SOLUTIONS
Offrir la meilleure expérience possible en ligne
Atténuation des attaques DDoSArrêter les bots malveillantsAccélération des applications webGarantie de disponibilité de l’applicationOptimiser l'expérience webVidéos en streaming à la demande
Secure Employee Applications and Devices
Deliver Zero Trust Access to ApplicationsImplement Secure Access Service Edge (SASE)Protect Users Accessing the InternetProtégez les réseaux d'entreprisesGérez l'accès sécurisé de vos sous-traitantsRemplacez les réseaux privés virtuels (VPN)Protégez vos équipes de télétravailleursStoppez les attaques de type Zero Day avec l'isolation de navigateur
 
Protéger et accélérer les réseaux
Atténuer les attaques DDoS de la couche 3Connecter l'infrastructure réseau avec CloudflareTransformer les réseaux d'entreprise
Code en périphérie du réseau
Développer des applications sans serveurCréer un site web statiqueConfigurer un CDNDéfinir le routage conditionnel des requêtes
Gérer un cloud sécurisé
Sécuriser les plates-formes hybrides, cloud et SaaSActiver les applications SSL for SaaSRéduire les coûts de transfert de données dans le cloud
Enregistrer un site web
Enregistrer ou transférer un site web
INDUSTRIES
E-commerceServices financiersGamingHealthcare and Life SciencesMédias et divertissementSecteur publicSaaS
INTÉRÊT PUBLIC
Campagnes électoralesProjet AthenianProjet GalileoProject Fair Shot
POUR LES INFRASTRUCTURES
Sécurité des applications et des réseaux
Protection DDoSWAFGestion des botsMagic TransitMagic WANRate LimitingSSL/TLSSSL/TLS for SaaS ProvidersCloudflare SpectrumNetwork InterconnectCDNDNSArgo Smart RoutingÉquilibrage de chargeStream DeliveryRéseau chinoisWaiting Room
POUR LES ÉQUIPES
Cloudflare for TeamsAccessGatewayIsolation de navigateur
POUR LES DÉVELOPPEURS
Applications sans serveur
Cloudflare WorkersCloudflare Workers KV
Enregistrement de nom de domaine
Cloudflare Registrar
Développement de sites web
Pages CloudflareCloudflare Stream
SaaS Developers
Cloudflare for SaaS
POUR TOUT LE MONDE
1.1.1.11.1.1.1 avec WARP (application)1.1.1.1 pour les familles
INFORMATIONS APPROFONDIES
Outils d’analyseJournaux CloudflareWeb AnalyticsCloudflare Radar
CONFIDENTIALITÉ
Régionalisation des donnéesConformité
POUR LES INFRASTRUCTURES
Sécurité avancée
Gestion des botsRègles de pare-feuMagic TransitSpectrum (TCP/UDP)SSLWAFCDNDNSRedimensionnement des imagesÉquilibrage de chargeStream (Vidéo)
 
Informations approfondies
Analyse
Enregistrement de nom de domaine
Registrar
POUR LES APPLICATIONS SANS SERVEUR
Démarrage rapide avec WorkersPages CloudflareExemples de projets WorkersTutoriels WorkersLigne de commande (Wrangler)Environnement d'exécution
POUR LES ÉQUIPES
Cloudflare for Teams
DÉCOUVRIR L'API CLOUDFLARE
API CloudflareAuthentification par API
CENTRE DE DOCUMENTATION
Centre de documentation pour les développeurs
RESSOURCES
Centre de ressourcesLivres blancsWebinairesGuides des solutions et produitsÉtudes de casAnalystes
EXPLORER
NouveautésCarte du réseauCloudflare en ChineRGPD
COMMENCER
Enregistrer votre site webCentre d’accueilObtenir de l’aide
APPRENDRE
Centre d’apprentissageSécuritéDDoSGestion des botsSSLGestion de l’identité et des accèsPerformancesCDNDNSCloudSans serveurCouche réseau
CONNECTER
BlogCommunauté
CONFORMITÉ
RGPDRapport de transparenceConformité
CONTACT
+1 650 319 8930
PARTENAIRES INTERMÉDIAIRES ET ALLIANCE
Réseau de partenairesPortail des partenaires
PARTENAIRES TECHNOLOGIQUES
PrésentationPartenaires statistiquesBandwidth AllianceEndpoint Security PartnershipsPartenariats InterconnectNetwork On-ramp PartnershipsPortail de peering
TARIFICATION PAR OFFRE
FreeProBusinessEntreprise
COMPARER ET DÉCOUVRIR
Besoin d'aide pour choisir une offre ?Modules complémentairesComparer toutes les offres

Pourquoi HTTP n'est-il pas sécurisé ? | HTTP contre HTTPS

Les requêtes et réponses HTTP sont envoyées en texte clair, ce qui signifie que tout le monde peut les lire. HTTPS corrige ce problème en utilisant le chiffrement TLS SSL.

Sécurité HTTP Objectifs d’apprentissage

Après avoir lu cet article, vous saurez :

  • Comprendre le fonctionnement de HTTP
  • Découvrez pourquoi HTTP n'est pas sécurisé
  • Expliquez les différences entre HTTP et HTTPS
  • Découvrez comment obtenir un certificat SSL pour HTTPS

Contenu associé

Qu'est-ce que HTTPS ?

Pourquoi utiliser HTTPS ?

négociation SSL

Comment fonctionne le SSL ?

Le SSL, qu’est-ce que c’est ?

Copier le lien de l'article

HTTP vs HTTPS : Quelles sont les différences ?

HTTPS est HTTP avec chiffrement. La seule différence entre les deux protocoles est que HTTPS utilise TLS (SSL) pour chiffrer les requêtes et réponses HTTP normales. Par conséquent, HTTPS est beaucoup plus sécurisé que HTTP. Un site web qui utilise HTTP a http:// dans son URL, tandis qu'un site web qui utilise HTTPS a https:/.

HTTP vs HTTPS

Qu'est-ce que HTTP ?

HTTP signifie Hypertext Transfer Protocol. C'est un protocole (c'est-à-dire un ordre et une syntaxe prescrits pour présenter des informations) utilisé pour transférer des données sur un réseau. La plupart des informations envoyées sur Internet, y compris le contenu du site web et les appels d'API, utilisent le protocole HTTP. Il existe deux principaux types de messages HTTP : les demandes et les réponses.

Dans le modèle OSI (voir Qu'est-ce que le modèle OSI ?), HTTP est un protocole de la couches 7.

Qu'est-ce qu'une requête HTTP ? Qu'est-ce qu'une réponse HTTP ?

Les requêtes HTTP sont générées par le navigateur d'un utilisateur lorsque l'utilisateur interagit avec les propriétés web. Par exemple, si un utilisateur clique sur un lien hypertexte, le navigateur enverra une série de requêtes HTTP GET pour le contenu qui apparaît sur cette page. Si un internaute recherche dans Google « Qu'est-ce que HTTP ? » et que cet article apparaît dans les résultats de la recherche, lorsqu'il clique sur le lien, son navigateur crée et envoie une série de requêtes HTTP afin d'obtenir les informations nécessaires au rendu de la page.

Ces requêtes HTTP vont toutes à un serveur d'origine ou à un serveur de mise en cache proxy qui va générer une réponse HTTP. Les réponses HTTP sont des réponses aux requêtes HTTP.

À quoi ressemble une requête HTTP typique ?

Une requête HTTP n'est qu'une série de lignes de texte qui suivent le protocole HTTP. Une demande GET pourrait ressembler à ceci :


GET /hello.txt HTTP / 1.1
User-Agent: curl / 7.63.0 libcurl / 7.63.0 OpenSSL / 1.1.l zlib / 1.2.11
Hébergeur: www.example.com
Accept-Language: en

Cette section de texte, générée par le navigateur de l'utilisateur, est envoyée via Internet. Le problème est qu'il est envoyé sous cette forme, avec un texte en clair que toute personne surveillant la connexion peut lire (ceux qui ne connaissent pas le protocole HTTP peuvent trouver ce texte difficile à comprendre, mais quiconque ayant des connaissances basiques sur les commandes et la syntaxe du protocole peut le lire facilement).

Cela est particulièrement problématique lorsque les utilisateurs soumettent des données sensibles via un site web ou une application web. Il peut s'agir d'un mot de passe, d'un numéro de carte de crédit ou de toute autre donnée entrée dans un formulaire. En HTTP toutes ces données sont envoyées en clair et n'importe qui peut les lire (lorsqu'un utilisateur soumet un formulaire, le navigateur le traduit en une requête HTTP POST au lieu d'une requête HTTP GET).

Lorsqu'un serveur d'origine reçoit une requête HTTP, il envoie une réponse HTTP, qui est similaire :


HTTP/1.1 200 OK
Date: Wed, 30 Jan 2019 12:14:39 GMT
Serveur: Apache
Last-Modified: Mon, 28 Jan 2019 11:17:01 GMT
Accept-Ranges: bytes
Content-Length: 12
Vary: Accept-Encoding
Content-Type: text/plain

Bonjour le monde !

Si un site web utilise HTTP au lieu de HTTPS, toutes les requêtes et réponses peuvent être lues par une personne quelconque qui surveillerait la session. En fait, un acteur malveillant peut simplement lire le texte de la requête ou de la réponse et savoir exactement quelles informations une personne demande, envoie ou reçoit.

Qu'est-ce que HTTPS ?

Le S de HTTPS signifie « sécurisé ». HTTPS utilise TLS (ou SSL) pour chiffrer les requêtes et réponses HTTP, donc dans l'exemple ci-dessus, au lieu du texte, un attaquant verrait une série de caractères apparemment aléatoires.

Au lieu de :


GET /hello.txt HTTP / 1.1
User-Agent: curl / 7.63.0 libcurl / 7.63.0 OpenSSL / 1.1.l zlib / 1.2.11
Hébergeur: www.example.com
Accept-Language: en

L'attaquant voit quelque chose comme :


t8Fw6T8UV81pQfyhDkhebbz7+oiwldr1j2gHBB3L3RFTRsQCpaSnSBZ78Vme+DpDVJPvZdZUZHpzbbcqmSW1+3xXGsERHg9YDmpYk0VVDiRvw1H5miNieJeJ/FNUjgH0BmVRWII6+T4MnDwmCMZUI/orxP3HGwYCSIvyzS3MpmmSe4iaWKCOHQ==

En HTTPS, comment TLS/SSL chiffre t-il les requêtes et les réponses HTTP ?

TLS utilise une technologie appelée chiffrement à clé publique : il existe deux clés, une clé publique et une clé privée. La clé publique est partagée avec les appareils clients via le certificat SSL du serveur. Lorsqu'un client ouvre une connexion avec un serveur, les deux appareils utilisent la clé publique et privée pour convenir de nouvelles clés, appelées clés de session, pour chiffrer la suite de leurs échanges.

Toutes les requêtes et réponses HTTP sont ensuite chiffrées avec ces clés de session (cette opération a lieu au niveau de la couche 6 du modèle OSI ), de sorte que toute personne qui intercepte des communications ne peut voir qu'une série de caractères aléatoires, pas de texte en clair.

Pour en savoir plus sur le fonctionnement du chiffrement et des clés, voir Qu'est-ce que le chiffrement ?

Comment HTTPS aide-t-il à authentifier les serveurs Web ?

L'authentification signifie la vérification qu'une personne ou une machine est bien celle qu'elle prétend être. En HTTP, il n'y a pas de vérification d'identité : le protocole est basé sur un principe de confiance. Les architectes de HTTP n'ont pas nécessairement décidé de faire implicitement confiance à tous les serveurs web. Simplement des priorités autres que la sécurité existaient à l'époque. Mais sur l'Internet moderne, l'authentification est essentielle.

Tout comme une carte d'identité confirme l'identité de son détenteur, une clé privée confirme l'identité du serveur. Lorsqu'un client ouvre un canal avec un serveur d'origine (par exemple, lorsqu'un utilisateur accède à un site web), la possession de la clé privée qui correspond à la clé publique dans le certificat SSL d'un site web prouve que le serveur est en fait l'hôte légitime du site web. Cela empêche ou aide à bloquer un certain nombre d'attaques possibles en l'absence d'authentification, telles que :

Comment Cloudflare permet-il aux sites web d'adopter le HTTPS ?

Cloudflare a publié Universal SSL en 2014 et a été la première société à proposer la gratuité des certificats SSL. Tout site Web inscrit aux services de Cloudflare peut activer HTTPS et abandonner HTTP en un seul clic. Cela rend le chiffrement TLS largement disponible, pour protéger les utilisateurs et les données des utilisateurs partout sur Internet.

Pour en savoir plus sur HTTP et HTTPS, voir Qu'est-ce qu'un contenu mixte ? Pour vérifier qu'un site web propose HTTPS, visitez le Cloudflare Diagnostic Center.

Service commercial

À propos de SSL/TLS

À propos de HTTPS

À propos du chiffrement

Glossaire SSL

Navigation dans le centre d’apprentissage

© 2021 Cloudflare, Inc.Politique de confidentialitéConditions d’utilisationMention légaleFiabilité et sécuritéPréférences relatives aux cookiesMarque commerciale