Qu'est-ce que le HTTPS ?

HTTPS est un moyen sécurisé d'envoyer des données entre un serveur web et un navigateur web.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir HTTPS
  • Découvrez comment HTTPS fonctionne
  • Comprendre l'importance du HTTPS
  • Apprenez à obtenir HTTPS sur un site web

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Qu'est-ce que le HTTPS ?

Le protocole de transfert hypertexte sécurisé (HTTPS) est la version sécurisée du protocole HTTP, principal protocole utilisé pour l’envoi de données entre un navigateur Web et un site Web. HTTPS est chiffré afin de renforcer la sécurité du transfert de données. Ceci est particulièrement important lorsque les utilisateurs transmettent des données sensibles, par exemple en se connectant à un compte bancaire, à un service de courrier électronique ou à un prestataire d’assurance maladie.

Tous les sites web, en particulier ceux qui nécessitent des informations d'identification pour la connexion, doivent utiliser HTTPS. Sur les navigateurs web modernes comme Chrome, les sites web qui n’utilisent pas HTTPS sont marqués différemment de ceux qui l’utilisent. Vérifiez la présence d'un cadenas dans la barre d’URL indiquant que la page web est sécurisée. Les navigateurs web prennent HTTPS au sérieux ; Google Chrome et d’autres navigateurs signalent les sites web non HTTPS comme non sécurisés.

Exemple de sécurité de Google Chrome

Comment fonctionne HTTPS ?

HTTPS utilise un protocole de chiffrement pour chiffrer les communications. Le protocole appelé Transport Layer Security (TLS) était auparavant connu sous le nom de Secure Sockets Layer (SSL). Ce protocole sécurise les communications en utilisant ce que l'on appelle une infrastructure à clé publique asymétrique. Ce type de système de sécurité utilise deux clés différentes pour chiffer les communications entre deux parties :

  1. La clé privée - cette clé est contrôlée par le propriétaire d'un site web et maintenue privée, comme le lecteur l'a peut-être spéculé. Cette clé réside sur un serveur web. Elle est utilisée pour déchiffrer les informations chiffrées par la clé publique.
  2. La clé publique - cette clé est disponible pour tous ceux qui souhaitent interagir avec le serveur de manière sécurisée. Les informations chiffrées par la clé publique ne peuvent être déchiffrées que par la clé privée.
e-book
5 façons d'optimiser la sécurité et les performances
e-book
La solution Everywhere Security vous protège à chaque phase du cycle de vie d'une attaque

Pourquoi le HTTPS est-il important ? Que se passe-t-il si un site web ne dispose pas de HTTPS ?

Le protocole HTTPS empêche les sites web de diffuser leurs informations d'une manière facilement visible par une personne malveillante espionnant le réseau. Lorsque des informations sont envoyées en HTTP, elles sont divisées en paquets de données qui peuvent être facilement « reniflés » à l'aide d'un logiciel gratuit. Dans ce cas la communication sur le support n'est pas sécurisée, tel que le Wi-Fi public, très vulnérable à l'interception. En fait, toutes les communications qui ont lieu en HTTP se font en texte brut, ce qui les rend hautement accessibles à toute personne disposant des outils appropriés et vulnérables à des attaques de l'homme du milieu.

Avec HTTPS, le trafic est chiffré de telle sorte que même si les paquets sont reniflés ou interceptés d'une autre manière, ils apparaîtront comme des caractères absurdes. Examinons un exemple :

Avant le chiffrement :

Il s'agit d'une chaîne de texte parfaitement lisible

Après le chiffrement :

ITM0IRyiEhVpa6VnKyExMiEgNveroyWBPlgGyfkflYjDaaFf/Kn3bo3OfghBPDWo6AfSHlNtL8N7ITEwIXc1gU5X73xMsJormzzXlwOyrCs+9XCPk63Y+z0=

Dans les sites web sans HTTPS, il est possible pour les fournisseurs de services Internet (FAI) ou d'autres intermédiaires d'injecter du contenu dans des pages web sans l'approbation du propriétaire du site. Ce contenu a souvent la forme de publicité, lorsqu'un FAI cherchant à augmenter ses revenus injecte de la publicité payante dans les pages web de ses clients. Sans surprise, lorsque cela se produit, les bénéfices issus des annonces publicitaires et le contrôle qualité de ces annonces ne sont en aucun cas partagés avec le propriétaire du site. HTTPS élimine la capacité des tiers non modérés à injecter de la publicité dans du contenu Wwxeb.

Injection de contenu tiers

Image de Ars Technica

Pour une liste complète des avantages offerts par HTTPS, voir Pourquoi utiliser HTTPS ?

S'inscrire
SSL inclus gratuitement avec toutes les offres Cloudflare

Quel port le protocole HTTPS utilise-t-il ?

HTTPS utilise le port 443. Cela différencie HTTPS de HTTP, qui utilise le port 80.

(Dans le domaine des réseaux, un port est un point virtuel de nature logicielle qui marque le début ou la fin d'une connexion. Tous les ordinateurs connectés au réseau exposent un certain nombre de ports par lequel ils reçoivent du trafic. Chaque port est associé à un processus ou à un service spécifique, et différents protocoles utilisent les différents ports).

En quoi d'autre HTTPS est-il différent de HTTP ?

Techniquement parlant, HTTPS n'est pas un protocole distinct de HTTP. Il utilise simplement le chiffrement TLS/SSL sur le protocole HTTP. HTTPS repose sur la transmission de certificats TLS/SSL, qui vérifient qu'un fournisseur particulier est bien celui qu'il prétend être.

Lorsqu'un utilisateur se connecte à une page web, la page web envoie son certificat SSL qui contient la clé publique nécessaire pour démarrer la session sécurisée. Les deux ordinateurs, le client et le serveur, passent ensuite par un processus appelé handshake SSL/TLS, qui est une série de communications aller-retour utilisées pour établir une connexion sécurisée. Pour approfondir le chiffrement et le handshake SSL/TLS lisez ce qui se passe dans un handshake TLS.

Comment un site web commence-t-il à utiliser HTTPS ?

De nombreux hébergeurs de sites web et d'autres services proposent des certificats TLS/SSL contre rémunération. Ces certificats seront souvent partagés entre de nombreux clients. Des certificats plus chers sont disponibles et peuvent être enregistrés individuellement sur des propriétés web particulières.

Tous les sites web utilisant Cloudflare reçoivent HTTPS gratuitement en utilisant un certificat partagé (le terme technique exact est un certificat SSL multi-domaine). La création d'un compte gratuit garantira à une propriété web une protection HTTPS constamment mise à jour. Vous pouvez également explorer nos offres payantes pour des certificats individuels et d'autres fonctionnalités. Dans les deux cas, une propriété web bénéficie de tous les avantages liés à l'utilisation de HTTPS.