HTTPS : Communication Chiffrée

Image générée par IA¹

Lorsque vous naviguez sur Internet, n’importe quel site, à moins qu’il ne soit hébergé chez vous, vous passez par un nombre important de noeuds d’un réseau mondial.

Comment fait-on alors pour que chacun de ces noeuds ne puisse voir ce qui transite entre vous et le site que vous souhaitez consulter ?

Certains répondront “Mais je n’ai rien à cacher”… Mais SI, encore une fois, SI : vous avez tout à cacher. À commencer par vos identifiants de connexion qui sans le HTTPS seraient visibles de tout le monde.

Quelques explications sommaires

Principe du Client / Serveur

Déjà, il faut comprendre comment fonctionne Internet, en général. Et je précise en général car c’est ainsi dans la majorité des cas, mais il existe des exceptions.

Vous êtes l’utilisateur, que nous appelons Client, et lorsque vous cherchez à vous connecter à un site, vous interrogez ce qu’on appelle un Serveur.

Dis comme ça, on se croirait au restaurant… Et c’est exactement ça !

Vous effectuez une requête à un serveur (le site Internet) et vous lui demandez ce que vous voulez (telle ou telle page du site). Le serveur reçoit la requête et va vous retourner une réponse : la page que vous avez demandée, avec un peu de style pour la présentation. Donc exactement comme au restaurant : vous commandez un plat, et avec un peu plus de latence, le serveur vous pose une assiette sur la table.

Principe de la Toile

Sauf que ce n’est pas si simple en coulisse du restaurant : vous faites votre requête au serveur qui transmet au cuistot. Vous avez donc un “noeud” entre votre table et la préparation effective du plat : le serveur.

Sur Internet, le nombre de noeuds peut être important, répartis sur le monde entier. Ce n’est pas pour rien qu’on parle de toile, Web en anglais, pour désigner Internet.

Imaginons que vous êtes au point A et que vous voulez naviguer sur un site au point B, disons, juste pour l’exemple SurfSur.net. Vous allez passer par de nombreux noeuds, des serveurs et autres composants, avant d’arriver à B. Puis B vous enverra la réponse que vous avez demandée.

Le problème

Lorsqu’on communique simplement sur Internet, on utilise le protocole HTTP pour HyperText Transfer Protocol, soit en bref, un protocole de transfert de texte (hyper). Et ce texte est … en clair.

Combien de ces noeuds peuvent “écouter” ce qui a été demandé et répondu ? Si nous envoyons “en clair”, tous les noeuds.

Et nous ne pouvons pas contrôler par lesquels nous passons : c’est automatique. Donc c’est là que le chiffrement intervient.

Le S qui manquait à HTTP

Principe de fonctionnement

Sans rentrer dans le détail des principes de chiffrement (oui, cryptage, ça ne se dit pas, de même que crypté… ou alors pas dans ce contexte), le fait d’utiliser le protocole HTTPS évite les possibilités d’écoute sur les noeuds se situant entre vous et le serveur. Ça se fait automatiquement aujourd’hui si le serveur est configuré pour et que vous commencez toutes les adresses sur Internet avec https://.

À la première connexion avec un serveur, avec HTTPS, avant même que vous lui fassiez une requête, vous allez négocier une clef de chiffrement, connue de vous seul et du serveur. Cette clé sera utilisée ensuite pour chiffrer vos requêtes et les réponses du serveur. Ainsi, en théorie, seuls vous et le serveur sauraient ce que vous vous dites.

De plus, avec HTTPS, il y a une sécurité supplémentaire : ça permet à votre navigateur de vérifier que le site que vous souhaitez consulter (ex: surfsur.net) est bien le site que vous vouliez. Le nom du site sera vérifié. Et si cette vérification échoue, la connexion vous sera refusée : ça évite que des petits malins puissent usurper un site trop facilement.

Comment savoir si c’est activé

Dans l’adresse, vérifiez toujours que ça commence par https:// ou ajoutez-le vous-même.

Ainsi préférez toujours :

• https://www.google.fr à http://www.google.fr
• https://www.surfsur.net à http://www.surfsur.net
• https://mabanque à http://mabanque

Les navigateurs vous indiquent depuis quelques années si vous êtes sur un site “sécurisé”. Sur Firefox, il vous affiche un petit cadenas fermé à côté de l’adresse en haut :

Sur Chrome, vous pouvez cliquer sur la petite icône à gauche de l’adresse pour vérifier si la connexion est sécurisée.

Et si un site n’utilise pas HTTPS

Il fut un temps où la possibilité de faire du HTTPS se faisait en achetant un certificat, d’une centaine d’euros de mémoire. Mais aujourd’hui, c’est gratuit. Il n’y a plus de raisons de ne pas avoir le HTTPS sauf :

• L’absence de connaissance de sa configuration ;
• Un vieux truc, toujours en vie, qui n’est plus maintenu.

Dans le premier cas, ne faites pas confiance au site : s’il ne sait pas mettre le HTTPS, il ne saura pas protéger vos informations, je vous le garantis. Dans le second cas, vous allez tomber sur du contenu obsolète.

Donc, si le HTTPS n’est pas supporté : allez voir ailleurs.

Ce que ne fait pas HTTPS

Attention, ce n’est pas une garantie totale de sécurité.

HTTPS rend indéchiffrable la communication entre vous et le serveur. Mais si le serveur est prévu pour vous voler vos données, HTTPS n’y pourra rien. Surtout maintenant que les certificats sont gratuits.

De plus, ça ne cache pas les sites que vous consultez car il faut bien que dans la toile, les noeuds sachent vers quoi vous dirigez. Ainsi, si vous allez consulter un site olé-olé.com, on saura que vous le consultez mais pas les détails de ce que vous y ferez. Pour cela, il y a les VPNs.

Enfin, dans les grandes entreprises, pour des raisons de sécurité, ils ont mis en place des proxies qui auront la possibilité de voir le contenu entre vous et le site consulté, même si le HTTPS est actif.

Conclusion

Le HTTPS, embarquant des mécanismes complexes, est simple d’utilisation pour les utilisateurs : allez donc toujours le chercher en ajoutant un S à http. Ça vous assurera une certaine confidentialité, principalement pour les identifiants de connexion, mais aussi les informations bancaires ou très personnelles.

Jetez toujours un petit coup d’oeil pour chercher le cadenas.