Les utilisateurs occasionnels d’Internet remarquent rarement qu’il y a deux options pour débuter une URL. Il s’agit des fameux protocoles HTTP et HTTPS qui sont largement utilisés pour envoyer et recevoir des informations sur le web.
Que vous soyez un professionnel qui dispose déjà d’une certaine connaissance sur la signification et l’utilité de ces acronymes ; ou que vous soyez un simple utilisateur du web très enthousiaste à l’idée de savoir comment ils fonctionnent exactement, ce dossier spécial pourrait élargir vos horizons.
HTTP et HTTPS : quelle différence entre ces deux protocoles ?
Pour faire simple, lorsqu’une URL commence par HTTP, cela signifie qu’aucun chiffrement des données n’est mis en œuvre. Dans ce cas, l’URL utilise le protocole de transfert hypertexte ou « HyperText Transfer Protocol ». Il s’agit d’une norme créée par Tim Berners-Lee dans les années 1990, à l’époque où Internet n’était encore qu’à ses balbutiements. Le protocole HTTP permet aux navigateurs et aux serveurs web de communiquer via l’échange de données.
HTTP est également appelé « protocole sans état », ce qui signifie qu’il permet une connexion à la demande. Lorsque vous cliquez sur un lien qui demande une connexion, votre navigateur web envoie cette requête au serveur qui, à son tour, va répondre en ouvrant la page en question. Plus votre connexion est rapide, plus les données vous sont présentées rapidement.
Ce protocole se concentre uniquement sur la présentation des informations. Comme il se soucie moins de la manière dont ces informations transitent d’un endroit à l’autre, cela peut poser problème, car le protocole HTTP peut être intercepté et potentiellement modifié. Ceci rend vulnérables les informations ainsi que l’internaute qui cherche à consulter la page web demandée.
HTTPS n’est pas le contraire de HTTP. Comme vous pouvez le constater, il s’agit plutôt de son petit cousin qui fait aussi référence au « protocole de transfert hypertexte » pour permettre aux informations demandées sur le web d’être présentées sur votre écran. Néanmoins, HTTPS présente une légère différence, mais très importante : il est plus avancé et beaucoup plus sûr que HTTP.
Si cela vous semble un peu flou, on peut dire simplement que HTTPS est une extension de HTTP. Le « S » à la fin de l’acronyme vient du mot « Secure ». Ce qui caractérise ce protocole est qu’il est alimenté par la technologie de sécurité TLS (« Transport Layer Security ») qui établit une connexion chiffrée entre un serveur web et votre navigateur. Si l’URL que vous consultez n’utilise pas le protocole HTTPS, toutes les données que vous saisissez sur le site (nom d’utilisateur, mot de passe, numéro de carte de crédit, coordonnées bancaires, etc.) seront donc envoyées en clair et seront susceptibles d’être écoutées ou interceptées par des pirates informatiques.
Tous les filtres web ne peuvent pas bloquer les sites internet en HTTP. Par exemple, certains peuvent bloquer HTTP://facebook.com, mais pas HTTPs://facebook.com. Cela permet aux utilisateurs de contourner facilement le filtre, ce qui se traduit par une perte de temps et des risques accrus pour les entreprises.
Des sites populaires, dont Facebook, YouTube et LinkedIn, ont récemment adopté la norme HTTPS. C’est une bonne nouvelle pour la sécurité. Mais c’est aussi une mauvaise nouvelle pour les entreprises utilisant une solution de filtrage web qui n’est pas capable de bloquer les sites en HTTPS, ou celles qui doivent acheter un composant supplémentaire pour ce faire.
Voici pourquoi vous devriez utiliser un filtre web HTTPS
Chaque organisation doit pouvoir autoriser ou bloquer les sites en HTTPS.
Voici les raisons :
1. Augmenter la productivité
Par le passé, l’extension HTTPS était utilisée pour les transactions en ligne, les opérations bancaires et bien d’autres sessions sensibles. De nos jours, même les sites web qui ne traitent pas des données sensibles adoptent cette extension.
Les sites de réseaux sociaux comme Facebook, Twitter, YouTube sont souvent bloqués par les entreprises pour certains employés, mais ces sites utilisent maintenant HTTPS par défaut.
Pour une petite entreprise, avoir un filtre web capable de bloquer HTTPS est donc le moyen le plus pratique d’éviter de perdre du temps sur ces sites.
2. Bloquer les sites web dangereux
Il existe des millions de sites web à risque sur Internet. Ils ont généralement des antécédents en termes de transmission de logiciels malveillants ou de fraudes en ligne. Des techniques telles que l’usurpation d’adresse (spoofing) ; les attaques « drive by download » ; le vol de session (session hijacking) et d’autres tactiques peuvent infecter un PC d’utilisateur avec des logiciels malveillants.
À noter que ces techniques fonctionnent sur les sites en HTTP et en HTTPS. Le filtre HTTPS peut donc aider les entreprises à se protéger contre ces dangers.
3. Bloquer le contenu offensant d’un site web
Les sites web contenant des contenus inappropriés sont courants sur le Web. Ces sites peuvent également utiliser HTTPS.
La seule façon pour une organisation de se protéger de ces contenus offensants est d’utiliser un filtre web qui peut gérer à la fois les sites en HTTP et en HTTPS.
4. Conformité
De nombreuses industries sont tenues d’améliorer la sécurité de leurs réseaux. Certaines normes, comme la « Children’s Internet Protection Act » (CIPA), exigent que les organisations filtrent les contenus Web.
Toute industrie qui a besoin d’un filtrage HTTP est presque certaine d’avoir aussi besoin d’un filtrage HTTPS, pour les raisons décrites ci-dessus.
Ce qu’il faut savoir avant de passer à HTTPS
Maintenant que vous avez compris les avantages d’utiliser le protocole HTTPS, il est temps de comprendre comment passer réellement du HTTP au HTTPS. En fait, ce processus peut nécessiter un certain nombre d’étapes, mais en général, il n’est pas si difficile puisqu’il s’agit d’un processus à sens unique. Attention toutefois, car de nombreuses personnes s’égarent pendant la migration, probablement à cause du grand nombre d’options qui leur sont proposées.
Voici donc ces quatre étapes :
1. Achetez un certificat SSL auprès d’une autorité de certification de confiance
Un certificat SSL est un fichier de données liant une clé cryptographique aux informations de votre organisation. Il est préférable de l’acheter directement auprès de votre société d’hébergement.
2. Installez le certificat SSL sur votre compte d’hébergement de votre site
C’est l’autorité de certification de confiance qui va s’assurer que le certificat SSL est activé et installé correctement sur votre serveur. Demandez à votre société d’hébergement de l’installer et, si vous l’avez acheté auprès d’une tierce partie, il faudra importer le certificat dans l’environnement d’hébergement. Sans assistance, cette opération peut s’avérer assez délicate.
3. Assurez-vous que les liens internes sont désormais en HTTPS
Avant de procéder à la conversion, vous devez vérifier que chaque lien interne de votre site web comporte l’URL HTTPS appropriée. Cette vérification est importante, car si vous mettez en ligne de liens qui mélangent HTTP et HTTPS, cela va perturber les lecteurs et aura un impact sur le référencement de votre site, voire entraîner le chargement incorrect de certaines fonctionnalités de la page.
4. Configurez des redirections 301 pour informer les moteurs de recherche
Si vos utilisez un site CMS, vous pouvez rediriger automatiquement tout le trafic du serveur vers le nouveau protocole HTTPS grâce à un plug-in. Si ce n’est pas le cas, votre site web devra être mis à jour manuellement. Les redirections 301 ont pour rôle d’alerter les moteurs de recherche que votre site a fait l’objet d’une petite modification et qu’ils devront l’indexer selon le nouveau protocole HTTPS. Ce faisant, les utilisateurs qui avaient déjà ajouté votre site à leurs favoris sous l’ancien protocole HTTP seront dirigés vers la nouvelle URL sécurisée.
Cela vous semble compliqué ?
Vous vous êtes peut-être demandé s’il est possible de faire vous-même la migration de votre site HTTP en HTTPS. En réalité, vous pouvez vous en sortir, même sans l’intervention d’un spécialiste, surtout si votre site Internet est encore à ses débuts. Mais si votre plate-forme en ligne est complexe et contient une importante quantité de contenus, vous aurez intérêt de faire recours à un spécialiste, notamment si vous n’êtes pas familier avec la manipulation des différents éléments qui composent votre site web. Ces actions peuvent même endommager votre site.
Heureusement, il existe actuellement de nombreuses sociétés spécialisées qui proposent des certificats SSL. Ces spécialistes de l’hébergement de sites web font eux-mêmes le gros du travail, c’est-à-dire les trois premières des quatre étapes susmentionnées. Il vous suffit de communiquer à vos visiteurs la nouvelle adresse de votre plate-forme en ligne. Bien entendu, cela peut vous coûter quelques euros supplémentaires.
Est-ce que tout repose sur le protocole TLS ?
TLS (Transport Layer Security) est un élément essentiel de l’infrastructure informatique. Et lorsque les sites web en HTTP l’utilisent pour sécuriser les communications entre leurs serveurs et leurs navigateurs web, on obtient donc l’extension HTTPS.
Essayez de penser de la manière suivante, le processus de migration de HTTP vers HTTPS est l’équivalent d’une destination. Le protocole SSL, quant à lui, est l’équivalent d’un trajet. Si le premier se charge d’acheminer les informations jusqu’à votre écran, le second gère la façon dont elles y arrivent. Lorsque ces deux protocoles travaillent conjointement, ils permettent de déplacer les données de manière sûre.
TLS est également très utilisé pour sécuriser d’autres protocoles :
SMTP (Simple Mail Transfer Protocol) peut par exemple utiliser TLS pour accéder aux certificats afin de vérifier l’identité des terminaux. Les fournisseurs ont créé des VPN basés sur TLS, tels qu’OpenVPN et OpenConnect. De tels VPNs ont des avantages pour le pare-feu et permettent aux datagrammes IPsec de traverser un réseau utilisant la technologie NAT par rapport aux VPNs IPsec traditionnels.
TLS est une méthode standard pour protéger la signalisation de l’application SIP (Session Initiation Protocol). TLS/SSL n’est pas la valeur par défaut sur de nombreux sites web ou parties de sites web. Une étude réalisée en 2014 sur un million de sites web a montré qu’environ 450 000 seulement prenaient en charge TLS, par opposition à l’ancien SSL (source : HTTPs://jve.linuxwall.info/blog/index.php?post/TLS_Survey).
En fait, les sites web en TLS/SSL sont le plus souvent très différents de leurs homologues non sécurisés. Par exemple, la version sécurisée par TLS de HTTP://en.wikipedia.org/wiki/ est HTTPs://secure.wikimedia.org/wikipedia/en/wiki. Autrement dit, il ne suffit pas de remplacer HTTP:// par HTTPs:// pour mieux sécuriser le site.
C’est pourquoi l’Electronic Frontier Foundation a proposé l’extension HTTPS Everywhere pour les navigateurs. Le module complémentaire active les fonctions de sécurité TLS si elles sont présentes sur les sites web concernés, mais il ne peut pas les créer si elles n’existent pas encore.
Les vulnérabilités du protocole TLS
Lorsque le Trustwortworthy Internet Movement, une organisation à but non lucratif, a analysé les vulnérabilités SSL sur les 20 000 sites web les plus populaires au monde, elle a signalé en janvier 2016 que 64 % des sites sondés présentaient une sécurité insuffisante.
Il convient de noter que SSL n’est pas sûr. À partir de 2014, la version de SSL 3.0 a été considérée comme non sécurisée, car elle est vulnérable à l’attaque Poodle qui affecte tous les chiffrements par blocs SSL.
L’implémentation de SSL 3.0 de RC4, le seul chiffrement non bloqué pris en charge, peut être cassée. Le protocole TLS a été donc révisé à plusieurs reprises pour tenir compte des vulnérabilités en matière de sécurité. Mais comme pour tout logiciel non corrigé, l’utilisation d’anciennes versions peut conduire à l’exploitation des vulnérabilités ayant déjà été corrigées.
TLS peut être transmis en utilisant le protocole TCP (Transmission Control Protocol) ou UDP (User Datagram Protocol). Même si TCP possède des fonctionnalités plus sécurisées qu’UDP, dans les deux cas, les transmissions TLS peuvent encore être compromises par certaines vulnérabilités. Idem pour la cryptographie à clé publique, le chiffrement et l’échange de clefs.
TLS a été intégré dans de nombreux progiciels utilisant des bibliothèques « open source ». Selon un article présenté à la conférence de l’Association for Computing Machinery en 2012 sur la sécurité informatique et des communications, peu d’applications utilisaient correctement certaines de ces bibliothèques SSL, ce qui renforce les vulnérabilités.
Le bug Heartbleed a par exemple affecté un composant d’OpenSSL, une bibliothèque « open source » qui était largement utilisée pour l’implémentation de protocoles de sécurisation des échanges SSL. Cet incident a permis aux cybercriminels de voler les clés privées des serveurs, ce qui a affecté environ un demi-million de sites web.
Le point le plus faible d’une connexion SSL/TLS est l’échange de clés. Si l’algorithme est déjà connu de l’attaquant et que la clé publique du serveur a été compromise, en théorie, ce système est ouvert aux attaques « Man in The Middle ». L’attaquant serait alors en mesure de surveiller le client subrepticement.
HTTPS réserve un seul port (TCP 443) pour l’échange de clés. Ainsi, les attaques « Distributed denial-of-service », lesquelles sont très évoluées, doivent inonder ce seul port afin de paralyser le réseau d’une organisation.
La Trustworthy Internet Movement a signalé que 91 % des sites web étaient vulnérables à l’attaque « Beast », lors de laquelle un attaquant peut utiliser les caractéristiques de données chiffrées pour deviner leur contenu.
Certains sites web prennent en charge les SSL/TLS plus anciens pour une compatibilité ascendante, c’est-à-dire la compatibilité d’un protocole vis-à-vis des versions plus récentes. En juin 2016, ladite organisation a estimé que 26 % des sites web proposent le « protocol fallback », une solution de recours destinée à prévenir la défaillance totale d’un système.
Mais cela peut être une opportunité pour des attaques « protocol downgrade » telles que Drown. Cette attaque permet par exemple de récupérer la clef d’une session TLS et de déchiffrer la communication interceptée, ce qui peut affecter OpenSSL.
Tous les détails de Drown ont été annoncés en mars 2016, ainsi qu’un patch pour le kit d’exploitation. À l’époque, sur un million de sites les plus populaires, 81 000 faisaient partie des sites protégés par le TLS et étaient vulnérables à l’attaque Drown.
Alors, les protocoles TLS et SSL sont-ils sécurisés ?
Si votre organisation utilise exclusivement la version TLS la plus récente et tire parti de toutes les fonctions de sécurité de ce protocole, vous avez une longueur d’avance en termes de sécurité informatique.
Afin de protéger votre entreprise contre les malwares dissimulés sous une couche de SSL, vous avez toutefois besoin d’un filtre web ou d’une passerelle web capable d’intercepter et de déchiffrer le trafic SSL. Cette solution est relativement simple à mettre en place.
Le filtre web crée une connexion sécurisée entre le navigateur client et le filtre, puis déchiffre le trafic SSL sur lequel le trafic est analysé.
Une fois examiné, le trafic est à nouveau chiffré et une autre connexion sécurisée est créée entre le filtre web et le serveur web. Cela signifie que le filtre web agit effectivement comme un serveur proxy SSL et peut donc intercepter la connexion SSL tout en inspectant le contenu.
Google Chrome pourrait étiqueter tous les sites en HTTP comme non sécurisés
Google a annoncé que son navigateur, Google Chrome, adoptera une mesure plus rigoureuse quant au chiffrement web, marquant les sites qui n’utilisent pas l’extension HTTPS comme non sécurisée.
Cette règle prendra effet à partir de janvier et s’appliquera à tout site qui demande un mot de passe ou de renseignements via une carte de crédit. À terme, Chrome étiquettera tous les sites HTTP comme non sécurisés.
Le filtrage Web pour HTTPS comme standard
Les solutions de filtrage WebTitan analysent le trafic chiffré de façon plus facile et abordable. La possibilité d’analyser le trafic HTTPS – par exemple le courrier web et la plupart des réseaux sociaux – est une épine dans le pied de nombreuses entreprises qui utilisent un filtre web ; qui ne peuvent pas bloquer les extensions HTTPS ou qui nécessitent l’achat d’un composant supplémentaire pour ce faire. Le coût et les inconvénients peuvent être considérables.
WebTitan peut vous fournir une couche supplémentaire de contrôle granulaire pour le filtrage HTTP et HTTPS avec intégration Active Directory. L’inspection SSL permet à WebTitan de traiter le trafic HTTPS chiffré.
En termes simples, HTTPS est un protocole SSL superposé sur HTTP. Il parvient à sécuriser le réseau en inspectant le contenu du trafic HTTPS, puis en réalisant un déchiffrement et un rechiffrement de ce trafic.
Avec WebTitan, le filtrage web pour HTTPS est inclus en standard. Ceci comprend toutes les fonctions de sécurité que nous offrons, ainsi qu’un support technique gratuit.
Que faut il faut retenir ?
Il existe de nombreuses raisons pour lesquelles vous souhaitez rendre votre site sécurisé. D’une part, vous voulez peut-être protéger vos informations sensibles et, d’autre part, vous voulez vous assurer que les internautes soient à l’aise lorsqu’ils naviguent sur votre site. Qu’à cela ne tienne, vous devez donc songer à vos passer du protocole HTTP et migrer vers HTTPS. Le plus dans tout cela est que, lorsque vous allez opter pour cette solution, vous allez constater son impact sur votre référencement.
Alors, si vous n’avez pas encore basculé votre site Internet en HTTPS, il est peut-être temps de le faire, même s’il y a un certain nombre d’étapes que vous devrez franchir. Comme HTTPS est désormais devenu le protocole standard, l’effort qu’il faudra fournir pour mener à bien la migration vaut bien le résultat. Plus vous hésitez, plus votre site risque de présenter des failles et d’être distancé par ses sites concurrents.
N’oubliez pas que, même si vous avez déjà adopté le protocole HTTPS, ce n’est qu’un début pour renforcer la sécurité et le référencement de votre site. Vous pouvez aussi donner à votre organisation une sécurité sans compromis avec WebTitan.
FAQs
Quelle est exactement la différence entre HTTP et HTTPS ?
Techniquement, il n’y a aucune différence, car le protocole qu’ils utilisent est le même. En d’autres termes, la syntaxe est identique pour ces deux variantes. Ce qui les différencie, c’est que le HTTPS utilise un protocole de transport particulier, plus précisément le protocole SSL/TLS. Ce n’est donc pas le protocole qui doit être remis en question, mais son mode de transport sécurisé de façon supplémentaire.
Mais pourquoi utiliser le protocole HTTP ?
HTTP est un protocole dédié à vous permettre de créer des connexions à la demande. Plus votre connexion est rapide, plus la page demandée s’affiche rapidement. Le fait est que ce protocole ne se soucie pas de la façon dont les informations sont transmises d’un endroit à un autre. Elles peuvent donc être interceptées, et éventuellement détournées, par des pirates informatiques.
Comment le protocole HTTPS est-il sécurisé ?
En gros, le « S » à la fin du protocole est une extension qui signifie « Secure » ou « sécurisé », car il fonctionne grâce au protocole TLS ou « Transport Layer Security », le successeur du protocole SSL ou « Secure Sockets Layer ». C’est actuellement la technologie de sécurité standard qui permet d’établir une connexion chiffrée entre un navigateur et un serveur web.
Pourquoi utiliser une connexion chiffrée ?
L’ajout d’un certificat SSL permet de sécuriser les données à l’aide d’un chiffrement. Ainsi, même si les cybercriminels parviennent à intercepter vos informations, il leur sera très difficile de les déchiffrer.
Mon site utilise encore le protocole HTTP, comment passer à HTTPS ?
Pour sécuriser le site web de votre entreprise avec le protocole HTTPS, il suffit de contacter votre hébergeur. Il va émettre et installer un certificat SSL afin de rediriger votre trafic vers la version HTTPS.