9Sep

Qu'est-ce que HTTPS, et pourquoi devrais-je m'en soucier?

click fraud protection

HTTPS, l'icône de cadenas dans la barre d'adresse, une connexion au site Web cryptée - c'est connu comme beaucoup de choses. Alors qu'il était auparavant réservé principalement aux mots de passe et autres données sensibles, l'ensemble du Web laisse progressivement derrière lui HTTP et passe au HTTPS.

Le "S" dans HTTPS signifie "Secure".C'est la version sécurisée du «protocole de transfert hypertexte» standard que votre navigateur utilise lorsqu'il communique avec des sites Web.

Comment HTTP vous met en danger

Lorsque vous vous connectez à un site Web avec HTTP régulier, votre navigateur recherche l'adresse IP correspondant au site Web, se connecte à cette adresse IP et suppose qu'il est connecté au bon serveur Web. Les données sont envoyées via la connexion en texte clair. Une oreille indiscrète sur un réseau Wi-Fi, votre fournisseur de services Internet ou des agences de renseignement gouvernementales comme la NSA peuvent voir les pages Web que vous visitez et les données que vous transférez d'avant en arrière.

instagram viewer

Il y a de gros problèmes avec ça. D'une part, il n'y a aucun moyen de vérifier que vous êtes connecté au bon site Web. Peut-être que vous pensez vous avez accédé au site Web de votre banque, mais vous êtes sur un réseau compromis qui vous redirige vers un site Web imposteur. Les mots de passe et les numéros de carte de crédit ne doivent jamais être envoyés via une connexion HTTP, ou une oreille indiscrète pourrait facilement les voler.

Ces problèmes se produisent parce que les connexions HTTP ne sont pas cryptées. Les connexions HTTPS sont.

Comment le cryptage HTTPS vous protège

HTTPS est beaucoup plus sécurisé que HTTP.Lorsque vous vous connectez à un serveur sécurisé HTTPS - des sites sécurisés comme celui de votre banque vous redirigent automatiquement vers HTTPS - votre navigateur Web vérifie le certificat de sécurité du site et vérifie qu'il a été émis par une autorité de certification légitime. Cela vous permet de vous assurer que, si vous voyez "https://bank.com" dans la barre d'adresse de votre navigateur Web, vous êtes connecté au vrai site Web de votre banque. L'entreprise qui a délivré le certificat de sécurité se porte garant pour eux. Malheureusement, les autorités de certification émettent parfois de mauvais certificats et le système tombe en panne. Bien que ce ne soit pas parfait, HTTPS est toujours beaucoup plus sécurisé que HTTP.

Lorsque vous envoyez des informations sensibles via une connexion HTTPS, personne ne peut les écouter en transit. HTTPS est ce qui rend possible la banque et les achats en ligne sécurisés.

Il fournit également une confidentialité supplémentaire pour la navigation web normale, aussi. Par exemple, le moteur de recherche de Google utilise désormais par défaut les connexions HTTPS.Cela signifie que les internautes ne peuvent pas voir ce que vous recherchez sur Google.com. La même chose vaut pour Wikipedia et d'autres sites. Auparavant, tous les utilisateurs du même réseau Wi-Fi pouvaient voir vos recherches, tout comme votre fournisseur de services Internet.

Pourquoi tout le monde veut laisser HTTP derrière

HTTPS était à l'origine destiné aux mots de passe, aux paiements et à d'autres données sensibles, mais tout le Web se dirige maintenant vers lui.

Aux États-Unis, votre fournisseur de services Internet est autorisé à surveiller votre historique de navigation Web et à le vendre aux annonceurs. Si le site Web passe à HTTPS, votre fournisseur d'accès Internet ne peut pas voir autant de données, mais il ne voit que la connexion à un site Web spécifique, par opposition aux pages individuelles que vous consultez. Cela signifie beaucoup plus d'intimité pour votre navigation.

Pire encore, HTTP permet à votre fournisseur d'accès Internet de modifier les pages Web que vous visitez, s'il le souhaite. Ils pourraient ajouter du contenu à la page Web, modifier la page, ou même supprimer des choses. Par exemple, les FAI pourraient utiliser cette méthode pour injecter plus de publicités dans les pages Web que vous visitez. Comcast injecte déjà des avertissements sur sa limite de bande passante, et Verizon a injecté une supercookie utilisée pour le suivi des publicités. HTTPS empêche les FAI et toute personne utilisant un réseau d'altérer des pages Web comme celle-ci.

Et, bien sûr, il est impossible de parler de cryptage sur le web sans mentionner Edward Snowden. Les documents divulgués par Snowden en 2013 ont montré que le gouvernement américain surveille les pages Web visitées par les internautes du monde entier. Ceci a allumé un feu sous beaucoup de compagnies de technologie pour passer vers le cryptage augmenté et la vie privée. En passant à HTTPS, les gouvernements du monde entier ont plus de mal à voir toutes vos habitudes de navigation.

Comment les navigateurs encouragent les sites Web à vider HTTP

En raison de cette volonté de passer au protocole HTTPS, toutes les nouvelles normes conçues pour rendre le Web plus rapide nécessitent un cryptage HTTPS.HTTP / 2 est une nouvelle version majeure du protocole HTTP pris en charge dans tous les principaux navigateurs Web. Il ajoute de la compression, des pipelines et d'autres fonctionnalités qui permettent de charger les pages Web plus rapidement. Tous les navigateurs Web requièrent que les sites utilisent le cryptage HTTPS s'ils souhaitent utiliser ces nouvelles fonctions HTTP / 2 utiles. Les périphériques modernes disposent d'un matériel dédié pour traiter le cryptage AES HTTP.Cela signifie que HTTPS devrait être plus rapide que HTTP.

Alors que les navigateurs rendent le HTTPS attrayant avec de nouvelles fonctionnalités, Google rend HTTP sans attrait en pénalisant les sites Web pour l'utiliser. Nous prévoyons de signaler que les sites Web qui n'utilisent pas HTTPS ne sont pas sécurisés dans Google Chrome, et Google souhaite prioriser les sites Web utilisant le protocole HTTPS dans les résultats de recherche Google. Cela incite fortement les sites Web à migrer vers HTTPS.

Comment vérifier si vous êtes connecté à un site Web à l'aide de HTTPS

Vous pouvez indiquer que vous êtes connecté à un site Web avec une connexion HTTPS si l'adresse dans la barre d'adresse de votre navigateur Web commence par "https: //".Vous verrez également une icône de verrouillage, sur laquelle vous pouvez cliquer pour plus d'informations sur la sécurité du site.

Cela semble un peu différent dans chaque navigateur, mais la plupart des navigateurs ont l'icône https: // et le verrou en commun. Certains navigateurs masquent désormais le "https: //" par défaut, vous verrez donc juste une icône de cadenas à côté du nom de domaine du site. Cependant, si vous cliquez ou tapez dans la barre d'adresse, la partie "https: //" de l'adresse s'affiche.

Si vous utilisez un réseau non familier et que vous vous connectez au site Web de votre banque, assurez-vous de voir le protocole HTTPS et l'adresse correcte du site Web. Cela vous permet de vous assurer que vous êtes réellement connecté au site Web de la banque, même si ce n'est pas une solution infaillible. Si vous ne voyez pas d'indicateur HTTPS sur la page de connexion, vous pouvez être connecté à un site Web imposteur sur un réseau compromis.

Attention aux astuces de phishing

La présence de HTTPS lui-même n'est pas une garantie qu'un site est légitime. Certains hameçonneurs intelligents ont réalisé que les gens recherchent l'indicateur et l'icône de verrouillage HTTPS, et peuvent faire tout leur possible pour dissimuler leurs sites Web. Donc, vous devriez toujours être prudent: ne cliquez pas sur les liens dans les courriels d'hameçonnage, ou vous pouvez vous retrouver sur une page habilement déguisée. Les escrocs peuvent également obtenir des certificats pour leurs serveurs d'escroquerie. En théorie, ils sont seulement empêchés de se faire passer pour des sites qu'ils ne possèdent pas. Vous pouvez voir une adresse comme https://google.com.3526347346435.com. Dans ce cas, vous utilisez une connexion HTTPS, mais vous êtes vraiment connecté à un sous-domaine d'un site nommé 3526347346435.com, pas Google.

D'autres arnaqueurs peuvent imiter l'icône de verrouillage, en changeant la favicon de leur site Web qui apparaît dans la barre d'adresse à une serrure pour essayer de vous tromper. Gardez un œil sur ces astuces lors de la vérification de votre connexion à un site Web.