Cybersecurité

Le HTTPS fait sans aucun doute partie des méthodes informatiques les plus populaires du moment pour sécuriser l’échange de données sur internet. Incontournable pour de nombreux sites, est-il réellement suffisant pour se considérer en sécurité lors de la navigation en ligne ?

Qu’est ce que le HTTPS ?

Littéralement Hypertext Transfer Protocol Secure, le HTTPS permet en réalité de désigner la version sécurisée du langage informatique HTTP. Ce dernier a notamment pour but de permettre la liaison entre un client et un serveur sur le web. Pour faire plus précis, le HTTPS correspond à la combinaison entre le langage HTTP et un protocole SSL ou TLS dont l’objectif est de sécuriser les échanges sur internet. Parmi les fonctionnalités permises par le HTTPS, on note la protection de l’authentification d’un serveur, la confidentialité et l’intégrité des données. 

Les informations envoyées à l’aide du protocole HTTPS sont sécurisées via le protocole TLS (Transport Layer Security) qui permet de mettre en place trois niveaux de protection. Le chiffrement permet de coder les données échangées afin de les rendre illisibles en cas d’interception illicite. Par ailleurs, les informations ne peuvent être ni modifiées, ni corrompues pendant leur transfert. Enfin, c’est un bon moyen d’authentification, qui prouve aux internautes qu’ils sont bien en lien avec le bon site web. Par ailleurs, cette authentification protège contre les attaques dites “Man-in-the-middle”, popularisées depuis la fin des années 2000. 

C’est donc à la fin des années 2000 que le protocole HTTP classique a commencé à montrer ses failles : des problèmes de sécurité dans la gestion du protocole entre le serveur et le client ont été mis en évidence par plusieurs informaticiens. Il aura fallu quelques années, mais depuis début 2017, certains navigateurs internet ont commencé à dévoiler dans sa barre de navigation les services et sites qui collectent des données personnelles sans utiliser le protocole HTTPS. L’objectif est simple : faire prendre conscience aux internautes qu’ils sont sur un site non-sécurisé, mais aussi pousser de nombreux sites à adopter le protocole.

Ainsi, si à l’origine les sites les plus “sensibles” comme les banques, les réseaux sociaux ou les boutiques en ligne étaient les seules à utiliser le HTTPS, la pratique s’est désormais démocratisée et généralisée, le tout dans une optique globale de cybersécurité

Quelles différences entre le HTTP et le HTTPS ?

Chrome HTTPS Warning

Le protocole HTTP permet le transfert de données entre un navigateur et un serveur web. L’inconvénient principal de ce type de connexion réside dans le fait qu’elle n’est pas sécurisée : aucun chiffrement des données des utilisateurs n’est opéré. Ainsi, si un utilisateur décide d’y entrer des informations confidentielles comme des coordonnées bancaires ou un mot de passe, il prend potentiellement le risque qu’une tierce personne malveillante les utilise à mauvais escient. 

C’est pour cette raison que de nombreux sites décident de migrer vers le HTTPS, afin de tranquilliser les utilisateurs et garantir une certaine confidentialité des données. D’ailleurs, de grands acteurs du web ont pu faire le maximum depuis quelques années afin de démocratiser au mieux ce protocole, parmi lesquels Google.

Les actions de Google pour normaliser le protocole HTTPS

Dès 2014, Google a décidé de mettre en avant les sites ayant une connexion sécurisée (notamment au niveau du SEO / de la visibilité des sites sur le moteur de recherche). L’idée était simple : forcer la plupart des sites à passer en HTTPS pour bénéficier de l’exposition permise par un bon référencement chez Google. Depuis 2017, Google affiche par ailleurs un label “non-sécurisé” sur les pages HTTP pour les utilisateurs de Chrome (le navigateur le plus populaire au monde actuellement), afin d’indiquer aux internautes que leur connexion à tel ou tel site n’est pas optimale du point de vue de la confidentialité. 

Ce faisant, les sites employant le protocole HTTP sont désormais considérés comme dépassés. Pour se faire une idée, actuellement 68% du trafic de Chrome sur Android et Windows passe par la protection HTTPS, et plus de 78% pour iOS et MAC. Par ailleurs, 81 des 100 premiers sites du web utilisent HTTPS par défaut.

Comment savoir si un site emploie le protocole sécurisé ?

Pour savoir si le HTTPS est utilisé sur des pages internet, il suffit de vérifier la présence de l’indicateur en forme de cadenas à côté de l’URL de lesdites pages. Sur Chrome, un site HTTP aura la mention “non-sécurisé” au même endroit, ce qui signifie bien que la connexion ne respecte pas le protocole de sécurité. 

Si l’on est pas sûr, il est toujours possible de vérifier sur l’URL elle-même : si l’adresse commence par HTTPS, alors on profite ici d’une connexion sécurisée. De manière générale, Google Chrome, Mozilla Firefox et les principaux navigateurs apportent désormais des messages d’avertissement histoire d’indiquer à l’internaute qu’il s’apprête à entrer sur une page non-sécurisée.

Les principales limites du protocole

Malgré les nombreuses qualités du HTTPS, il serait erroné d’affirmer que les sites employant ce protocole règlent tous les problèmes de sécurité. Contrairement à un préconçu, le protocole, s’il est plus sécurisé, ne signifie pas que les données des utilisateurs ne sont pas collectées, utilisées voire revendues. Seul le trafic entre le site et l’ordinateur est chiffré. Par exemple, Facebook emploie le HTTPS depuis 2010, mais l’on sait très bien depuis que la firme a malgré tout permis à Apple, Samsung et d’autres constructeurs de smartphones d’accéder librement aux données de ses membres. Dans la plupart des cas, nous ne savons pas comment les données sont stockées après une visite sur un site, qu’il bénéficie de ce protocole ou non.

Autrement dit, désormais, même des sites frauduleux (phishing, boutiques en ligne suspicieuses…) peuvent profiter de ce protocole de sécurité. Le piège est donc simple : on se rend sur un site en le pensant sécurisé, mais il ne l’est pas réellement. Il est donc important de rester extrêmement vigilant, que l’on soit sur un site employant le HTTPS ou pas.

Un antivirus reste ainsi fortement conseillé afin de protéger les données pouvant être mises à mal par le téléchargement inopiné d'un malware.

  • moodEssai 30 jours
  • devices3 à 10 appareils
  • phishingAnti-phishing inclus
  • local_atmAnti-ransomware inclus
  • groupsContrôle parental inclus
9.5 / 10

HTTPS et piratage

S’il est évident que le HTTP représente clairement l’ancien temps en terme de sécurité des données, le HTTPS n’est pas non plus inviolable. Les pirates emploient en effet des techniques de dissimulation et s’adaptent au fil des années aux différentes méthodes de sécurisation des sites internet.

Ainsi, si il sera en principe difficile pour un hacker de récupérer les données issues d’un site HTTPS, il pourra néanmoins créer un faux site employant un certificat SSL ou TLS gratuit via Let’s Encrypt (par exemple) pour tromper les internautes.

Autrement dit, désormais, même des sites frauduleux (phishing, boutiques en ligne suspicieuses…) peuvent profiter de ce protocole de sécurité. Le piège est donc simple : on se rend sur un site en le pensant sécurisé, mais il ne l’est pas réellement.

Les internautes, croyant être entrés sur une plateforme sécurisée, pourraient ainsi potentiellement tomber dans le piège du hacker, qu’il s’agisse de phishing ou de vol de mot de passe.

Comme pour tout ce qui a trait à la navigation à internet, il est donc important de prendre conscience que l’on est jamais protégé à 100% : la vigilance est donc toujours de mise.

Rajoutons au passage qu'en plus d'un antivirus protégeant votre machine, un VPN permettra de surfer anonymement sur la Toile.