Passer à la norme https plus sécurisée commence par tuer http

La sécurité sera toujours une préoccupation en ce qui concerne Internet et les communications numériques. L'échange de données cruciales sur Internet ne se fait plus sur HTTP. En 1989, lorsque Tim Berners-Lee a lancé le développement de HTTP, le protocole a été principalement mis au point pour faciliter l’échange de données. Mais comme les utilisateurs commençaient à envoyer des données importantes et confidentielles sur Internet, le besoin de connexion sécurisée était inévitable.

HTTPS a donc été mis en action. Aujourd'hui, les entreprises numériques du monde entier s'unissent pour faire de HTTPS le protocole de facto pour Internet. C'est un pas énorme. Et, il faudra du temps pour que la plupart des utilisateurs d’Internet passent à

Mais la question est: est-il vraiment nécessaire de le faire? Quel est le niveau de sécurité actuel du protocole HTTPS? Et quelles actions sont entreprises pour y arriver? Eh bien, découvrons.

Tuer HTTP et promouvoir

Eh bien, si vous pensez que HTTP et HTTPS ne sont pas sécurisés, vous devriez consulter notre guide sur la navigation Web sécurisée. Si vous connaissez déjà ces termes, laissez-nous vous surprendre en déclarant que l’une des sociétés les plus désireuses de tuer HTTP est Google. Il a récemment annoncé qu'il commencerait à marquer les sites Web HTTP comme non sécurisés avec un signe d'avertissement dans la barre d'adresse de Chrome. Actuellement, il affiche simplement le message La connexion n'est pas privée.

À partir de janvier 2017 (Chrome 56), nous marquerons les pages HTTP collectant des mots de passe ou des cartes de crédit comme non sécurisées. - Emily Schechter

Ce n'est pas la seule mesure prise par Google pour promouvoir HTTPS. En 2014, Google avait annoncé que HTTPS serait considéré comme un signal de classement permettant de classer les sites Web sur son moteur de recherche. Et depuis lors, de nombreux éditeurs Web sont passés à HTTPS. Bien que cela ait eu très peu d’effet sur le classement. Même les sites Blogspot (les sites.com) sur la plate-forme Blogger ont été déplacés vers

En dehors de Google, même Apple s’y penche en demandant aux développeurs iOS de forcer la connexion HTTPS pour leurs applications iOS. De plus, les services d'articles instantanés de Facebook utilisent HTTPS par défaut, ce qui sécurise les pages de l'éditeur même si elles s'appuient sur HTTP. Une telle promotion et une telle pression de la part des grandes entreprises du secteur de la technologie ne feront sûrement pas passer la totalité d’Internet au HTTPS, mais au moins la moitié de cette dernière.

D'accord, c'est assez de promotion et de poussée. Après tout, ce que les utilisateurs veulent, c'est la sécurité. Mais obtenez-vous vraiment cette sécurité avec

À quel point HTTPS est-il sécurisé aujourd'hui?

Ce n'est pas si sûr. Voici un article détaillé de EFF expliquant pourquoi ce n’est pas le cas. Peu importe le nombre de défenses mises en place par l’organisation, il existe toujours un moyen de s’y introduire. Ce n’est pas totalement sûr.

HTTPS ne rend que plus difficile la tâche des pirates.

Le problème est que très peu de gens savent lire et écrire à ce sujet. HTTPS crypte les données et valide le site Web pour voir s’il s’agit bien de la page Web que vous avez demandée. Cette validation est effectuée à l'aide de certificats. Le certificat du site Web est vérifié par rapport à plus de 600 certificats d'autorité auxquels votre navigateur Web peut faire confiance. Ainsi, un pirate informatique potentiel doit trouver un certificat parmi lesquels il peut pénétrer.

Un autre défaut est que même si vous utilisez une connexion cryptée, un attaquant a des chances d'intercepter votre trafic Web. Ce sont les soi-disant attaques Man-in-the-Middle. Un attaquant peut créer un faux certificat de serveur pour validation. Mais les navigateurs indiquent qu’il s’agit d’un certificat qui n’est pas approuvé.

Si vous appuyez sur le bouton Continuer malgré tout, votre appareil est vulnérable aux attaques de type "Man-in-the-Middle". L'attaquant peut intercepter votre trafic et peut voir les mots de passe envoyés via le réseau. Réfléchissez donc avant de cliquer sur Continuer et ne partagez aucun identifiant privé avec de tels sites.

HTTPS a peut-être ses propres défauts, mais il reste sécurisé. Un chiffrement fort pour une connexion HTTPS pourrait simplement être inviolable pour un attaquant.

Passer à

Certains sites ne font que migrer vers HTTPS pour des raisons de référencement. Les blogs et les sites statiques n'ont généralement pas besoin d'une connexion HTTPS. Les utilisateurs ne partagent aucune de leurs informations d'identification privées avec eux. Toutefois, Emily Schechter (responsable produit de l'équipe de sécurité de Google Chrome) ne l'accepte pas. Voici son exposé au Progressive Web App Summit, où elle démystifie certains mythes concernant le protocole

Passer à HTTPS aujourd'hui n'est pas coûteux. En fait, vous pouvez obtenir des certificats SSL gratuitement. Ce qui pourrait réellement empêcher quiconque de passer à HTTPS, c’est la perte de performances, le classement dans les recherches et l’incompatibilité avec les contenus tiers. Cependant, comme l'explique Emily Schechter dans la vidéo ci-dessus, vous retrouverez très vite le classement de votre recherche et quelques optimisations aideront votre site à retrouver des performances normales.

De plus, certaines fonctionnalités fournies par Google Chrome et d'autres navigateurs aux sites Web tels que les notifications Push et le balisage de géolocalisation nécessitent une connexion HTTPS par défaut. Les développeurs n’auront pas accès à ces fonctionnalités sans HTTPS. À l'avenir, d'autres fonctionnalités seront sécurisées derrière son mur.

Ça va être un Web plus sécurisé

Il est certain que dans quelques années, HTTPS deviendra omniprésent et constituera un minimum de sécurité pour tous les sites Web. Pour les utilisateurs, c'est un yay! Mais si vous êtes propriétaire d'un site, allez-vous passer à HTTPS? Quelles sont vos réflexions à ce sujet? Faites-nous savoir dans les commentaires ou envoyez des tweets sur @guidintech.

LISEZ AUSSI: Vos applications peuvent vous espionner et voici ce que vous pouvez faire pour l'empêcher