES requis par HTTP. Cela signifie que HTTPS devrait en réalité être plus rapide que HTTP.

    Alors que les navigateurs rendent le HTTPS attrayant avec de nouvelles fonctionnalités, Google rend le HTTP peu attrayant en pénalisant les sites Web pour l’utiliser. Google prévoit de signaler les sites Web qui n'utilisent pas le protocole HTTPS comme non sécurisé dans Chrome et Google souhaite définir un ordre de priorité pour les sites Web qui utilisent le protocole HTTPS dans les résultats de recherche Google. Cela incite fortement les sites Web à migrer vers HTTPS..

    Comment vérifier si vous êtes connecté à un site Web à l'aide de HTTPS

    Vous pouvez savoir que vous êtes connecté à un site Web avec une connexion HTTPS si l'adresse dans la barre d'adresse de votre navigateur Web commence par «https: //». Vous verrez également une icône de verrou sur laquelle vous pourrez cliquer pour obtenir plus d'informations sur la sécurité du site..

    Cela semble un peu différent dans chaque navigateur, mais la plupart des navigateurs ont en commun l’icône https: // et le verrou. Certains navigateurs cachent maintenant le «https: //» par défaut, vous verrez donc une icône de verrou à côté du nom de domaine du site Web. Cependant, si vous cliquez ou tapez dans la barre d’adresse, vous verrez la partie «https: //» de l’adresse..

    Si vous utilisez un réseau inconnu et que vous vous connectez au site Web de votre banque, assurez-vous de voir le protocole HTTPS et l'adresse correcte du site Web. Cela vous permet de vous assurer que vous êtes réellement connecté au site Web de la banque, bien que ce ne soit pas une solution infaillible. Si vous ne voyez pas d'indicateur HTTPS sur la page de connexion, vous pouvez être connecté à un site Web imposteur sur un réseau compromis..

    Attention aux astuces de phishing

    La présence de HTTPS en soi ne garantit pas la légitimité d'un site. Certains phishers intelligents ont compris que les internautes recherchaient l'indicateur HTTPS et l'icône de cadenas et qu'ils pouvaient se cacher pour dissimuler leurs sites Web. Vous devez donc rester prudent: ne cliquez pas sur les liens dans les courriels de phishing, sinon vous risquez de vous retrouver sur une page savamment déguisée. Les fraudeurs peuvent également obtenir des certificats pour leurs serveurs frauduleux. En théorie, ils ne sont autorisés qu'à imiter des sites qu'ils ne possèdent pas. Vous pouvez voir une adresse comme https://google.com.3526347346435.com. Dans ce cas, vous utilisez une connexion HTTPS, mais vous êtes vraiment connecté à un sous-domaine d'un site nommé 3526347346435.com-not Google.

    D'autres escrocs peuvent imiter l'icône du verrou en modifiant le favicon de leur site Web qui apparaît dans la barre d'adresse en un verrou pour vous tromper. Gardez un œil sur ces astuces lorsque vous vérifiez votre connexion à un site Web..