HTTPS

Le domaine de la sécurité informatique fait souvent les titres pour de mauvaises raisons. Des malwares qui paralysent le web aux logiciels de rançon qui empêchent le fonctionnement des hôpitaux, nous avons eu de nombreux exemples récemment des conséquences catastrophiques des failles de sécurité. Pourtant, des progrès sont enregistrés sur le front du HTTPS.

Aujourd’hui, les volumes moyens du trafic Internet crypté ont largement dépassé ceux non cryptés, selon Mozilla, la société à l’origine du célèbre navigateur web Firefox. Cela signifie que lorsque vous visitez un site internet, vous êtes maintenant plus susceptible de voir un petit cadenas vert juste à côté de son adresse. Ce petit cadenas indique que le contenu de la page que vous avez visitée a été envoyé par HTTPS, le protocole sécurisé du web, plutôt que via l’ancien HTTP. L’estimation de Mozilla se base sur une moyenne mobile de 2 semaines. Donc le chiffre pourrait continuer de progresser ou de baisser au cours des prochains mois. Il n’empêche, il s’agit d’une excellente nouvelle.

« L’importance de cet inversement ne peut être sous-estimé, » a déclaré Ross Schulman, codirecteur de l’initiative de cybersécurité de la New America Foundation au magazine Wired.

Cela ne vous met pas totalement à l’abri des regards indiscrets. Autrement dit, le HTTPS ne cache pas le fait que vous visitez un site web en particulier. Mais cela signifie que tout le monde, y compris les fournisseurs d’accès à Internet et le gouvernement, aura plus de mal à identifier les informations que vous lisez ou publiez sur le web. Et cela peut contribuer à garantir que lorsque vous visitez un site internet, vous voyez ce que ses auteurs ont voulu afficher. Sans cryptage, il est trop facile pour, par exemple, un gouvernement autoritaire ou un pirate informatique de remplacer les textes de Wikipédia ou d’autres pages web par leur propre contenu. Ou encore de vous inciter à télécharger des logiciels malveillants et virus.

« Des milliards d’utilisateurs ont commencé à utiliser régulièrement un web plus crypté, » a déclaré Josh Aas, cofondateur de Let’s Encrypt. Il s’agit d’une association qui aide des millions de sites à ajouter gratuitement un certificat SSL à leur site. « Les attentes en matière de sécurité continueront d’augmenter et, par conséquent, nous nous attendons à ce que les sites fassent encore plus rapidement la transition vers le HTTPS. »

Google MAJ balise Title

Des sites Internet plus sécurisés grâce au HTTPS

Le cryptage web existe depuis longtemps. Le protocole HTTPS original a été rendu public en 1995. Surnommé Secure Socket Layer, ou SSL en abrégé, il permet aux entreprises de gérer les paiements en ligne par carte de crédit en protégeant vos informations de paiement. Cela contribue aussi à prouver que les commerçants auxquels vous achetez sont légitimes. Mais il a fallu des années pour que le successeur de SSL, Transport Layer Security (TLS), soit largement utilisé en dehors des paiements par carte de crédit.

Pourquoi cette adoption est-elle aussi lente ? En partie parce que pendant trop longtemps, la plupart des propriétaires de sites internet ne percevaient pas l’avantage du cryptage systématique. Mais tandis que le vol de mots de passe non cryptés faisait des dégâts, une utilisation plus large du cryptage est devenue une priorité. De plus, Google a également encouragé cette pratique en offrant un petit avantage SEO aux sites cryptés.

Au fil des ans, de grands sites comme Facebook, Google, Wikipedia, le New York Times et WIRED sont passés au HTTPS. Google a même annoncé fin 2015 que son moteur de recherche privilégierait les sites utilisant le HTTPS par rapport à ceux qui ne le font pas.

La lenteur de cette adoption s’explique aussi par les difficultés de passer au cryptage. Les certificats TLS coûtent de l’argent et nécessitent plus de savoir-faire technique pour être installés. Mais cela change. Let’s Encrypt s’occupe de la partie financière en rendant tous les certificats gratuits, grâce aux dons des entreprises et des associations. Grâce à Let’s Encrypt, des services d’hébergement web comme WordPress.com et Squarespace ont commencé à offrir gratuitement HTTPS à tous leurs utilisateurs, sans exiger beaucoup d’expertise technique. Des sociétés de cloud comme Amazon et CloudFlare ont également lancé des programmes de certificats de cryptage gratuits pour leurs utilisateurs, contribuant au nombre croissant de sites qui adoptent le protocole.

« Après avoir mis 20 ans pour atteindre 40 % de chargements de pages cryptées, il est incroyable que le web soit passé à 50 % en seulement un an en 2017, » a déclaré Aas. La croissance a continué de se poursuivre à un rythme annuel d’environ 8 % depuis. Certains hébergeurs facturent toujours HTTPS, mais Aas soutient que les dangers d’un internet non crypté créent un impératif moral pour rendre cette fonctionnalité gratuite.

Le HTTPS n’est pas la panacée

Cependant, même le HTTPS a ses limites. En 2014, des chercheurs en sécurité ont découvert une vulnérabilité majeure dans le logiciel qui fait fonctionner HTTPS. La faille, connue sous le nom de Heartbleed, a porté un coup dur à la confiance dans le protocole. En 2017, 200.000 serveurs restaient vulnérables à Heartbleed, selon une étude récente de Shodan.

Et il n’y a pas que des problèmes techniques qui hantent HTTPS. Le protocole dépend d’organisations appelées “autorités de certification” comme Let’s Encrypt ou VeriSign. Elles sont les émettrices des certificats qui garantissent l’authenticité d’un site. Si un pirate informatique prenait le contrôle de l’une de ces autorités, il pourrait détourner des certificats ou émettre des certificats eux-mêmes. Ce danger a conduit des experts comme le hacker white hat Moxie Marlinspike de proposer l’idée d’un nouveau système plus décentralisé.

Création de site web avec connexion sécurisée

Chez Welko, nous ne prenons pas la sécurité à la légère. Pour toute création de site web, nous prévoyons l’installation d’un certificat de sécurité pour navigation HTTPS. Vous avez besoin d’un nouveau site, ou de rafraîchir le vôtre ? Contactez-nous, nous sommes spécialisés dans la création de site Internet à Angers et dans le Maine-et-Loire.