Qu’est-ce que HTTPS ?
HTTPS (HyperText Transfer Protocol Secure) est une version sécurisée de HTTP, la méthode standardisée par laquelle les navigateurs Web et serveurs Web communiquent entre eux via un réseau. HTTPS protège généralement les données en transit entre un serveur (où un site ou une application « réside ») et le client (le téléphone ou l’ordinateur) que vous utilisez pour naviguer. Certains navigateurs mettent désormais automatiquement à niveau les sites vers HTTPS ou vous avertissent si HTTPS n’est pas disponible; les sites où HTTPS n’est pas disponible doivent être visités avec prudence.
Comment puis-je savoir si j’utilise HTTPS ?
Regardez dans la barre d’adresse de votre navigateur. Si l’URL dans la barre d’adresse commence par « https:// », cela signifie que vous utilisez HTTPS.
Les navigateurs essaient d’utiliser HTTPS si un site le prend en charge, ce qui est le cas de la plupart. En fait, de nombreux sites utilisent désormais exclusivement HTTPS. Les moteurs de recherche classeront les sites qui ne prennent pas en charge HTTPS plus bas que ceux qui le font. La tendance générale sur le Web est d’utiliser HTTPS universellement.
Comment HTTPS protège-t-il ma confidentialité ?
HTTPS a deux fonctions principales :
- Tout d’abord, HTTPS chiffre le contenu de votre navigation web afin que seuls vous et le serveur web (l’ordinateur spécialisé où « réside » un site) puissiez le lire. Cela empêche quiconque espionnant votre trafic, comme le propriétaire du réseau Wi-Fi auquel vous êtes connecté, de voir le contenu de votre navigation Web. Ils sauraient toujours sur quels sites vous naviguez, mais pas ce que vous y faites. Par exemple, ils pourraient voir que vous utilisez Facebook, mais ne pourraient pas voir ce que vous y postez ou quels profils vous consultez.
- Deuxièmement, HTTPS vérifie que le contenu de la page Web que vous consultez provient bien du serveur Web indiqué par l’adresse dans la barre d’adresse de votre navigateur (et non de quelqu’un interceptant votre trafic et insérant son propre contenu). Chaque fois que vous visitez une page, le serveur Web présente une preuve cryptographique de son identité appelée « certificat », et votre navigateur vérifie cette preuve.
En revanche, lorsque vous visitez un site non-HTTPS (autrement dit, un site HTTP), les deux protections ci-dessus sont absentes. Il est préférable d’éviter de saisir toute information personnelle sur les sites non-HTTPS et, de manière générale, d’essayer d’éviter les sites HTTP autant que possible.
Puis-je toujours être suivi sur les sites HTTPS ?
HTTPS ne résout pas tous les problèmes de confidentialité sur le Web. Même si vous visitez un site via HTTPS, celui-ci peut vous suivre. Les propriétaires du site peuvent mal gérer vos données personnelles, par exemple en les stockant de manière non sécurisée ou même en les vendant à d’autres entreprises. HTTPS ne peut pas empêcher cela.
De plus, les certificats ne protègent pas contre les sites de hameçonnage avec des adresses très similaires, mais légèrement différentes, des adresses de sites populaires. Ces adresses « squat » se basent sur une faute de frappe courante, telle que « googel.com » au lieu de « google.com » (bien que dans ce cas, Google possède les deux adresses). Un site de hameçonnage basé sur une faute de frappe peut avoir un certificat valide, mais le certificat ne prouve pas que vous visitez réellement le « vrai » site que vous aviez l’intention de visiter.
Qu’est-ce que SSL et TLS ?
SSL (Secure Sockets Layer) et TLS (Transport Layer Security) sont des méthodes standardisées pour que les navigateurs web et les serveurs web réalisent le chiffrement et la vérification d’identité lors de l’utilisation de HTTPS. Le SSL est plus ancien et a été remplacé par le TLS.
Que signifient les avertissements de certificat ?
Votre navigateur peut parfois afficher des avertissements concernant des certificats invalides. Selon l’avertissement spécifique, cela pourrait signifier que les administrateurs du site ont mal configuré quelque chose, ou que votre connexion est interceptée.
- Si un certificat est expiré, c’est probablement une erreur de la part du site web.
- Si l’adresse sur un certificat ne correspond pas à l’adresse dans la barre d’adresse du navigateur, cela pourrait encore être une erreur, mais il est beaucoup plus probable que cela indique une interception de la connexion.
Quel que soit l’avertissement, il est important de considérer la source. Si vous voyez un avertissement de certificat lorsque vous allez sur Google, il est presque certain que votre connexion est interceptée; une entreprise technologique sophistiquée comme Google ne malconfigurerait pas ses certificats. Si vous voyez un avertissement lorsque vous allez sur le site de votre restaurant local, c’est probablement juste une erreur.
Les navigateurs vous donneront l’option de continuer après avoir vu un avertissement de certificat, mais il est plus prudent de ne pas le faire. Même si vous évitez de télécharger des fichiers ou d’entrer des informations personnelles (comme un nom d’utilisateur ou un mot de passe), le site peut toujours être dangereux.