Que signifie le message « Votre connexion n'est pas privée »?

Si le certificat SSL d'un site web n'est pas valide ou n'est pas disponible, un message d'erreur peut être présenté aux utilisateurs lorsqu'ils tentent de le charger.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Comprendre ce que signifie le message d'erreur « Votre connexion n'est pas privée/sécurisée » dans un navigateur
  • Comprendre comment les problèmes liés à un certificat SSL peuvent provoquer ces erreurs
  • Comprendre comment corriger ces erreurs

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel par Cloudflare des informations les plus populaires sur Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Renforcez la sécurité et la confiance avec l'offre SSL/TLS gratuite de Cloudflare

Que signifie l'erreur « Votre connexion n'est pas privée » ?

Il peut arriver que l'accès à un site web soit bloqué par l'affichage d'un message « Votre connexion n'est pas privée ». Cette erreur signifie que la connexion entre le client (l'appareil de l'utilisateur, comme un ordinateur portable ou une tablette) et le serveur (l'hôte du site web) n'est pas chiffrée, alors que l'appareil client s'attendait à ce que ce soit le cas.

Connexion non privée

Par conséquent, des acteurs malveillants pourront voir ce que l'utilisateur fait sur le site web : les messages entre le client et le serveur sont envoyés en clair, au lieu d'être brouillés au moyen du chiffrement. Par ailleurs, le client n'est pas en mesure de vérifier qu'il est connecté au bon serveur.

C'est pourquoi le navigateur affiche le message « Votre connexion n'est pas privée » ou « Votre connexion n'est pas sécurisée » : il n'est pas en mesure de valider le serveur web et ne peut pas chiffrer les messages pour empêcher des acteurs malveillants de les lire.

Cette erreur est causée par un problème lié au certificat SSL du site web : il peut être manquant, il peut avoir expiré, il peut ne pas avoir été émis par une autorité de certification légitime ou le client ne peut pas y accéder pour une autre raison. Les certificats SSL sont nécessaires pour afficher les sites web par l'intermédiaire de connexions HTTPS sécurisées.

Un certificat SSL invalide ou manquant équivaut presque, en termes cryptographiques, à une situation dans laquelle le caissier d'une supérette demande à un jeune client de présenter sa carte d'identité afin de prouver qu'il a l'âge légal pour acheter de l'alcool et, au lieu de présenter une carte d'identité délivrée par le gouvernement, le client présente un morceau de papier sur lequel quelqu'un a écrit : « Cet homme s'appelle Jean, et il a 22 ans. ». Cette identification n'est évidemment pas légitime : en réalité, le client n'a peut-être pas 18 ans et peut ne même pas s'appeler Jean. Le caissier a donc raison de réagir avec suspicion et de mettre fin à la transaction.

Comme Jean, un site web sans certificat SSL ne peut pas prouver son identité. Par ailleurs, un site web sans certificat SSL ne peut pas chiffrer les communications : imaginez que l'absence de carte d'identité de Jean signifiait, en plus, que n'importe quelle personne dans le monde pouvait soudainement entendre la conversation entre Jean et le caissier.

  • Dans Google Chrome, le message d'erreur est le suivant : « Votre connexion n'est pas privée » suivi de « Des attaquants pourraient tenter de voler vos informations sur [site web] »
  • Dans Mozilla Firefox, le message est : « Votre connexion n'est pas sécurisée »
  • Dans Microsoft Edge, le message est également « Votre connexion n'est pas sécurisée »

Souvent, les utilisateurs peuvent continuer à accéder à la page malgré ce message, bien que cela ne soit pas recommandé. Sans HTTPS, une multitude de cyberattaques peuvent être lancées.

Qu'est-ce qu'un certificat SSL ? Qu'est-ce que le protocole HTTPS ?

Un certificat SSL permet de valider la propriété d'un site web et d'établir une connexion sécurisée et chiffrée. Il s'agit d'un fichier texte installé sur un serveur web, contenant des informations telles que :

  • La date d'expiration du certificat
  • Le nom de domaine pour lequel le certificat a été délivré
  • La personne, l'organisation ou l'appareil qui possède le domaine
  • L'autorité de certification qui a délivré le certificat
  • La clé publique

Un certificat SSL est nécessaire pour chiffrer les communications vers et depuis un site web avec le chiffrement SSL ou TLS. L'utilisation du chiffrement avec le protocole HTTP est appelée HTTPS.

Lorsque les données sont chiffrées avec le protocole TLS/SSL, si une personne intercepte les données échangées entre le client et le serveur, tout ce qu'elle verra est une suite de caractères aléatoires, sans signification. Si les données ne sont pas chiffrées, n'importe qui peut intercepter les données et les lire sans difficulté. Le chiffrement est comparable à une enveloppe qui protège le contenu d'une lettre personnelle pendant son acheminement par les services postaux.

Qu'est-ce qui provoque cette erreur SSL ?

Un certain nombre de problèmes liés au certificat SSL peuvent provoquer l'affichage du message d'erreur « Votre connexion n'est pas privée » :

Le certificat SSL du site web n'est pas valide ou est manquant. Cela peut être le cas pour plusieurs raisons. Le certificat SSL présenté peut notamment indiquer un site web incorrect, le certificat SSL peut avoir expiré ou peut être absent, alors qu'un certificat devrait être présent (par exemple, si un utilisateur saisit https://www.example.com dans un navigateur, mais example.com n'utilise pas HTTPS).

Le certificat SSL ne répertorie pas les variations du nom de domaine. Par exemple, le certificat SSL peut indiquer www.example.com, mais pas example.com (sans « www »). Cela se produit lorsque la section Subject Alternative Name (SAN) d'un certificat SSL n'est pas correctement renseignée. Dans ce cas, le site web dispose d'un certificat SSL fonctionnel, mais l'URL saisie par l'utilisateur ne correspond pas aux informations indiquées dans le certificat. Le navigateur considère donc le certificat comme non valide.

Le serveur web a présenté un certificat SSL correspondant à un site web incorrect. Cela peut se produire lorsque plusieurs sites sont hébergés à une même adresse IP. Si chacun de ces sites web dispose de son propre certificat SSL, le serveur peut ne pas savoir quel certificat SSL présenter lorsqu'un appareil client essaie d'établir une connexion sécurisée à l'un des sites web. Cette situation peut être comparée au fait d'envoyer un colis par la poste à un immeuble comportant plusieurs appartements sans indiquer le numéro de l'appartement dans l'adresse. Une extension du protocole TLS appelée SNI permet d'éviter cette erreur.

Cette erreur peut également être due à d'autres causes :

  • Le certificat est auto-signé, ce qui signifie qu'il a été généré par l'opérateur du site web, plutôt que par une autorité de certification tierce
  • Le navigateur ne reconnaît pas l'autorité de certification qui a émis le certificat
  • Symantec a émis le certificat SSL (tous les certificats SSL émis par Symantec ne sont pas reconnus comme des certificats de confiance par les principaux navigateurs)
  • Le certificat SSL peut comporter des fonctionnalités non prises en charge (comme l'utilisation du hachage SHA-1 au lieu de SHA-256)
  • L'horloge de l'appareil client est inexacte et, par conséquent, ne peut pas confirmer si le certificat SSL a expiré ou non

Comment remédier aux erreurs « Votre connexion n'est pas privée » ?

Pour les utilisateurs

  1. Actualiser la page : les connexions réseau impliquent de nombreux échanges entre le client et le serveur, qui sont en général transparentes pour l'utilisateur. Un certain nombre de ces communications peuvent ne pas fonctionner correctement. Par conséquent, un certain nombre d'erreurs peuvent être résolues en réessayant et en actualisant la page.
  2. Vider le cache du navigateur : un navigateur stocke un certain nombre d'informations et de contenus des sites web précédemment consultés par les utilisateurs dans un emplacement de stockage temporaire appelé cache. Vider le cache du navigateur, puis réessayer de charger la page peut avoir un effet similaire à l'actualisation de la page : le site web est inconnu, du point de vue du navigateur, et ce dernier peut à nouveau essayer d'établir les connexions appropriées. Les utilisateurs peuvent également ouvrir la page en mode Navigation privée (Chrome), en mode Privé (Firefox et Safari) ou en mode InPrivate (Edge). Dans ces modes, le navigateur n'accède pas au cache.
  3. Réinitialiser l'horloge : l'utilisateur peut également tenter de réinitialiser l'horloge de son ordinateur, qui peut être inexacte et entraîner le refus d'un certificat SSL valide comme expiré ou invalide.
  4. Ajouter « www » : pour éviter les erreurs SAN, les utilisateurs peuvent essayer de saisir le nom de domaine précédé du préfixe « www » (ou de tout autre préfixe du domaine).
  5. Utiliser un autre navigateur ou mettre à jour le navigateur : les anciennes versions des navigateurs peuvent ne pas prendre en charge les fonctionnalités nécessaires au chiffrement TLS (SNI, par exemple). Assurez-vous toujours d'utiliser les dernières versions des navigateurs.

Pour les propriétaires de sites web

  1. Obtenir un nouveau certificat SSL : si le certificat a expiré, est obsolète ou auto-signé, un site web doit obtenir un nouveau certificat auprès d'une autorité de certification. (Cloudflare propose des certificats SSL gratuits, ainsi que des certificats personnalisés pour les clients entreprises).
  2. Vérifier que le SAN est renseigné et que les sous-domaines sont inclus : si le certificat SSL est par ailleurs valide, assurez-vous que toutes les variantes légitimes du domaine sont indiquées. Par ailleurs, les sous-domaines (blog.example.com, en plus de www.example.com) doivent être indiqués.
  3. Si un site web n'utilise pas le protocole HTTPS, assurez-vous que tous les liens entrants sont uniquement en HTTP : si un utilisateur essaie par inadvertance de charger une URL via HTTPS, alors que le site web utilise uniquement HTTP, cette erreur peut lui être présentée, car le navigateur aura tenté d'obtenir le certificat SSL du site web alors qu'il n'existe pas. En plus de corriger les liens de retour, c'est-à-dire les liens entrants, un site web doit configurer des redirections vers HTTP, au cas où un visiteur essaierait d'y accéder via HTTPS. Par ailleurs, il est fortement recommandé à ces sites web d'obtenir des certificats SSL.

Que signifie le message « Votre connexion à ce site n'est pas sécurisée » ?

Dans Chrome, ce message apparaît lorsque vous cliquez sur l'indication « Non sécurisé » dans la barre de navigateur lorsque vous êtes sur un site HTTP. Cela signifie que le site web ne dispose pas d'un certificat SSL et n'utilise pas le protocole SSL/TLS pour chiffrer le trafic vers et depuis le site. Les navigateurs ne bloquent généralement pas les sites web qui n'utilisent pas HTTPS, mais il est recommandé aux utilisateurs de ne pas saisir, sur les sites web qui n'utilisent pas HTTPS, des données personnelles, telles que des identifiants de connexion, des données de carte de crédit ou des numéros d'identification délivrés par le gouvernement.

Comment Cloudflare aide-t-il à éviter ce type d'erreurs ?

Cloudflare propose un chiffrement SSL/TLS gratuit pour tous les sites web. Les sites web utilisant le chiffrement TLS de Cloudflare ne devraient pas présenter la plupart de ces erreurs, bien que des appareils client incorrectement configurés puissent ponctuellement entraîner leur affichage. En savoir plus sur les certificats SSL gratuits de Cloudflare.

Cloudflare offre un chiffrement SSL/TLS gratuit pour tout site web. La plupart de ces erreurs ne sont pas censées se produire avec les sites web qui ont recours au chiffrement Cloudflare TLS, cependant, elles restent toujours possibles de temps à autre avec des appareils clients mal configurés. En savoir plus sur les certificats SSL gratuits de Cloudflare.