C’est quoi la différence http https ?
Vous l’avez forcément vu lorsque vous surfez, les adresses des sites commencent par http ou https.
Connaissez-vous exactement la différence entre http et https ?
Essayons de répondre aux questions :
C’est quoi la différence entre http et https ?
Différence http https ?
Pourquoi utiliser https plutôt que http ?
Les risques avec http ou https ?
Le défaut d’http
Le protocole https a été créé pour pallier aux défauts de l’http. Je vous rappelle que le protocole http est un protocole :
- qui permet de recevoir des informations des serveurs web (serveurs http)
- qui permet d’envoyer des informations vers les serveurs web,
- et surtout que tous ces échanges se sont font sans aucun cryptage.
La plupart du temps,l’utilisateur se contente de recevoir des données qui sont visibles par tout le monde et qui ne sont pas confidentielles. Comme par exemple, les pages du site: https://culture-informatique.net.
Par contre, cela devient plus gênant si l’utilisateur se connecte par exemple à sa banque. Ses informations de connexion sont des données confidentielles et il ne faut donc pas qu’elles tombent dans de mauvaises mains. Sans cryptage, il est facile pour quelqu’un de mal intentionné de récupérer des informations confidentielles.
Voici comment on pourrait résumer tout cela, si la connexion en http, c’est à dire en clair :
Explication de ce schéma:
- L’internaute se connecte à sa banque. Sur la page de connexion, il saisit son n° de compte et son mot de passe.
- Si la connexion se fait en http, alors tous les échanges entre son ordinateur et sa banque se font en texte, non crypté et donc lisible par n’importe quelle personne qui espionne le réseau. (comme un pirate par exemple).
Sur la page : https://culture-informatique.net/vue-wireshark-http-get/, vous trouverez un exemple des données que l’on peut récupérer lorsque l’on sniffe* le réseau. (vous y trouverez aussi la définition de sniffer le réseau).
Pour information : Sur ce schéma, on voit que le hacker est connecté à la box de l’utilisateur. Cela est tout à fait possible si par exemple, le code wifi de la box n’est pas assez sécurisé. Il existe également des outils qui permettent de se connecter à un réseau Wifi.
Le protocole https
Pour pallier à ce problème de sécurité, il a fallu trouver une parade : c’est le https !
Le protocole https est composé de 2 protocoles :
- le protocole http
- le protocole ssl : c’est lui qui donne le S au protocole httpS (S pour Secure)
Pour plus d’informations sur le protocole http, consultez l’article : C’est quoi un serveur HTTP ou serveur Web ?
Intéressons-nous plutôt au protocole SSL.
Le chiffrement en SSL
SSL (Secure Socket Layer) comme son nom l’indique est une couche (layer) supplémentaire sécurisée. Ce protocole va créer une sorte de canal sécurisé entre le client et le serveur. (on pourrait comparer cela au VPN, sauf que le VPN créé un canal mais pour l’ensemble de l’ordinateur, d’ailleurs les VPN s’appuient sur SSL/TLS).
Alors comment cela se passe-t-il ?
Grace un échange de clés entre eux, le serveur et le client vont établir une connexion chiffrée dont eux seuls pourront lire le contenu. Car seul le client et le serveur en possession de la clé de décryptage pourront déchiffrer les données reçues.
Voici le schéma simplifié :
Réponse à une question qui doit vous torturer l’esprit :
La question : Si un pirate est en train d’observer le réseau pendant les échanges de clés qui permettent le cryptage, il doit donc avoir accès aux clés et donc aux données cryptées ?
La réponse : Et bien non, car cela se passe en plusieurs temps pour établir le canal. Dans un premier temps, le serveur envoie une clé publique qui permet au client de crypter les échanges. Le client va donc crypter sa clé avec la clé publique du serveur et envoyer le résultat au serveur. Seul le serveur pourra décrypter la clé du client avec sa clé privée (que lui seul a en sa possession). Les échanges de données cryptées peuvent alors commencer.
Pour que cela soit bien clair, je ferai article expliquant en détail le principe du fonctionnement du SSL / TLS (TLS étant la nouvelle appellation du SSL). Et enfin pour votre information, mais je développerai plus tard, le SSL/TLS est utilisé aussi pour crypter et sécuriser d’autres protocoles tels que POP/IMAP, SMTP, FTP qui deviendra alors FTPS, …
Vue des données en https
Enfin pour les plus curieux (ou ceux qui ne croient pas tout ce que je raconte 🙂 ), vous pouvez voir ici les données vues à l’aide du logiciel Wireshark :
- Vue des données en https
- Et pour rappel : Vue des données en http (non cryptées)
Informations complémentaires
Enfin quelques infos « techniques » :
- https : veut Hyper Text Transfer Procole Secure (Vous l’avez maintenant compris, c’est la version sécurisée du http)
- Le port https par défaut est le 443 alors que c’est le 80 pour le http. Si vous ne vous souvenez plus de ce qu’est un port, regardez : C’est quoi service, port, protocole ?
- Quand on parle de sécurité, il faut comprendre que cela évolue. Lors de la phase d’échange de clés (au début de la connexion), le serveur et le navigateur vont se mettre d’accord sur quel niveau de cryptage ils vont utiliser. Ils vont essayer de prendre le plus élevé des niveaux de cryptages. Mais nous en reparlerons lorsque nous verrons le SSL/TLS.
Http https : Comment s’y retrouver ?
Vous avez maintenant compris que pour pouvoir surfer en toute sécurité, il faut au moins utiliser des sites en https. Les informations que vous envoyez ne peuvent (en théorie) pas être déchiffrées par quelqu’un d’autre que le serveur sur lequel vous êtes connecté, car lui seul possède la clé pour décrypter les données.
Il faut toutefois se méfier car le https ne suffit pas, il faut aussi avoir confiance dans le site sur lequel on se connecte. Regardez plutôt :
Vue des navigateurs en https
Les navigateurs affichent des informations lorsque vous vous connectez en https. Il s’agit en général d’un cadenas pour vous informer que la connexion est sécurisée.
Ce cadenas est fermé lorsque tout est ok. Il est ouvert ou rayé lorsqu’il y a un problème avec le site.
Voici un exemple avec Firefox : (tout est OK)
On voit bien au-dessus, le cadenas fermé sur le site https://www.google.fr
Il est important que le cadenas soit fermé.
Si ce cadenas n’est pas fermé ou avec une croix, la sécurité n’est pas assurée, et pourtant la connexion est bien en https, alors pourquoi ? Regardez ci-dessous la copie d’écran avec Google Chrome : nous sommes en https, mais la connexion n’est pas sécurisée (le cadenas est avec une croix) : Pourquoi ?
Si le cadenas n’est pas fermé ou couvert d’une croix, le site n’est peut-être pas celui sur lequel vous vouliez vous connecter, alors … méfiance ! Ne mettez pas votre confiance n’importe où !
Les sites de confiance
En résume, le protocole https ne suffit pas à lui seul à assurer la sécurité de la connexion.
Comme nous venons de le voir juste au dessus, ce n’est pas parce que vous êtes connecté sur un site en https que vous êtes complètement à l’abri des pirates : c’est ce que je vous propose de voir dans cet article :
C’est quoi un certificat numérique ?
Nous aborderons la notion de certificat et des sites de confiance.
Liste des articles consacrés aux protocoles HTTP / HTTPS
- C’est quoi un serveur http ou serveur web ?
- C’est quoi un serveur http ou serveur web ? – Partie 2
- C’est quoi un serveur http ou serveur web ? – Partie 3
- C’est quoi la différence entre http et https ?
Et enfin, un article qui n’est pas directement lié au http ou https, mais qui concerne la sécurité des sites en https : C’est quoi un certificat numérique ?
Bonjour admin, svp j’aimerais bien comprendre cette partie lorsque vous dîtes: « La conséquence est évidente, les sites légaux vont voir leur nombre réel diminuer (à cause de ces complications sécuritaires obligatoires, ou en devenir), et les sites ‘autres’, vont eux se dissimuler encore plus, et induire des comportements plus criminels encore (en opposition aux mesures de ‘sécurisation des connexions’). »
Je veux savoir comment et pourquoi les sites légaux vont voir leur nombre diminuer?
Bonjour Jack,
non ce n’est pas moi qui ait écrit que les sites légaux vont diminuer car je ne pense pas que ce sera le cas.
A bientôt
Bonjour,
l’article est très clair et intéressant,
je voudrais avoir une précision: est-ce que une connexion sécurisée avec certificat sur un serveur d’entreprise et sur le réseau de l’entreprise (hors web) effectue un chiffrement des données et aussi du mot de passe de la connexion, ou bien seulement des données une fois que la connexion est établie ?
est-ce que cela dépend du niveau (Domaine, étendu) ?
Merci,
Bonjour Luke,
non les données sont chiffrées sur le réseau (même en interne)
A bientôt
merci beaucoup cet article m’a permis de comprendre la différence entre http et https
Sincèrement cet article vient de me donner une compréhension claire dans le domaine de la sécurité
sur le net.
René
Bonjour,
Merci pour votre article très intéressant. Je voudrais savoir si vous pensez que le fait d’être en ssl ou non ssl peut avoir un impact sur le référencement car il semblerait que cela puisse devenir le cas prochainement. C’est à dire que Google risque de mieux positionner un site équivalent dans le contenu de l’information (par rapport à un autre) uniquement car il est plus sécurisé.
Merci d’avance.
Bonjour Greg,
oui, tu as raison : Google a annoncé il y a quelques temps déjà qu’il référencerait mieux les sites en https. Mais c’est un peu de boulot quand même de passer un site en https ! (il faut revoir pas mal de lien)
A bientôt
Oui en théorie le HTTPS (ou utilisation systématique de certificat de sécurité pour ‘authentifier’ la provenance) est plus sûr, sauf que …
1/-> il faut que chaque page en lien direct avec la première soit aussi certifiée (quelques lignes de code a ajouter à chacune d’entre elles), et donc que l’on soit sûr de son contenu
2/-> il faut faire ‘certifier’ son site web, et donc payer un complément pour obtention d’un certificat SSL, obligatoire pour une connexion sécurisée, ce qui peut induire un surcoût non négligeable
3/-> qui certifie et délivre les certificats SSL ? Certainement pas votre voisin, mais une entreprise, ou une agence d’état, bref une sorte de filiale administrative liée à l’AFNIC (qui gère les noms de domaines internet en France), qui est elle même dépendante de l’ICANN, qui est sous régulation de l’OMPI (Organisme Mondial de la Propriété Intellectuelle). Ce qui empile couche sur couche légale et administrative sur les règlements et obligations à suivre
4/-> on passe d’un problème ouvert de navigation sécurisée sur internet, à un dédale administratif contraignant lié à la gestion de la propriété intellectuelle, et hélas bien plus concerné sur la rémunération des détenteurs des droits légaux (pas forcéments légitimes d’ailleurs) du contenu mis à disposition sur internet.
La conclusion est hélas problématique, car si cela peut sembler utile, la certification de sécurité, celà permet aussi un réel contrôle plus fort sur le contenu des sites web, et des centres de données, par obligation de l’ajout d’un protocole de connexion, qui impose de faire appel à ce que l’on peut appeler ‘des flics du net’. A ceci près que là ce n’est plus un choix, cela devient une obligation, que le site soit ou non référencé n’y change rien.
La conséquence est évidente, les sites légaux vont voir leur nombre réel diminuer (à cause de ces complications sécuritaires obligatoires, ou en devenir), et les sites ‘autres’, vont eux se dissimuler encore plus, et induire des comportements plus criminels encore (en opposition aux mesures de ‘sécurisation des connexions’).
Bref, ce que Google veut, n’est pas réellement un web plus sûr, mais simplement un contrôle plus important encore sur le contenu et disposer avec cette certification de moyens plus grands encore d’aller censurer le contenu des sites que cette compagnie jugerait ‘non sûr’. Quand on connait les liens public/privé de cette compagnie, et de ses semblables, on peut douter de la réelle utilité d’une telle généralisation, qui va se traduire d’ici peut par des mesures législatives globales adaptées.
Bonne chance à vous, mais quand le bateau coule, écoper ne sert à rien, il faut sauter à l’eau et nager, le bateau c’était l’internet ouvert et libre, SSL c’est la torpille tirée pour y mettre fin.
Encore un très bel article simple et précis
bonjour et merci beaucoup pour cet article , nous attendons impatiemment le prochain article