Depuis quelques temps, nous assistons à l’émergence d’un nouveau phénomène sur le web. Notre traditionnelle adresse web qui commençait par « http:// » a mué en « https:// » sur un certain nombre de sites web. Les spécialistes annoncent ce nouveau protocole comme une révolution dans la sécurité des communications sur le web et on ne compte plus le nombre d’entreprises et d’organisations qui l’ont adopté. Mais, qu’est-ce que c’est que le HTTPS ? Quelles différences y-a-t-il entre ce protocole et ses prédécesseurs ? Pour répondre à cet ensemble d’interrogations, nous allons nous intéresser aux spécificités du HTTPS.
Pour une meilleure protection des internautes
Les premiers protocoles internet, à savoir TCP/IP et HTTP avaient avant tout pour but de faciliter les communications sur le « réseau des réseaux ». La liberté était le maître mot et personne n’avait pensé que les délinquants allaient également débarquer sur internet. C’est cette erreur qui a justifié la création du HTTPS.
Le HTTPS, également connu sous les appellations de « HTTP over Transport Layer Security (TLS) », « HTTP over SSL » et « HTTP Secure » est un protocole visant une communication sécurisée sur un réseau informatique. Le HTTPS consiste en une communication via le protocole HTTP (Hypertext Transfer Protocol) via une connexion chiffrée par TLS ou son prédécesseur, Secure Sockets Layer (SSL). La principale raison d’existence du HTTPS est l’authentification du site Web visité et la protection de la confidentialité et de l’intégrité des données échangées.
Dans son déploiement populaire sur Internet, le HTTPS fournit une authentification du site web et du serveur Web associé avec lequel on communique, ce qui protège contre les attaques du type «man-in-the-middle». De plus, il fournit un cryptage bidirectionnel des communications entre le client et le serveur, ce qui protège contre l’écoute indiscrète et la falsification du contenu de la communication. En pratique, cela garantit à l’utilisateur qu’il communique précisément avec le site web avec lequel il a l’intention de communiquer et non un site d’hameçonnage (phishing en anglais).
Historiquement, les connexions HTTPS étaient principalement utilisées pour les transactions de paiement sur le World Wide Web, le courrier électronique et pour les transactions sensibles dans les systèmes d’information d’entreprises. À la fin des années 2000 et au début des années 2010, le HTTPS a commencé à être largement utilisé pour protéger l’authenticité des pages sur tous les types de sites web, sécuriser les comptes et garder les communications, l’identité et la navigation web des utilisateurs privées.
Une robustesse éprouvée
Les pages HTTPS utilisent généralement le SSL (Secure Sockets Layer) ou le TLS (Transport Layer Security), pour crypter les communications. Les protocoles TLS et SSL utilisent tous deux ce que l’on appelle un système d’infrastructure asymétrique à clé publique (ICP). Un tel système utilise deux « clés » pour chiffrer les communications, une clé « publique » et une clé « privée ». Tout ce qui est chiffré avec la clé publique ne peut être décrypté que par la clé privée et vice-versa.
Comme les noms le suggèrent, la clé privée devrait être strictement protégée et ne devrait être accessible qu’au propriétaire de la clé privée. Dans le cas d’un site web, la clé privée reste solidement installée sur le serveur Web. Inversement, la clé publique est destinée à être distribuée à tout le monde et à tous ceux qui ont besoin de pouvoir déchiffrer des informations cryptées avec la clé privée.
Lorsqu’un internaute demande une connexion HTTPS à une page, le site web envoie initialement son certificat SSL au navigateur. Ce certificat contient la clé publique nécessaire pour démarrer la session sécurisée. Sur la base de cet échange initial, le navigateur et le site Web lancent alors la prise de contact SSL qui implique la génération de secrets partagés pour établir une connexion unique et sécurisée entre les deux parties.
Lorsqu’un certificat SSL numérique de confiance est utilisé pendant une connexion HTTPS, les utilisateurs verront une icône de cadenas dans la barre d’adresse du navigateur. Lorsqu’un certificat de validation étendue est installé sur le site web, la barre d’adresse devient alors verte.
L’arme fatale contre les arnaques et les abus
Comme à leur habitude, les escrocs et les malfaiteurs de tout acabit ont vu dans le web une nouvelle façon de se faire de l’argent facile. Des contrefaçons de sites web sérieux ont vu le jour et nombreux sont les internautes qui y ont laissé des plumes.
Toutes les communications envoyées via des connexions HTTP normales sont en ‘texte brut’ et peuvent être lues par tout pirate informatique qui parvient à rompre la connexion entre votre navigateur et le site Web. Cela présente un danger évident si la «communication» porte sur un bon de commande et inclut les coordonnées de carte de crédit ou de numéro de sécurité sociale. Avec une connexion HTTPS, toutes les communications sont cryptées de manière sécurisée. Cela signifie que même si quelqu’un parvient à rompre la connexion, il ne pourra déchiffrer aucune des données qui circulent entre le client et le serveur.
Le HTTPS crée un canal sécurisé sur un réseau non sécurisé. Cela garantit une protection raisonnable contre les intrusions et les attaques d’interception, à condition que des suites de chiffrement adéquates soient utilisées et que le certificat du serveur soit vérifié et approuvé.
Parce que le HTTPS se superpose au HTTP sur TLS, l’intégralité du protocole HTTP sous-jacent peut être cryptée. Cela inclut l’URL de requête, les paramètres de requête, les en-têtes et les cookies communication.
Le HTTPS est particulièrement important sur les réseaux non sécurisés, tels que les points d’accès Wifi publics. En effet, tout utilisateur du même réseau local peut renifler des paquets et découvrir des informations sensibles. En outre, de nombreux réseaux WLAN gratuits et payants utilisent l’injection de paquets pour diffuser leurs propres annonces sur les pages Web. Cependant, ce système peut être exploité de manière malveillante de plusieurs façons comme l’injection de logiciels malveillants sur les pages web et le vol de données privées des utilisateurs.
Une meilleure implication de toutes les parties prenantes
Dans les débuts d’internet, les administrateurs réseau devaient trouver comment partager les informations qu’ils diffusaient sur Internet. Ils ont convenu d’une procédure d’échange d’informations et l’ont baptisé HyperText Transfer Protocol (HTTP). Malheureusement, une fois que tout le monde a su échanger des informations, l’interception sur Internet est devenue très facile.
Les administrateurs compétents ont donc convenu d’une procédure pour protéger les informations échangées. Ils ont eu recours au certificat SSL pour crypter les données en ligne. Le chiffrement signifie que l’expéditeur et le destinataire s’entendent sur un «code» et traduisent leurs documents en chaînes de caractères aléatoires. La procédure de chiffrement des informations, puis son échange ont été nommés HyperText Transfer Protocol Secure (HTTPS).
Les navigateurs web savent comment faire confiance aux sites web HTTPS en fonction des autorités de certification préinstallées dans leur logiciel. Les autorités de certification (telles que Symantec, Comodo, GoDaddy et GlobalSign) sont reconnues par les créateurs de navigateur web comme fournisseurs de certificats valides. Par conséquent, un utilisateur doit approuver une connexion HTTPS à un site web si et seulement s’il est convaincu que le logiciel de navigation implémente correctement le HTTPS. Il doit aussi faire confiance à l’autorité de certification et doit s’assurer que le site Web fournit un certificat valide.
Alors que de plus en plus d’informations sont révélées sur la surveillance de masse mondiale et les criminels qui volent des informations personnelles, l’utilisation de la sécurité HTTPS sur tous les sites devient de plus en plus importante, quel que soit le type de connexion Internet utilisé. Bien que les métadonnées sur les pages visitées ne soient pas sensibles, elles peuvent révéler beaucoup de choses sur l’utilisateur et compromettre sa vie privée.
Une implémentation très facile
Pour préparer un serveur web à accepter les connexions HTTPS, l’administrateur doit créer un certificat à clé publique pour le serveur web en question. Ce certificat doit être signé par une autorité de certification approuvée pour que le navigateur web l’accepte sans avertissement. L’autorité certifie que le détenteur du certificat est l’opérateur du serveur web qui le présente. Les navigateurs web sont généralement distribués avec une liste de certificats de signature des principales autorités de certification afin qu’ils puissent vérifier les certificats signés par ces derniers.
Les certificats signés avec autorité peuvent être gratuits ou coûter entre 8 et 70 dollars US par an. Les organisations peuvent également disposer de leur propre autorité de certification, en particulier si elles sont responsables de la configuration des navigateurs pour accéder à leurs propres sites (par exemple, les sites d’un intranet d’entreprise). Elles peuvent facilement ajouter des copies de leur propre certificat aux certificats de confiance distribués avec le navigateur.
Il existe également une autorité de certification peer-to-peer, CACert. Cependant, elle n’est pas incluse dans les certificats racine approuvés par les navigateurs les plus populaires comme Firefox, Chrome et Internet Explorer, situation qui peut entraîner l’affichage de messages d’avertissement aux utilisateurs finaux.
Let’s Encrypt, lancé en avril 2016, fournit des certificats SSL/TLS gratuits et automatisés aux sites web. Selon l’Electronic Frontier Foundation, “Let’s Encrypt” rendra le passage de HTTP à HTTPS “aussi simple que l’émission d’une commande ou le fait d’appuyer sur un bouton.
Le système peut également être utilisé pour l’authentification des clients afin de limiter l’accès d’un serveur web à des personnes déterminées. Pour ce faire, l’administrateur du site crée généralement un certificat pour chaque utilisateur, certificat qui est ensuite chargé dans leur navigateur. Normalement, ce certificat contient le nom et l’adresse e-mail de l’utilisateur autorisé et est automatiquement vérifié par le serveur à chaque reconnexion pour authentification.
Une pléiade d’avantages pour les sites qui l’implémentent
Il est clair que le protocole HTTPS offre la sécurité. C’est donc définitivement le choix pour se mettre dans les bonnes grâces de Google. Le géant américain a récemment annoncé qu’il boosterait le classement des sites qui l’implémentent. Le HTTPS constitue l’une des meilleures façons d’accroître le trafic vers un site web. Pour les plateformes d’e-commerce et les sites web de grandes entreprises, il est même devenu une nécessité, car il met en confiance les internautes.
Lorsque le trafic passe à un site HTTPS, les informations sécurisées sont conservées. Cela est très différent de ce qui se passe lorsque le trafic passe par un site HTTP. Ces données sont supprimées et aucun intermédiaire ne vérifie leur intégrité. Ce protocole accroit la sécurité et la confidentialité en vérifiant que le site web est bien celui auquel l’utilisateur est censé parler. Il empêche la falsification par des tiers et rend le site plus sécurisé pour les visiteurs. Il crypte toutes les communications, y compris les URL, ce qui protège des choses comme l’historique de navigation et les numéros de cartes de crédit. Les informations confidentielles restent à l’abri des regards indiscrets, car seuls le navigateur et le serveur peuvent déchiffrer le trafic généré. L’intégrité protège les données contre toute modification insidieuse. Le protocole HTTPS reste, à l’heure actuelle, la solution ultime pour se soustraire à la surveillance de masse et à la gloutonnerie des faussaires.