Vous avez besoin du Cloud Computing ? Commencez dès maintenant

Qu'est-ce que HTTPS ?

Qu'est-ce que HTTPS (protocole Web sécurisé) ?

Examinons à présent le protocole Web sécurisé, HTTPS. Le « S » à la fin du protocole HTTPS signifie  « sécurisé ». HTTPS assure l'authentification du site Web ainsi que le chiffrement de la communication. L'authentification du site Web vous permet de savoir que vous visitez réellement le site www.apple.com et non un faux site. À l'origine, HTTPS était utilisé pour protéger les connexions et les transactions en ligne confidentielles, comme les services bancaires en ligne et les achats en ligne. De nos jours, cependant, HTTPS est devenu la norme par défaut.

HTTPS utilise une technologie appelée chiffrement à clé publique. Pour fonctionner, le site Web a besoin d'une paire de clés publique-privée certifiée par une autorité de certification. Nous n'aborderons pas ici le fonctionnement du chiffrement à clé publique.

Maintenant, reprenons notre exemple, cette fois avec HTTPS. L'étape 1 est la même que précédemment : nous tapons l'adresse ou cliquons sur un lien.

Avant de pouvoir passer à l'étape 2, nous devons ajouter une nouvelle étape intermédiaire. Au cours de cette étape, le navigateur et le serveur Web effectuent une « danse cryptographique », c'est-à-dire un échange de messages et un calcul vraiment intéressant, en utilisant la paire de clés publique-privée du serveur Web, afin d'authentifier le site Web et de créer deux nouvelles clés appelées clés de session : une pour le client et une pour le serveur. Ces clés de session sont utilisées pour chiffrer et déchiffrer les messages.

Ces fonctions cryptographiques sont exécutées par un protocole appelé TLS (Transport Layer Security), qui est le successeur du protocole SSL (Secure Sockets Layer), désormais obsolète.

À présent, nous pouvons passer à l'étape 2 qui fonctionne comme avant, à la différence près que le navigateur utilise sa clé de session pour chiffrer le message de la requête avant de pouvoir l'envoyer. Le message chiffré est ensuite envoyé au serveur Web. Le serveur Web, après avoir reçu le message, utilise sa clé de session pour décrypter, puis lire le message.

L'étape 3 suit le même principe avec le message de réponse. Après avoir écrit le message de réponse, le serveur Web le chiffre à l'aide de sa clé de session, puis le renvoie au navigateur. Le navigateur, après avoir reçu le message, utilise sa clé de session pour déchiffrer et lire le message.

Enfin, l'étape 4 fonctionne de la même manière : le navigateur affiche la réponse, et nous pouvons voir la page Web.

Notez que l'icône en forme de cadenas indique une connexion et une authentification sécurisées du site Web.

Vous vous demandez peut-être comment les messages de requête et de réponse parviennent au serveur Web et vice-versa. La réponse est le Protocole Internet (IP). C'est ce que nous allons voir à présent. Qu'est-ce qu'une adresse IP ?

Un site Web sécurisé est devenu un gage de confiance pour les internautes. Lorsqu'ils voient un symbole de cadenas dans la barre d'adresse du navigateur, les utilisateurs de sites Web ont l'assurance qu'un site Web est légitime et sûr. 

Internet repose sur des protocoles, dont le protocole HTTP (Hypertext Transfer Protocol). Un S dans le HTTP de l'URL d'un site Web (HTTPS) indique que le site utilise la version sécurisée de HTTP, le S signifiant « sécurisé ». À l'origine, HTTPS (Hypertext Transfer Protocol Secure) était utilisé pour protéger les connexions en ligne et garantir la sécurité des transactions bancaires et des achats en ligne. Cependant, en 2014, Google a augmenté les enjeux pour HTTPS en utilisant HTTPS comme signal de classement. L'effet sur l'adoption de HTTPS a été spectaculaire et aujourd'hui, plus de 80 % de l'ensemble des sites Web utilisent HTTPS.

Quelle est la différence entre HTTP et HTTPS ?

HTTPS et le protocole de sécurité associé, SSL (Secure Sockets Layer), ont été publiés par Netscape en 1994 pour protéger le navigateur Netscape.

Les connexions HTTPS facilitent deux fonctions essentielles pour garantir la confiance et créer des connexions sécurisées sur Internet :

  • Authentification du site Web : Cette fonction permet d'authentifier un site Web afin que l'utilisateur sache que le site a été vérifié et est légitime ; par exemple, apple.com est le site Web de la société Apple Inc.
  • Chiffrement des données : Les sites Web HTTPS utilisent le protocole TLS (Transport Layer Security ; successeur de SSL) pour chiffrer le trafic Web, protégeant ainsi les informations sensibles entre un client (par exemple, un navigateur Web) et un serveur Web. Par exemple, si vous achetez un article en ligne sur un site HTTPS et envoyez vos données de carte de crédit pour effectuer l'achat, ces données seront envoyées de manière cryptée, plutôt que sous forme de texte brut, au serveur Web.

Comment HTTPS fonctionne-t-il ?

HTTPS est basé sur une technologie appelée PKI (infrastructure à clés publiques). La PKI repose sur le chiffrement à clé publique et sur une signature numérique. Une « paire de clés » est créée par le propriétaire du site Web et la clé publique est envoyée à une autorité de confiance appelée « autorité de certification » (AC). Cette autorité signe la clé publique, ce qui génère un document appelé certificat numérique. Le site Web détient désormais une clé privée et un certificat SSL, qui comprend la clé publique. La clé publique vérifie tout ce qui est signé par la clé privée. Le certificat numérique établit une chaîne de confiance et de validation qui garantit que le site Web est authentique. HTTPS utilise un protocole de sécurité (SSL/TLS) pour chiffrer et déchiffrer les communications et les données sensibles entre le navigateur Web et le serveur Web.

Étapes d'un flux de requête-réponse HTTPS

Le flux requête-réponse du protocole HTTPS débute de la même manière que HTTP. Cependant, une étape intermédiaire, l'étape 1.5, permet de différencier les deux flux:

Étape 1 : navigation et initiation

L'utilisateur saisit une adresse Web dans un navigateur ou clique sur un lien dans un e-mail ou un autre message. L'adresse contient une URL (Uniform Resource Locator) avec HTTP, indiquant au navigateur d'utiliser HTTP pour récupérer le document représentant l'URL.

Étape 1.5 : la « danse cryptographique »

À l'étape 1.5, le navigateur et le serveur Web effectuent une « danse cryptographique ». Cela implique l'échange de messages chiffrés. Ces étapes nécessitent que des fonctions cryptographiques complexes soient exécutées à l'aide du protocole TLS, en utilisant la paire de clés publique-privée du serveur Web générée par l'autorité de certification (AC). Cette étape authentifie le site Web et crée deux nouvelles clés (clés de session) : une pour le client et une pour le serveur. Ces clés de session sont utilisées pour chiffrer et déchiffrer les messages.

Étape 2 : le client envoie un message de requête HTTP au serveur

L'étape 2 est identique au flux requête-réponse de l'étape 2 du protocole HTTP. Le client, par exemple le navigateur, élabore un message de requête adressé au serveur Web. Le message comprend des informations supplémentaires sur la demande, telles que l'identité de l'entité demandeuse. Cependant, contrairement à HTTP, après avoir écrit le message de requête et avant que le navigateur puisse envoyer le message, la requête HTTP(S) doit utiliser la clé de session pour chiffrer le message.

Étape 3 : le serveur Web renvoie la réponse HTTPS au client

Une fois la requête reçue, le serveur Web utilise sa clé de session pour déchiffrer et lire le message. Le serveur Web élabore ensuite un message de réponse, qu'il chiffre à l'aide de la clé de session avant de le renvoyer au navigateur.

Étape 4 : le message est affiché par le navigateur

Lors de la réception du message chiffré, le navigateur utilise sa clé de session pour déchiffrer puis lire le message. Lors de la dernière partie de cette étape, le navigateur affiche le message de réponse et affiche la page Web dans le navigateur.

Pourquoi est-il important d'utiliser HTTPS ?

Sans HTTPS, les internautes et les données échangées en ligne entre les clients (par exemple, un navigateur) et un serveur Web sont exposés aux risques suivants :

Attaques par interception : HTTPS utilise le protocole TLS pour chiffrer les communications. Même si les cybercriminels interceptent la communication, ils ne peuvent pas déchiffrer et voler les données.

Vol d'informations d'identification : Le vol d'informations d'identification est à l'origine de 54 % des incidents de sécurité, selon un rapport de Ponemon. Si le protocole HTTPS est correctement implémenté sur un site Web, toutes les données envoyées via ce site Web (ex. : identifiants de connexion) seront sécurisées, car elles sont chiffrées.

Perte de confiance : Les sites Web qui signalent qu'ils utilisent HTTPS ont reçu un certificat numérique d'une autorité de certification de confiance. L'AC effectue des contrôles préalables sur l'entreprise lors de l'émission du certificat. Toutefois, il convient de faire preuve de prudence. En effet, comme le montrent les statistiques de l'Anti-Phishing Working Group (APWG), 83 % des sites d'hameçonnage utilisent HTTPS.

Foire aux questions (FAQ)

HTTPS est la version sécurisée du protocole HTTP (Hypertext Transfer Protocol) qui récupère des ressources telles que des documents HTML. HTTPS établit une communication sécurisée entre le client (navigateur) et un serveur Web. HTTPS utilise le chiffrement par paire de clés avec le protocole TLS (Transport Layer Security) pour chiffrer/déchiffrer ces messages. HTTPS signale également qu'un site Web utilise ce protocole sécurisé et que le propriétaire du site Web a été vérifié.

HTTP est un protocole Web servant à afficher le contenu d'un site Web dans un navigateur. Le protocole Web HTTP est un protocole de requête-réponse qui définit la façon dont les clients Web communiquent avec les serveurs Web. HTTPS est la version sécurisée de ce protocole qui utilise le protocole TLS (transport Layer Security) et le chiffrement par paire de clés pour sécuriser l'échange de messages entre le client (par exemple, le navigateur) et un serveur Web.

Non, HTTPS ne signifie pas nécessairement qu'un site Web est sûr. 

Le protocole HTTPS (Hypertext Transfer Protocol Secure) chiffre la communication entre un navigateur Web et un site Web, fournissant une connexion sécurisée. Il garantit que les données transmises entre l'utilisateur et le site Web ne peuvent être interceptées ou altérées par des personnes non autorisées.

Bien que HTTPS soit une mesure de sécurité importante qui protège les données pendant la transmission, il ne garantit pas la sécurité globale ou la fiabilité d'un site Web. Un site Web peut toujours contenir du contenu malveillant, présenter des vulnérabilités ou se livrer à des activités frauduleuses, même s'il utilise HTTPS.

HTTPS signifie "Hypertext Transfer Protocol Secure ». La lettre « S » dans HTTPS indique que la communication entre un navigateur Web et un site Web est chiffrée et sécurisée.

Elle prouve que le site Web dispose d'un certificat SSL/TLS et que la connexion est chiffrée et sécurisée. Ce chiffrement aide à protéger les informations sensibles et garantit que la connexion de l'utilisateur au site Web est authentique et digne de confiance.

Pourquoi les clients choisissent-ils Akamai ?

Akamai est l'entreprise de cybersécurité et de Cloud Computing qui soutient et protège la vie en ligne. Nos solutions de sécurité leaders du marché, nos renseignements avancés sur les menaces et notre équipe opérationnelle internationale assurent une défense en profondeur pour protéger les données et les applications des entreprises partout dans le monde. Les solutions de Cloud Computing complètes d'Akamai offrent des performances à moindre coût sur la plateforme la plus distribuée au monde. Des grandes entreprises du monde entier font confiance à Akamai pour bénéficier de la fiabilité, de l'évolutivité et de l'expertise de pointe dont elles ont besoin pour développer leur activité en toute confiance.

Découvrez toutes les solutions de sécurité d'Akamai