Le HTTPS : à quoi sert-il ?
Dans la famille « acronymes », je voudrais le HTTPS, s’il vous plaît. Le HTPP quoi ? Le HTTPS, pour Hyper Text Transfer Protocol Secure.
Vous ne parlez pas anglais ? Aucun souci. Tremplin Numérique vous explique ce qu’est le HTTPS, pour enfin comprendre et être à l’aise avec cet acronyme dont tout le monde parle tant.
Sommaire
HTTPS : Hyper Text Transfer Protocol Secure
Le HTTPS est la version sécurisée de HTTP, le protocole par lequel les données sont envoyées entre votre navigateur et le site web auquel vous êtes connecté. La lettre ‘S’, à la fin de HTTPS, signifie ‘Secure’. Inutile d’avoir eu un bac littéraire pour comprendre ceci. En français, cela signifie « sécurisé ». En d’autres mots, toutes les communications entre votre navigateur et le site web sont cryptées. HTTPS est ainsi largement utilisé pour protéger les transactions en ligne hautement confidentielles comme les services bancaires sur Internet et les formulaires de commande en ligne par exemple.
Les navigateurs web comme Chrome, IE ou encore Firefox affichent également une icône de cadenas dans la barre d’adresse pour indiquer visuellement qu’une connexion HTTPS est en place. Pour les utilisateurs, la présence de ce cadenas est facilement identifiable et surtout… très rassurante.
Comment fonctionne le HTTPS ?
Rassurez-vous, nous n’allons pas entrer dans des détails ou des considérations hautement techniques ! Mais il faut comprendre certaines choses…
Les pages HTTPS utilisent généralement l’un des deux protocoles sécurisés suivants pour crypter les communications : SSL (Secure Sockets Layer) ou TLS (Transport Layer Security). Oh my God… encore de l’anglais !
Tenez bon…
Les protocoles TLS et SSL utilisent tous deux ce que l’on appelle un système d’infrastructure à clé publique (ICP) ” asymétrique “. Ce système utilise deux ” clés ” pour crypter les communications, une clé ” publique ” et une clé ” privée “. Tout ce qui est crypté avec la clé publique ne peut être décrypté que par la clé privée et vice-versa.
Facile à comprendre, non ? Ce n’est pas terminé…
La clé “privée”, comme son nom le laisse entendre, doit être protégée et ne doit être accessible que par son propriétaire. Dans le cas d’un site internet, la clé privée reste bien au chaud, en sécurité sur le serveur web. Inversement, la clé publique est destinée à être distribuée à quiconque a besoin de décrypter des informations qui ont été préalablement cryptées avec la clé privée.
À quoi sert le certificat HTTPS ?
Lorsque quelqu’un demande une connexion HTTPS à une page web, le site envoie d’abord son certificat SSL au navigateur. Ce certificat contient la clé publique nécessaire pour lancer la session sécurisée. Sur la base de ce premier échange, le navigateur et le site Internet s’accordent par le biais de ce que l’on appelle la « poignée de main SSL ». Une fois la poignée de main SSL effectuée, la connexion sécurisée peut être lancée.
Alors qu’une connexion HTTPS est indiquée au moyen d’une icône de cadenas dans la barre d’adresse du navigateur, cette même barre devient verte lorsqu’un certificat EV SSL (Extended Validation Certificate) est installé sur un site Web.
Un certificat SSL est-il vraiment nécessaire ?
Toutes les communications basées sur les connexions HTTP sont, par définition, libre de toute forme de sécurité. Elles peuvent ainsi être lues par n’importe qui, y compris les hackers qui n’hésitent pas à interrompre la connexion entre un navigateur et un site web. Cela présente bien évidemment un danger, si le piratage intervient sur un point critique du site, par exemple lors du paiement en ligne… Numéro de carte bancaire, numéro de carte bleue, mots de passe… tout est bon à prendre ! Grâce à une connexion HTTPS, l’ensemble des communications sont cryptées en toute sécurité. Cela signifie que même si quelqu’un parvenait à forcer la connexion, il ne serait pas en mesure de décrypter les données qui passent entre les utilisateurs et le site web.
Faut-il installer un certificat HTTPS ou non ? Si vous vous posez la question, souvenez-vous que les principaux avantages de ce type de certificat sont la sécurité pour votre site et pour les données de vos clients. Si votre site récupère des données clients ou propose des produits ou services à la vente, le certificat HTTPS n’est pas une option. C’est une obligation pure et simple. La messe est dite.