Qu'est-ce que HTTPS et pourquoi devrais-je m'en soucier?

HTTPS, l'icône de cadenas dans la barre d'adresse, une connexion cryptée à un site Web - c'est connu comme beaucoup de choses. Alors qu'il était autrefois principalement réservé aux mots de passe et autres données sensibles, l'ensemble du Web abandonne progressivement HTTP et passe au HTTPS.

Le «S» dans HTTPS signifie «Secure». C'est la version sécurisée du «protocole de transfert hypertexte» standard utilisé par votre navigateur Web pour communiquer avec des sites Web.

Comment HTTP vous met en danger

Lorsque vous vous connectez à un site Web avec HTTP standard, votre navigateur recherche l'adresse IP qui correspond au site Web, se connecte à cette adresse IP et suppose qu'il est connecté au bon serveur Web. Les données sont envoyées via la connexion en texte clair. Un espion sur un réseau Wi-Fi, votre fournisseur de services Internet ou des agences de renseignement gouvernementales comme la NSA peuvent voir les pages Web que vous visitez et les données que vous transférez dans les deux sens.

CONNEXION: Qu'est-ce que le cryptage et comment fonctionne-t-il?

Cela pose de gros problèmes. D'une part, il n'y a aucun moyen de vérifier que vous êtes connecté au bon site Web. Vous pensez peut-être avoir accédé au site Web de votre banque, mais vous êtes sur un réseau compromis qui vous redirige vers un site Web imposteur. Les mots de passe et les numéros de carte de crédit ne doivent jamais être envoyés via une connexion HTTP, sinon un espion pourrait facilement les voler.

Ces problèmes se produisent car les connexions HTTP ne sont pas chiffrées. Les connexions HTTPS sont.

Comment le cryptage HTTPS vous protège

CONNEXION: Comment les navigateurs vérifient les identités des sites Web et se protègent contre les imposteurs

HTTPS est beaucoup plus sécurisé que HTTP. Lorsque vous vous connectez à un serveur sécurisé HTTPS - des sites sécurisés comme celui de votre banque vous redirigent automatiquement vers HTTPS - votre navigateur Web vérifie le certificat de sécurité du site Web et vérifie qu'il a été émis par une autorité de certification légitime. Cela vous permet de vous assurer que, si vous voyez «//bank.com» dans la barre d'adresse de votre navigateur Web, vous êtes bien connecté au site Web réel de votre banque. L'entreprise qui a émis le certificat de sécurité en garantit. Malheureusement, les autorités de certification émettent parfois de mauvais certificats et le système tombe en panne. Bien que ce ne soit pas parfait, HTTPS est toujours beaucoup plus sécurisé que HTTP.

Lorsque vous envoyez des informations sensibles via une connexion HTTPS, personne ne peut les écouter en transit. HTTPS est ce qui rend les opérations bancaires et les achats en ligne sécurisés possibles.

Il fournit également une confidentialité supplémentaire pour la navigation Web normale. Par exemple, le moteur de recherche de Google utilise désormais par défaut les connexions HTTPS. Cela signifie que les internautes ne peuvent pas voir ce que vous recherchez sur Google.com. Il en va de même pour Wikipédia et d'autres sites. Auparavant, n'importe qui sur le même réseau Wi-Fi pouvait voir vos recherches, tout comme votre fournisseur de services Internet.

Pourquoi tout le monde veut laisser HTTP derrière

Le HTTPS était à l'origine destiné aux mots de passe, aux paiements et à d'autres données sensibles, mais l'ensemble du Web se dirige maintenant vers lui.

Aux États-Unis, votre fournisseur de services Internet est autorisé à surveiller votre historique de navigation Web et à le vendre aux annonceurs. Si le Web passe à HTTPS, votre fournisseur de services Internet ne peut pas voir autant de ces données, cependant, il voit uniquement que vous vous connectez à un site Web spécifique, par opposition aux pages individuelles que vous consultez. Cela signifie beaucoup plus de confidentialité pour votre navigation.

Pire encore, HTTP permet à votre fournisseur de services Internet de falsifier les pages Web que vous visitez, s'il le souhaite. Ils peuvent ajouter du contenu à la page Web, modifier la page ou même supprimer des éléments. Par exemple, les FAI peuvent utiliser cette méthode pour injecter plus de publicités dans les pages Web que vous visitez. Comcast injecte déjà des avertissements sur sa limite de bande passante et Verizon a injecté un supercookie utilisé pour le suivi des publicités. HTTPS empêche les FAI et toute autre personne exécutant un réseau d'altérer des pages Web comme celle-ci.

Et, bien sûr, il est impossible de parler de cryptage sur le Web sans mentionner Edward Snowden. Les documents divulgués par Snowden en 2013 ont montré que le gouvernement américain surveille les pages Web visitées par les internautes du monde entier. Cela a allumé le feu de nombreuses entreprises technologiques pour progresser vers un cryptage et une confidentialité accrus. En passant au HTTPS, les gouvernements du monde entier ont plus de mal à visualiser toutes vos habitudes de navigation.

Comment les navigateurs encouragent les sites Web à vider HTTP

En raison de cette volonté de passer au HTTPS, toutes les nouvelles normes conçues pour rendre le web plus rapide nécessitent un cryptage HTTPS. HTTP / 2 est une nouvelle version majeure du protocole HTTP prise en charge dans tous les principaux navigateurs Web. Il ajoute la compression, le pipelining et d'autres fonctionnalités qui aident à accélérer le chargement des pages Web. Tous les navigateurs Web exigent que les sites utilisent le cryptage HTTPS s'ils souhaitent ces nouvelles fonctionnalités HTTP / 2 utiles. Les appareils modernes disposent également d'un matériel dédié pour traiter le cryptage AES requis par HTTP. Cela signifie que HTTPS devrait en fait être plus rapide que HTTP.

Alors que les navigateurs rendent HTTPS attrayant avec de nouvelles fonctionnalités, Google rend HTTP peu attrayant en pénalisant les sites Web pour leur utilisation. Google prévoit de signaler les sites Web qui n'utilisent pas HTTPS comme dangereux dans Chrome, et Google souhaite donner la priorité aux sites Web qui utilisent HTTPS dans les résultats de recherche Google. Cela incite fortement les sites Web à migrer vers HTTPS.

Comment vérifier si vous êtes connecté à un site Web en utilisant HTTPS

Vous pouvez dire que vous êtes connecté à un site Web avec une connexion HTTPS si l'adresse dans la barre d'adresse de votre navigateur Web commence par «//». Vous verrez également une icône de verrouillage sur laquelle vous pouvez cliquer pour plus d'informations sur la sécurité du site Web.

Cela semble un peu différent dans chaque navigateur, mais la plupart des navigateurs ont en commun l'icône // et le verrou. Certains navigateurs masquent désormais le «//» par défaut, vous ne verrez donc qu'une icône de verrouillage à côté du nom de domaine du site Web. Cependant, si vous cliquez ou appuyez à l'intérieur de la barre d'adresse, vous verrez la partie «//» de l'adresse.

CONNEXION: Pourquoi l'utilisation d'un réseau Wi-Fi public peut être dangereuse, même lors de l'accès à des sites Web cryptés

Si vous utilisez un réseau inconnu et que vous vous connectez au site Web de votre banque, assurez-vous de voir le HTTPS et l'adresse de site Web correcte. Cela vous permet de vous assurer que vous êtes réellement connecté au site Web de la banque, même si ce n'est pas une solution infaillible. Si vous ne voyez pas d'indicateur HTTPS sur la page de connexion, vous pouvez être connecté à un site Web imposteur sur un réseau compromis.

Méfiez-vous des astuces de phishing

CONNEXION: Sécurité en ligne: décomposition de l'anatomie d'un e-mail de phishing

La présence de HTTPS en soi n'est pas une garantie qu'un site est légitime. Certains hameçonneurs intelligents ont réalisé que les gens recherchent l'indicateur HTTPS et l'icône de verrouillage, et peuvent faire tout leur possible pour déguiser leurs sites Web. Donc, vous devez toujours vous méfier: ne cliquez pas sur les liens dans les e-mails de phishing, ou vous pourriez vous retrouver sur une page habilement déguisée. Les fraudeurs peuvent également obtenir des certificats pour leurs serveurs frauduleux. En théorie, ils ne peuvent se faire passer pour des sites qu'ils ne possèdent pas. Une adresse telle que //google.com.3526347346435.com peut s'afficher. Dans ce cas, vous utilisez une connexion HTTPS, mais vous êtes vraiment connecté à un sous-domaine d'un site nommé 3526347346435.com et non à Google.

D'autres fraudeurs peuvent imiter l'icône de verrouillage, en changeant le favicon de leur site Web qui apparaît dans la barre d'adresse en un verrou pour essayer de vous tromper. Gardez un œil sur ces astuces lorsque vous vérifiez votre connexion à un site Web.