Le HTTPS suffit-il pour vous considérer sur un site sécurisé ?

17 avril 2022 à 10h22
8
Cybersecurité

Le HTTPS fait sans aucun doute partie des méthodes informatiques les plus populaires du moment pour sécuriser l’échange de données sur internet. Incontournable pour de nombreux sites, est-il réellement suffisant pour se considérer en sécurité lors de la navigation en ligne ?

Qu’est ce que le HTTPS ?

Littéralement Hypertext Transfer Protocol Secure, le HTTPS permet en réalité de désigner la version sécurisée du langage informatique HTTP. Ce dernier a notamment pour but de permettre la liaison entre un client et un serveur sur le web. Pour faire plus précis, le HTTPS correspond à la combinaison entre le langage HTTP et un protocole SSL ou TLS dont l’objectif est de sécuriser les échanges sur internet. Parmi les fonctionnalités permises par le HTTPS, on note la protection de l’authentification d’un serveur, la confidentialité et l’intégrité des données. 

Les informations envoyées à l’aide du protocole HTTPS sont sécurisées via le protocole TLS (Transport Layer Security) qui permet de mettre en place trois niveaux de protection. Le chiffrement permet de coder les données échangées afin de les rendre illisibles en cas d’interception illicite. Par ailleurs, les informations ne peuvent être ni modifiées, ni corrompues pendant leur transfert. Enfin, c’est un bon moyen d’authentification, qui prouve aux internautes qu’ils sont bien en lien avec le bon site web. Par ailleurs, cette authentification protège contre les attaques dites “Man-in-the-middle”, popularisées depuis la fin des années 2000. 

C’est donc à la fin des années 2000 que le protocole HTTP classique a commencé à montrer ses failles : des problèmes de sécurité dans la gestion du protocole entre le serveur et le client ont été mis en évidence par plusieurs informaticiens. Il aura fallu quelques années, mais depuis début 2017, certains navigateurs internet ont commencé à dévoiler dans sa barre de navigation les services et sites qui collectent des données personnelles sans utiliser le protocole HTTPS. L’objectif est simple : faire prendre conscience aux internautes qu’ils sont sur un site non-sécurisé, mais aussi pousser de nombreux sites à adopter le protocole.

Ainsi, si à l’origine les sites les plus “sensibles” comme les banques, les réseaux sociaux ou les boutiques en ligne étaient les seules à utiliser le HTTPS, la pratique s’est désormais démocratisée et généralisée, le tout dans une optique globale de cybersécurité

Quelles différences entre le HTTP et le HTTPS ?

Chrome HTTPS Warning

Le protocole HTTP permet le transfert de données entre un navigateur et un serveur web. L’inconvénient principal de ce type de connexion réside dans le fait qu’elle n’est pas sécurisée : aucun chiffrement des données des utilisateurs n’est opéré. Ainsi, si un utilisateur décide d’y entrer des informations confidentielles comme des coordonnées bancaires ou un mot de passe, il prend potentiellement le risque qu’une tierce personne malveillante les utilise à mauvais escient. 

C’est pour cette raison que de nombreux sites décident de migrer vers le HTTPS, afin de tranquilliser les utilisateurs et garantir une certaine confidentialité des données. D’ailleurs, de grands acteurs du web ont pu faire le maximum depuis quelques années afin de démocratiser au mieux ce protocole, parmi lesquels Google.

Les actions de Google pour normaliser le protocole HTTPS

Dès 2014, Google a décidé de mettre en avant les sites ayant une connexion sécurisée (notamment au niveau du SEO / de la visibilité des sites sur le moteur de recherche). L’idée était simple : forcer la plupart des sites à passer en HTTPS pour bénéficier de l’exposition permise par un bon référencement chez Google. Depuis 2017, Google affiche par ailleurs un label “non-sécurisé” sur les pages HTTP pour les utilisateurs de Chrome (le navigateur le plus populaire au monde actuellement), afin d’indiquer aux internautes que leur connexion à tel ou tel site n’est pas optimale du point de vue de la confidentialité. 

Ce faisant, les sites employant le protocole HTTP sont désormais considérés comme dépassés. Pour se faire une idée, actuellement 68% du trafic de Chrome sur Android et Windows passe par la protection HTTPS, et plus de 78% pour iOS et MAC. Par ailleurs, 81 des 100 premiers sites du web utilisent HTTPS par défaut.

Fotolia HTTPS HTTPS internet sécurisé

Comment savoir si un site emploie le protocole sécurisé ?

Pour savoir si le HTTPS est utilisé sur des pages internet, il suffit de vérifier la présence de l’indicateur en forme de cadenas à côté de l’URL de lesdites pages. Sur Chrome, un site HTTP aura la mention “non-sécurisé” au même endroit, ce qui signifie bien que la connexion ne respecte pas le protocole de sécurité. 

Si l’on est pas sûr, il est toujours possible de vérifier sur l’URL elle-même : si l’adresse commence par HTTPS, alors on profite ici d’une connexion sécurisée. De manière générale, Google Chrome, Mozilla Firefox et les principaux navigateurs apportent désormais des messages d’avertissement histoire d’indiquer à l’internaute qu’il s’apprête à entrer sur une page non-sécurisée.

Cybersecurité

Les principales limites du protocole

Malgré les nombreuses qualités du HTTPS, il serait erroné d’affirmer que les sites employant ce protocole règlent tous les problèmes de sécurité. Contrairement à un préconçu, le protocole, s’il est plus sécurisé, ne signifie pas que les données des utilisateurs ne sont pas collectées, utilisées voire revendues. Seul le trafic entre le site et l’ordinateur est chiffré. Par exemple, Facebook emploie le HTTPS depuis 2010, mais l’on sait très bien depuis que la firme a malgré tout permis à Apple, Samsung et d’autres constructeurs de smartphones d’accéder librement aux données de ses membres. Dans la plupart des cas, nous ne savons pas comment les données sont stockées après une visite sur un site, qu’il bénéficie de ce protocole ou non.

Autrement dit, désormais, même des sites frauduleux (phishing, boutiques en ligne suspicieuses…) peuvent profiter de ce protocole de sécurité. Le piège est donc simple : on se rend sur un site en le pensant sécurisé, mais il ne l’est pas réellement. Il est donc important de rester extrêmement vigilant, que l’on soit sur un site employant le HTTPS ou pas.

Un antivirus reste ainsi fortement conseillé afin de protéger les données pouvant être mises à mal par le téléchargement inopiné d'un malware.

Bitdefender
  • Excellent rapport fonctionnalités/prix de l'abonnement
  • Efficacité sans faille du service
  • Impact léger sur les performances

Bitdefender continue sur la lancée des versions précédentes avec une efficacité toujours à toute épreuve. Pour détecter et bloquer tout type de menace provenant d'Internet, la suite fait un sans fautes. Aucun faux positif n'est à signaler, et elle n'a pas d'impact significatif sur les performances de Windows. Le logiciel protège votre ordinateur sans faille, donc. Par rapport aux versions précédentes, on regrette quelques choix d'interface qui penchent trop du côté du grand public, même si l'on salue toujours l'effort didactique de l'éditeur. La suite de Bitdefender est sans aucun doute l'une des meilleures suites de sécurité pour Windows pour protéger vos fichiers, à un prix attractif pour l'achat de l'abonnement. Elle est aussi disponible sur le système d'Apple et Android

Bitdefender continue sur la lancée des versions précédentes avec une efficacité toujours à toute épreuve. Pour détecter et bloquer tout type de menace provenant d'Internet, la suite fait un sans fautes. Aucun faux positif n'est à signaler, et elle n'a pas d'impact significatif sur les performances de Windows. Le logiciel protège votre ordinateur sans faille, donc. Par rapport aux versions précédentes, on regrette quelques choix d'interface qui penchent trop du côté du grand public, même si l'on salue toujours l'effort didactique de l'éditeur. La suite de Bitdefender est sans aucun doute l'une des meilleures suites de sécurité pour Windows pour protéger vos fichiers, à un prix attractif pour l'achat de l'abonnement. Elle est aussi disponible sur le système d'Apple et Android

HTTPS et piratage

S’il est évident que le HTTP représente clairement l’ancien temps en terme de sécurité des données, le HTTPS n’est pas non plus inviolable. Les pirates emploient en effet des techniques de dissimulation et s’adaptent au fil des années aux différentes méthodes de sécurisation des sites internet.

Ainsi, si il sera en principe difficile pour un hacker de récupérer les données issues d’un site HTTPS, il pourra néanmoins créer un faux site employant un certificat SSL ou TLS gratuit via Let’s Encrypt (par exemple) pour tromper les internautes.

Autrement dit, désormais, même des sites frauduleux (phishing, boutiques en ligne suspicieuses…) peuvent profiter de ce protocole de sécurité. Le piège est donc simple : on se rend sur un site en le pensant sécurisé, mais il ne l’est pas réellement.

Les internautes, croyant être entrés sur une plateforme sécurisée, pourraient ainsi potentiellement tomber dans le piège du hacker, qu’il s’agisse de phishing ou de vol de mot de passe.

Comme pour tout ce qui a trait à la navigation à internet, il est donc important de prendre conscience que l’on est jamais protégé à 100% : la vigilance est donc toujours de mise.

Rajoutons au passage qu'en plus d'un antivirus protégeant votre machine, un VPN permettra de surfer anonymement sur la Toile.

CyberGhost VPN
CyberGhost VPN
VPN
date de sortie : non disponible
Voir la fiche produit
Haut de page
Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (8)

Felaz
C’est corrigé
Pronimo
Le problème du HTTPS aujourd’hui c’est que tout le monde peux en quelques click l’activer gratuitement. A l’époque c’était un peu le luxe qui rassurait: site bancaire ou gouvernementale… Aujourd’hui un faux site peux donner l’illusion d’être sérieux et sécurisée. A vrai dire, l’ultime sécurité serait justement d’avoir une validation de la plus haute instance pour définir la sécurité d’un site et pas juste des clefs signés par soi meme!
Baxter_X
Très bon article. Par contre nous vanter l’anonymat sur internet grâce à un vpn, ça gâche un peu tout l’article.
Blap
Pour le VPN sécuritaire ca peut être le cas si on est sur un hotspot publique. Pareil si on fréquente des sites en HTTP ou protocoles non securisés
DrGeekill
L’article est bien mais manque clairement de précisions et je rejoins les commentaires. Le HTTPS n’est pas en cause. Un site de Phishing on y rentre nos données et effectivement la dessus un antivirus est utile uniquement si il détecte le faux site. Dans tous les cas la faute en incombe à la personne qui rentre ses informations. Le HTTPS n’a pas non plus vocation à faire le travail des AV et un malware peut très bien se retrouver sur un site réputé. Vécu sur mon Drive d’une grande enseigne infecté pendant plus d’une semaine. Détection du malware par Kaspersky et MalwareBytes. Le service dédié de l’enseigne en question n’a rien voulu savoir (je leur avais signalé le jour même avec les rapports de détections) et c’était absolument impossible. Vla les pros…
Voir tous les messages sur le forum