HTTPS, l’icône de cadenas dans la barre d’adresse, une connexion cryptée à un site Web – c’est connu comme beaucoup de choses. Alors qu’il était autrefois principalement réservé aux mots de passe et autres données sensibles, l’ensemble du Web abandonne progressivement HTTP et passe au HTTPS.
Le «S» dans HTTPS signifie «Secure». Il s’agit de la version sécurisée du «protocole de transfert hypertexte» standard utilisé par votre navigateur Web pour communiquer avec des sites Web.
Comment HTTP vous met en danger
Lorsque vous vous connectez à un site Web avec HTTP standard, votre navigateur recherche l’adresse IP qui correspond au site Web, se connecte à cette adresse IP et suppose qu’il est connecté au bon serveur Web. Les données sont envoyées via la connexion en texte clair. Un espion sur un réseau Wi-Fi, votre fournisseur de services Internet ou des agences de renseignement gouvernementales comme la NSA peuvent voir les pages Web que vous visitez et les données que vous transférez dans les deux sens.
Cela pose de gros problèmes. D’une part, il n’y a aucun moyen de vérifier que vous êtes connecté au bon site Web. Vous avez peut-être accédé au site Web de votre banque, mais vous êtes sur un réseau compromis qui vous redirige vers un site Web imposteur. Les mots de passe et les numéros de carte de crédit ne doivent jamais être envoyés via une connexion HTTP, sinon un espion pourrait facilement les voler.
Ces problèmes se produisent car les connexions HTTP ne sont pas chiffrées. Les connexions HTTPS sont.
Comment le cryptage HTTPS vous protège
HTTPS est beaucoup plus sécurisé que HTTP. Lorsque vous vous connectez à un serveur sécurisé HTTPS – des sites sécurisés comme celui de votre banque vous redirigent automatiquement vers HTTPS – votre navigateur Web vérifie le certificat de sécurité du site Web et vérifie qu’il a été émis par une autorité de certification légitime. Cela vous permet de vous assurer que, si vous voyez «https://bank.com» dans la barre d’adresse de votre navigateur Web, vous êtes bien connecté au site Web réel de votre banque. L’entreprise qui a émis le certificat de sécurité en garantit. Malheureusement, les autorités de certification émettent parfois de mauvais certificats et le système tombe en panne. Bien que ce ne soit pas parfait, HTTPS est toujours beaucoup plus sécurisé que HTTP.
Lorsque vous envoyez des informations sensibles via une connexion HTTPS, personne ne peut les écouter en transit. HTTPS est ce qui rend les opérations bancaires et les achats en ligne sécurisés possibles.
Il fournit également une confidentialité supplémentaire pour la navigation Web normale. Par exemple, le moteur de recherche de Google utilise désormais par défaut les connexions HTTPS. Cela signifie que les internautes ne peuvent pas voir ce que vous recherchez sur Google.com. Il en va de même pour Wikipédia et d’autres sites. Auparavant, n’importe qui sur le même réseau Wi-Fi pouvait voir vos recherches, tout comme votre fournisseur de services Internet.
Pourquoi tout le monde veut laisser HTTP derrière
Le HTTPS était à l’origine destiné aux mots de passe, aux paiements et à d’autres données sensibles, mais l’ensemble du Web s’oriente désormais vers lui.
Aux États-Unis, votre fournisseur de services Internet est autorisé à surveiller votre historique de navigation Web et le vendre aux annonceurs. Si le Web passe à HTTPS, votre fournisseur de services Internet ne peut pas voir autant de ces données, cependant, il voit uniquement que vous vous connectez à un site Web spécifique, par opposition aux pages individuelles que vous consultez. Cela signifie beaucoup plus de confidentialité pour votre navigation.
Pire encore, HTTP permet à votre fournisseur de services Internet de falsifier les pages Web que vous visitez, s’il le souhaite. Ils peuvent ajouter du contenu à la page Web, modifier la page ou même supprimer des éléments. Par exemple, les FAI peuvent utiliser cette méthode pour injecter davantage de publicités dans les pages Web que vous visitez. Comcast déjà injecte des avertissements sur sa limite de bande passante, et Verizon a injecté un supercookie utilisé pour le suivi des annonces. HTTPS empêche les FAI et toute autre personne exécutant un réseau de falsifier des pages Web comme celle-ci.
Et, bien sûr, il est impossible de parler de cryptage sur le Web sans mentionner Edward Snowden. Les documents divulgués par Snowden en 2013 ont montré que le gouvernement américain est surveiller les pages Web visitées par les internautes du monde entier. Cela a allumé le feu de nombreuses entreprises technologiques pour progresser vers un cryptage et une confidentialité accrus. En passant au HTTPS, les gouvernements du monde entier ont plus de mal à visualiser toutes vos habitudes de navigation.
Comment les navigateurs encouragent les sites Web à vider HTTP
En raison de cette volonté de passer au HTTPS, toutes les nouvelles normes conçues pour accélérer le Web nécessitent un cryptage HTTPS. HTTP / 2 est une nouvelle version majeure du protocole HTTP prise en charge dans tous les principaux navigateurs Web. Il ajoute la compression, le pipelining et d’autres fonctionnalités qui aident à accélérer le chargement des pages Web. Tous les navigateurs Web exiger que les sites utilisent le cryptage HTTPS s’ils veulent ces nouvelles fonctionnalités HTTP / 2 utiles. Les appareils modernes disposent également d’un matériel dédié pour traiter le cryptage AES requis par HTTP. Cela signifie que HTTPS devrait en fait être plus rapide que HTTP.
Alors que les navigateurs rendent HTTPS attrayant avec de nouvelles fonctionnalités, Google rend HTTP peu attrayant en pénalisant les sites Web pour leur utilisation. Google prévoit de signaler les sites Web qui n’utilisent pas HTTPS comme dangereux dans Chrome, et Google veut prioriser les sites Web qui utilisent HTTPS dans les résultats de recherche Google. Cela incite fortement les sites Web à migrer vers HTTPS.
Comment vérifier si vous êtes connecté à un site Web en utilisant HTTPS
Vous pouvez dire que vous êtes connecté à un site Web avec une connexion HTTPS si l’adresse dans la barre d’adresse de votre navigateur Web commence par «https: //». Vous verrez également une icône de verrouillage sur laquelle vous pouvez cliquer pour plus d’informations sur la sécurité du site Web.
Cela semble un peu différent dans chaque navigateur, mais la plupart des navigateurs ont en commun https: // et l’icône de verrouillage. Certains navigateurs masquent désormais « https: // » par défaut, de sorte que vous ne verrez qu’une icône de verrouillage à côté du nom de domaine du site Web. Cependant, si vous cliquez ou appuyez à l’intérieur de la barre d’adresse, vous verrez la partie «https: //» de l’adresse.
Si vous utilisez un réseau inconnu et que vous vous connectez au site Web de votre banque, assurez-vous de voir le HTTPS et la bonne adresse du site Web. Cela vous permet de vous assurer que vous êtes réellement connecté au site Web de la banque, bien que ce ne soit pas une solution infaillible. Si vous ne voyez pas d’indicateur HTTPS sur la page de connexion, vous êtes peut-être connecté à un site Web imposteur sur un réseau compromis.
Méfiez-vous des astuces de phishing
La présence de HTTPS en soi n’est pas une garantie qu’un site est légitime. Certains hameçonneurs intelligents ont réalisé que les gens recherchent l’indicateur HTTPS et l’icône de verrouillage, et peuvent faire tout leur possible pour déguiser leurs sites Web. Donc, vous devez toujours vous méfier: ne cliquez pas sur les liens dans les e-mails de phishing, ou vous risquez de vous retrouver sur une page intelligemment déguisée. Les fraudeurs peuvent également obtenir des certificats pour leurs serveurs frauduleux. En théorie, ils ne peuvent se faire passer pour des sites dont ils ne sont pas propriétaires. Vous pouvez voir une adresse comme https://google.com.3526347346435.com. Dans ce cas, vous utilisez une connexion HTTPS, mais vous êtes vraiment connecté à un sous-domaine d’un site nommé 3526347346435.com, et non à Google.
D’autres escrocs peuvent imiter l’icône de verrouillage, en changeant le favicon de leur site Web qui apparaît dans la barre d’adresse en un verrou pour essayer de vous tromper. Gardez un œil sur ces astuces lors de la vérification de votre connexion à un site Web.