Le HTTPS (S pour « sécurisé »):
Est un protocole de réseau sécurisé, combinaison du HTTP (protocole de transfert hypertexte = pages internet) et du SSL ou TLS (cryptage des données transmises).
Ce protocole crypté est généralement utilisé pour les transactions financières en ligne :
commerce électronique, banque en ligne, courtage en ligne, etc.
Il peut aussi être utilisé pour la consultation de données privées, comme les courriers électroniques par exemple.
CRYPTAGE ET CERTIFICAT:
Les données échangées entre l'ordinateur de l'utilisateur et le serveur sont cryptées en SSL, et non envoyées en clair sur le réseau.
Pour crypter les données transmises, il est necessaire de disposer d'une clé de cryptage (code).
Le navigateur, disposant de cette clé, va pouvoir coder les données transmises au serveur, et décoder les données qui lui sont envoyées.
Le serveur transmets la clé publique de cryptage au navigateur.
Pour des raisons de sécurité, le navigateur va demander que cette clé soit authentifiée.
C'est donc un organisme certificateur, dont le certificat racine est implanté dans le navigateur par défaut ou chargé par l'utilisateur, qui a authentifiera le serveur et donc le site et la clé de cryptage.
Si le navigateur ne contient pas le certificat racine, il est necessaire de le demander au webmestre du site, ou d'accepter de faire une dérogation en acceptant de classer le site comme "de confiance".
Plus la clé de cryptage est longue (48, 128, 256 ...1024 bits etc), moins il sera facile de décrypter si l'on ne dispose pas de la clé.
Une tentative d'écoute sur le réseau ou d'intrusion sur un point d'accès Wi-Fi non sécurisé ne permettra pas de les intercepter ou détourner.
Le certificat d'authentification (délivré par une autorité de certification), permet au visiteur de vérifier l'identité du site auquel il accède.
INDICATIONS D'ACTIVATION DU PROTOCOLE:
La première information est dans l'adresse de la page demandée, elle doit commencer par HTTPS://
Elle s'identifie ensuite sur le navigateur par un cadenas fermé dans la barre d'état (en bas à droite):
CADENAS FERME:
et éventuellement une couleur de fond bleue ou verte de l'icone du site dans la barre d'adresse du navigateur.
LOGO VERT:
Site hautement sécurisé (transactions bancaires)
LOGO BLEU:
Site sécurisé et identifié (il ne peut pas s'agir d'un détournement d'adresse, les échanges sont cryptés)
LOGO GRIS:
Site partiellement sécurisé.
La page contient des éléments non cryptés (données provenant de sites non sécurisés).
Le cadenas présente alors une alerte en rouge:
CONCLUSION:
Comme le cryptage ralentit l'échange de données, et coûte cher en moyens du serveur et en certification,
il semble donc plus judicieux de l'activer que dans le cadre de transmission de données sensibles (informations privées).
Le cyptages de pages html ou de transfert d'images ne semble pas être aproprié aux pages d'information standard.
Mais à partir du moment où le site permet une connexion en https, à chacun de faire son choix.
Le concepteur du site aura par contre la tâche de sécuriser les données sensibles.
Mise à jour 03/12/2008
|