This website requires JavaScript.

Mes Datas et Moi devient Numérique Éthique ! En savoir plus

Risque et sécurité
Article

HTTPS : 5 raisons de s'intéresser au cadenas qui sécurise le web

15.02.2017

La technologie ‘https’, d’abord utilisée pour les transactions financières, se déploie sur de nombreux sites internet et applications mobiles depuis janvier dernier, avec le soutien des géants du web. De quoi sécuriser la navigation des internautes en évitant le vol de données personnelles.

Il suffit d’un ‘S’ et d’un peu de vigilance pour surfer sur Internet en toute sécurité. Les deux Français sur dix qui ont été victimes de piratage informatique en 2016, selon Symantec, l’ignoraient probablement. Dans son rapport annuel sur la cybercriminalité publié en novembre, cette société de logiciels informatiques détaille les principales attaques subies : le vol de mot de passe (14%), la fraude à la carte de crédit (10%) et le rançonnage contre la ‘libération’ des fichiers de données bloqués par le pirate sur l’ordinateur de l’internaute (4%). Or il existe une solution pour éviter la plupart de ces arnaques : le « https ». Explications :

Le ‘https’ valide l’identité des sites visités

Comme le ‘http’, la technologie ‘https’ indexe sur internet les adresses des sites et de leurs différentes pages et met en relation l’ordinateur de l’internaute avec le serveur qui héberge la page souhaitée. Mais cette petite sœur du http, née au milieu des années 1990, réalise cette connexion en cryptant les données pendant leur transfert entre l’émetteur et le destinataire, grâce aux protocoles SSL (« Secure Sockets Layer ») et plus récemment TLS (« Transport Layer Security »). Pour se représenter l’opération, imaginons que le « https » enferme les données de l’utilisateur dans une boîte noire dont seul le site destinataire a la clé.

Ce cryptage rend impossible les attaques dite « de l’homme du milieu », courantes avec la technologie ‘http’ (sans S) : le pirate se glisse entre l’internaute et le site consulté, et espionne tous les renseignements transmis (mot de passe, nom d’utilisateur, date de naissance, numéro de carte bancaire ou encore contenus publiés). Les données ainsi collectées lui permettent d’effectuer des achats frauduleux. Avec la technologie ‘http’, un pirate peut aussi créer une fausse page web ressemblant à celle d’un site véritable, qu’il insère sur ce site pour détourner l’internaute au moment du paiement.

Ces techniques sont déjouées par la technologie « https » : les informations ne sont lisibles que par le destinataire, dont l’identité est vérifiée, puisque chaque site reçoit un certificat d’authentification, délivré après examen par une autorité de contrôle indépendante. Si ce certificat est absent ou expiré, le système se met en alerte et prévient l’internaute.

Un cadenas vert garantit une navigation sécurisée

Un simple coup d’oeil attentif permet ainsi de surfer sur Internet en toute sécurité. En arrivant sur une page web, l’adresse notifiée dans la barre du navigateur porte des indications sur la fiabilité du site visité. Si elle affiche un cadenas verrouillé et une couleur verte, alors le site est bien identifié et le chiffrement des données transmises est garanti. Tous les navigateurs internet mentionnent cette signalétique en utilisant ces codes de couleur et de forme, notamment Chrome, Firefox, Internet Explorer et Safari, qui sont les plus utilisés dans le monde comme en France selon StatCounter en janvier 2017. Impossible de se tromper… si l’on pense à vérifier !

Pour aider les internautes à surfer sur le web en toute sérénité, les navigateurs adressent des notifications lorsqu’une page que l’on souhaite visiter présente un certificat de sécurité inconnu ou expiré. Pourtant, malgré ces avertissements, trois internautes sur dix choisissent de confirmer leur demande d’accès à la page suspecte, selon l’étude « Alice in Warningland » menée en 2013 par l’Université de Californie et Google. Au risque de tomber dans les filets d’un pirate !

2017, l’année du https

Les géants de l’Internet ont tout intérêt à ce que la Toile soit sûre, et ils s’efforcent donc de sécuriser le web. Google en a fait son combat depuis 2011. Il a déployé le ‘https’ d’abord pour permettre aux internautes identifiés sur son navigateur Chrome d’effectuer des recherches sans détection de leurs mots-clés, puis pour les utilisateurs de la messagerie Gmail et de la plateforme vidéo Youtube. Il a incité les autres sites à suivre son exemple dès 2014, en proposant à tous les sites qui choisissent d’utiliser la technologie ‘https’ un meilleur référencement dans son moteur de recherche Chrome, qui accueille plus de la moitié des recherches mondiales. En observant l’usage de ses propres outils, Google estime que 30% du trafic mondial est aujourd’hui sécurisé. Pour accélérer cette conversion, il a mis en place en janvier dernier des messages d’alerte pour avertir les internautes que toute page non ‘https’ est « non sécurisée ».
De même, Apple refusent les applications mobiles non chiffrées depuis janvier dernier.

Les sites les plus fréquentés ne sont pas toujours les mieux sécurisés

Plébiscité d’abord par les banques et les sites de e-commerce, le « https » reste peu prisé des sites de contenus. Pourtant le risque de vol de données personnelles existe aussi sur ces plateformes. Google observe même que le ‘https’ n’est pas utilisé par défaut par 79 des 100 sites les plus fréquentés du monde (hors Google lui-même), qui représentent au total un quart du trafic mondial. Parmi eux : le site d’enchères en ligne eBay, le géant de l’e-commerce chinois Alibaba et de nombreux médias de toutes nationalités.

Adopter la technologie ‘https’ a un coût limité aujourd’hui. Mais certains redoutent que cette mutation engendre un ralentissement du site préjudiciable, notamment pour la bonne diffusion de la publicité, et une chute de leur trafic. Rien d’insurmontable pourtant : Zack Tollman, membre de la direction technique du magazine américain Wired, a assuré lors d’une conférence en Californie en janvier dernier que le trafic perdu lors de cette mutation avait été regagné en 4 semaines.

Les réseaux sociaux -Instagram, Linkedin, Pinterest ou encore Whatsapp- sont les bons élèves du ‘https’. Facebook l’a même adopté dès 2013.

La vigilance prévaut !

La généralisation du ‘https’ et les alertes des navigateurs ne doivent pas faire oublier les règles de base de la sécurité en ligne : mettez à jour vos logiciels, et vérifiez l’orthographe de l’adresse du site visité. Méfiez-vous, par exemple, d’un site de paiement ‘https’ qui s’appellerait ‘Maiff’ (avec deux F). Certains sites frauduleux adoptent en effet la navigation sécurisée et tentent de se faire passer pour des sites connus en adoptant un nom quasi-semblable.

Ces mesures de bon sens permettent d’éviter la plupart des dizaines de millions de logiciels malveillants nouveaux ou remodelés qui apparaissent chaque mois sur la toile*.

*sources : Symantec, Dell.

– Perrine Créquy

Retour