Est-ce que je vous ai déjà perdu lorsque je vous parle de HTTP et de HTTPS? Oui, alors vous êtes sur la bonne page. Pourquoi? Car ces deux termes correspondent à une « méthode de connexion » sur vos sites web et l’une d’entre elles est dangereuse et je pèse mes mots pour ne pas vous faire peur.
Mais avant de rentrer dans le vif du sujet, il faut comprendre ce qu’est un « Réseau Informatique« . Si vous pensez que c’est un gâteau à la fraise, je vous invite à lire l’introduction du cours sur Les Réseaux Informatiques. Si vous êtes à l’aise avec cette notion, vous pouvez bien entendu passer à la suite.
Avant de parler de HTTP/HTTPS, il faut aussi savoir ce qu’est Internet. Grande question dont certains vont répondre « les sites internet ». Et bien non, d’ailleurs l’expression « Surfer sur Internet » est un abus de langage. Si vous avez lu le cours introduisant les réseaux informatiques, vous allez me répondre un réseau public. En effet, Internet est un réseau informatique, ni plus, ni moins. Et comme expliqué, un réseau est un grand « tuyau » dans lequel passe des milliers de « fils », qui relie tous les équipements du réseau. Et chaque « fil » qu’on appelle un port est dédié à une application spécifique: ce sont ce qu’on appelle des protocoles.
Et oui, quand vous allez sur un site web, vous n’allez pas utiliser le même port que si vous faites une visioconférence par exemple. En effet, les réseaux informatiques existaient bien avant Internet, et finalement, quand le grand public parle d’Internet, il pense aux sites web qu’ils visitent. Or, en fait, il navigue sur ce qu’on appelle le World Wide Web, connu sous l’acronyme www. Cela vous dit quelque chose? En effet, aux prémices de la toile (autre surnom du World Wide Web), nous devions saisir les adresses sur le format www.domaine.fr. Aujourd’hui, nous utilisons toujours le www, mais cela est souvent réservé pour le site institutionnel de l’entreprise (par exemple www.dsi.bzh). Ensuite, tout ce qui se trouve devant le domaine.fr (dans mon cas « blog » pour blog.dsi.bzh) est ce qu’on appelle un sous-domaine. Cela permet ainsi d’avoir toujours un site institutionnel qui est la vitrine de notre entreprise et des sous domaines, qui permettent de proposer d’autres services en garantissant qu’il s’agit bien d’une propriété de l’entreprise.
Donc, pour résumé en quelques mots, Internet est le réseau informatique sur lequel se trouve d’innombrables sites web. Mais le rapport avec HTTP et HTTPS? En fait, vous le voyez en permanence quand vous naviguez sur vos sites préférés car c’est indiqué juste avant. Et le HTTP et le HTTPS sont des protocoles permettant d’afficher un site web. Du coup, vous allez me dire, pourquoi il existe deux protocoles pour faire la même chose ? Et bien, tout simplement que le monde évolue et que nous devons sécuriser les échanges sur Internet.
Vous l’aurez deviné du coup, la différence entre les deux est le « S » dans HTTPS, qui veut dire « SECURE ». Il y a quelques années, des communications à la TV vous parlait d’un cadenas sur votre navigateur et qu’il fallait qu’il soit vert pour être en sécurité sur Internet. Et bien, je vais nuancer pour vous dire que ce n’est pas tout à fait vrai.
Je m’explique. Tout d’abord, il faut savoir que lorsque vous allez sur un site web avec le protocole HTTP, le « flux réseau » (en gros, les informations que vous envoyez au site au format numérique) est à la vue de tous puisque vous utilisez un réseau public. La problématique avec le protocole HTTP est que tout ce qui est échangé entre votre ordinateur et le site est transmis tel quel sur Internet. Et cela concerne les pages, les images, mais également ce que vous pouvez saisir sur les formulaires (donc, nom d’utilisateur, mot de passe, n° de carte bleu, etc…). Bien conscient de la menace, aujourd’hui, les sites utilisant le protocole HTTP deviennent de plus en plus rares, et vos navigateurs vous affichent désormais une alerte de sécurité si vous arrivez sur l’un d’entre eux. Maintenant, par expérience, je sais qu’une partie des personnes passeront outre cet avertissement et iront sur le site. Premier conseil: Ne jamais aller sur un site en HTTP.
Très bien, on ne va que sur les sites en HTTPS, mais pour autant, j’ai dit que ce n’est pas pour autant sur, il faut savoir! Vu comme ça, en effet, on tente d’arrêter d’aller sur les sites web, chiche ? Soyons réalistes, aujourd’hui, c’est impossible. Ce qu’il faut savoir, c’est que lorsque vous allez sur un site utilisant le protocole HTTPS, techniquement, cela signifie que votre site possède un certificat. Ce certificat va encoder vos échanges avec le serveur (en terme technique, on dit chiffrer et non crypter comme on pourrait l’entendre. Ce dernier terme est un abus de langage par une traduction erronée de l’anglais). Ainsi lorsque les informations transitent sur le réseau Internet, même si un pirate intercepte celles-ci, il ne pourra les déchiffrer. Si je simplifie le principe technique, en gros le serveur vous envoie un coffre ouvert pour y mettre votre message et une fois fermé, seul le serveur possède la clé pour ouvrir le coffre. Donc, la bonne pratique est de toujours s’assurer que vous êtes en HTTPS avant de saisir des informations sur un site web.
Mais alors, pourquoi le HTTPS n’est pas pour autant digne de confiance ? Alors, ce n’est pas le protocole qui n’est pas digne de confiance, c’est le site web sur lequel vous vous trouvez. En effet, il faut comprendre que sur Internet, une entreprise va acheter un nom de domaine (l’entreprise mabanque va acheter le domaine mabanque.fr par exemple). Il se compose toujours d’un nom (Alphabet et trait d’union sont les seuls caractères autorisés) suivi d’une extension (.fr, .com, etc.). Et c’est tout. Tout ce qui vient après le nom de domaine sur un site, ex: « /login » sur www.mabanque.fr/login, fait partie intégrante du site web. Et tout ce qui se trouve avant le domaine, ex: « clients » sur clients.mabanque.fr est un sous domaine et donc généralement un autre site web.
Une fois son site créé, l’entreprise va mettre en place un certificat pour sécuriser les échanges auprès d’un organisme agréé. Cela garantit donc à l’utilisateur que le site est valide (le fameux cadenas vert ou fermé sur votre navigateur). Donc, si vous allez sur un site dont le domaine appartient bien à l’entreprise (donc juste après le https://xxxx.mabanque.fr ou xxx peut être « www », « clients », « support », etc.), vous êtes en sécurité.
Cependant, aujourd’hui, il est très facile de créer un certificat gratuitement et les pirates s’en servent de manière habile. En effet, ils vont acheter un nom de domaine bidon, ou si possible, se rapprochant du nom de domaine ciblé (genre maabanque.fr, voir utiliser des caractères étrangers approchant notre alphabet). Ils vont ensuite copier l’interface de connexion du site cible, et y installer un certificat gratuit mais valide. Vous devinez la suite… Ils vont procéder à des envois en masse de mails cherchant à faire peur à l’utilisateur en demandant de modifier le mot de passe par exemple. Bien entendu, le lien du mail pour s’authentifier est un lien vers le site frauduleux ayant repris la page de connexion du site « officiel ». L’utilisateur, lui ne voit que du feu car il ne vérifie pas l’adresse du site, le cadenas est vert et la page est la même que d’habitude… Et dans la majorité des cas, il va saisir ses identifiants… Ceci est ce qu’on appelle les attaques par phishing et aujourd’hui, il s’agit de l’une des principales causes de fuite de données.
Au final, vous l’aurez compris, HTTP ou HTTPS, la n’est plus la question puisque HTTPS obligatoire. Mais en plus de cela, l’utilisation du HTTPS avec toujours ce réflexe de regarder sur quel site on se trouve, et ce, plus particulièrement quand vous devez saisir des informations confidentielles. Dans le meilleur des mondes, il faut même avoir ses sites en favoris et ne jamais cliquer sur les liens d’un mail, mais y aller directement par ces liens enregistrés. Et si possible, mais la, c’est un rêve d’informaticien, que de vous voir utiliser un mot de passe différent pour chaque site sur lequel vous êtes enregistré. Mais nous reviendrons prochainement sur ce sujet.
Voila pour les protocoles HTTP/HTTPS. J’espère avoir été assez clair et que vous comprenez un peu mieux sur quoi repose la navigation sur les sites web. Si ce n’est pas le cas ou si vous avez des questions, n’hésitez pas à les poser en commentaire.
