Protocole Https et certificat SSL : A quoi ça sert ? Est-ce suffisant au niveau sécurité ?

Google a annoncé en février dernier que tous les sites non-https vont être pénalisés à partir de juillet 2018 (source). L’objectif affiché est de renforcer la sécurité de la navigation en ligne en forçant l’utilisation du protocole HTTPS.

Cette évolution est positive à certains égards. Toutefois, il faut savoir que le géant américain a d’autres intérêts, plus intéressés et moins avouables, dans la mise en œuvre de ce changement initié progressivement depuis 2014. De plus, il ne faut pas oublier l’essentiel : passer au https ne garantit pas une sécurité des données à 100% !

Protocole HTTPS et certificats SSL : Qu’est-ce que c’est ? A quoi ça sert ?

Avant, tous les sites étaient en HTTP (HyperText Transfer Protocol). Ce protocole de communication client-serveur a été conçu pour le Web. Seulement, le protocole HTTP n’intègre aucune mesure de sécurité. Le trafic peut être intercepté sans soucis. Le protocole HTTP est une invitation pour les pirates.

Ainsi, pour établir une connexion sécurisée entre le site web et le serveur, le protocole HTTP a été combiné à un protocole de cryptage SSL, puis TLS (souvent également référé comme SSL par abus de langage) : c’est le protocole HTTPS.

En théorie, il s’agit de garantir que les données envoyées par l’internaute et reçues par un serveur restent confidentielles et que leur intégrité ne soit pas menacée. De plus, le serveur utilise un certificat d’authentification client qui permet de vérifier l’identité et l’authenticité du site.

Pendant longtemps, l’utilisation du protocole HTTPS était limitée aux sites plus “sensibles” tels que les banques ou les réseaux sociaux. Mais elle va désormais être généralisée.

Pour savoir si un site est HTTPS, rien de plus simple : au-delà de l’adresse web qui s’affiche dans la barre d’adresse de votre navigateur, vous voyez aussi un petit cadenas vert qui indique que le site est sécurisé.

Comment Google peut-il pénaliser les sites non-HTTPS ?

Google va s’appuyer sur un de ses outils les plus populaires. Il s’agit de son navigateur Google Chrome (750 millions d’utilisateurs actifs mensuels, dominant les concurrents).

Parts de marché des navigateurs web. Google Chrome domine.

Concrètement, les sites en HTTP continueront à être référencés mais Google va s’arranger pour faire fuir les internautes en affichant le message “non sécurisé” (Not secure) dans la barre d’adresse du navigateur le plus populaire (même en France).

Vos prospects et clients, effrayés, risquent de passer leur chemin et d’aller directement sur le site d’un de vos concurrents…

Et cela risque également de vous faire chuter dans les résultats de Google.

Un site en Http sera donc un site dépassé… et il l’est même déjà ! Il faut savoir en effet que la protection via Https représente désormais plus de 68% du trafic de Chrome sur Android et Windows, et plus de 78% sur iOS et Mac. De plus, 81 des 100 premiers sites du web utilisent https par défaut.

Est-ce que les sites HTTPS règlent tous les problèmes de sécurité en ligne ?

Le plus grand facteur de risque en ligne est le facteur humain. Mots de passe insuffisants et récurrents, ouverture de fichiers douteux, navigation sur des sites peu fiables, absence de mise à jour des logiciels… les risques de faire une erreur préjudiciable sont très nombreux.

Il est aussi important de comprendre que le https ne signifie pas que les données des utilisateurs ne sont pas collectées, utilisées et/ou revendues, mais seulement que le trafic entre le site et votre ordinateur est chiffré. Cela n’empêche en rien la collecte de données. A titre d’exemple, les réseaux sociaux sont passés au https dès 2010. Cela n’a pourtant pas empêché Facebook de permettre à Apple, Samsung et à une soixantaine de fabricants de smartphones d’accéder librement aux données de ses membres sans leur accord ! (source)

Ce nouveau scandale fait suite à celui du Cambridge Analytica, dans lequel 87 millions de profils ont été collecté et exploité à des fins politiques.

Autant dire que les particuliers, les entreprises et les organisations publiques ont vivement intérêt à mettre en place en interne des protections supplémentaires !

L’avis de Laurent Brault, dirigeant de MDK Solutions

En matière de sécurité des données, un site http:// représente la préhistoire.

MDK SolutionsIl est en effet trop facilement piratable car se mettre “en écoute” entre l’utilisateur et le site est un jeu d’enfant pour les hackers. Les pirates peuvent ainsi récupérer l’identifiant et le mot de passe, car ces informations circulent “en clair” (il n’y a pas de chiffrement).

A partir de là, ils peuvent se connecter librement au site puisqu’ils disposent de tous les paramètres de l’utilisateur. Les pirates peuvent même aller plus loin dans la mesure où beaucoup d’utilisateurs se servent du même mot de passe pour plusieurs sites.

Le https ne protège donc pas l’accès qu’à un seul site : par ricochet, il sécurise aussi tous les sites de l’internaute qui sont accessibles par le même mot de passe. La migration vers cette solution plus fiable est donc primordiale.

Mais en poussant tous les éditeurs de site à passer en https, Google s’assure aussi de continuer à développer sa poule aux œufs d’or. Si l’ambition affichée est d’améliorer la sécurité des données et de protéger les données, le géant américain cherche aussi à être le SEUL à pouvoir exploiter les données qu’il collecte.

 

Partager cette page