SOLUTIONS
Offrir la meilleure expérience possible en ligne
Atténuation des attaques DDoS Arrêter les bots malveillants Accélérer les applications Internet Assurer la disponibilité de l’application Optimiser l'expérience web Vidéos en streaming à la demande
Secure Employee Applications and Devices
Deliver Zero Trust Access to Applications Implement Secure Access Service Edge (SASE) Protect Users Accessing the Internet Protect Corporate Networks Manage Secure Contractor Access Replace Virtual Private Networks (VPNs) Secure Your Remote Workforce Stop Zero Day Attacks with Browser Isolation
 
Protéger et accélérer les réseaux
Atténuer les attaques DDoS de la couche 3 Connecter l'infrastructure réseau avec Cloudflare Transform Corporate Networks
Code en périphérie du réseau
Développer des applications sans serveur Créer un site web statique Configurer un CDN Définir le routage conditionnel des requêtes
Gérer un cloud sécurisé
Sécuriser les plates-formes hybrides, cloud et SaaS Activer les applications SSL for SaaS Réduire les coûts de transfert de données dans le cloud
Enregistrer un site web
Enregistrer ou transférer un site web
INDUSTRIES
E-commerce Gaming Médias et divertissement Secteur public Groupements d’intérêt public SaaS
POUR LES INFRASTRUCTURES
Sécurité des applications et des réseaux
Protection DDoS WAF Gestion des bots Magic Transit Rate Limiting SSL/TLS Cloudflare Spectrum Network Interconnect
Performances et fiabilité
CDN DNS Argo Smart Routing Équilibrage de charge Stream Delivery Réseau chinois
POUR LES ÉQUIPES
Cloudflare for Teams Access Gateway Browser Isolation
POUR LES DÉVELOPPEURS
Applications sans serveur
Cloudflare Workers Cloudflare Workers KV
Enregistrement de nom de domaine
Cloudflare Registrar
Développement de sites web
Sites Workers Cloudflare Stream
POUR TOUS / PUBLIC
1.1.1.1 1.1.1.1 avec WARP (application) 1.1.1.1 pour les familles Cloudflare Radar Campagnes électorales Projet Galileo Projet Athenian
INFORMATIONS APPROFONDIES
Analyse Journaux Cloudflare Web Analytics
POUR LES INFRASTRUCTURES
Sécurité avancée
Gestion des bots Règles de pare-feu Magic Transit Spectrum (TCP/UDP) SSL WAF
Performances et fiabilité
CDN DNS Redimensionnement des images Équilibrage de charge Stream (Vidéo) Argo Tunnel
 
Connaissance approfondie
Analyse
Enregistrement de nom de domaine
Registrar
POUR LES APPLICATIONS SANS SERVEUR
Démarrage rapide avec Workers Site Workers Exemples de projets Workers Tutoriels Workers Ligne de commande (Wrangler) Environnement d'exécution
POUR LES ÉQUIPES
Access Journaux d'audit Access Gateway Journaux d'activité Gateway
DÉCOUVRIR L'API CLOUDFLARE
API Cloudflare Authentification par API
DOCUMENTATION HUB
Dev Documentation Hub
RESSOURCES
Centre de ressources Livres blancs Webinaires Guides des solutions et produits Études de cas Analystes
EXPLORER
Nouveautés Carte du réseau Cloudflare en Chine RGPD
COMMENCER
Enregistrer votre site web Centre d’accueil Obtenir de l’aide
APPRENDRE
Centre d’apprentissage Sécurité DDoS Gestion des bots SSL Gestion de l’identité et des accès Performances CDN DNS Cloud Sans serveur Couche réseau
CONNECTER
Blog Communauté
CONTACT
+1 650 319 8930
PARTENAIRES INTERMÉDIAIRES ET ALLIANCE
Réseau de partenaires Portail des partenaires
PARTENAIRES TECHNOLOGIQUES
Présentation Partenaires statistiques Bandwidth Alliance Partenariats Interconnect Portail de peering

Pourquoi HTTP n'est-il pas sécurisé ? | HTTP contre HTTPS

Les requêtes et réponses HTTP sont envoyées en texte clair, ce qui signifie que tout le monde peut les lire. HTTPS corrige ce problème en utilisant le chiffrement TLS SSL.

Share facebook icon linkedin icon twitter icon email icon
Le SSL, qu’est-ce que c’est ?
Qu'est-ce qu'un certificat SSL ?
Qu'est-ce que le TLS ?
Pourquoi utiliser HTTPS ?
Qu'est-ce que HTTPS ?
Glossaire des termes SSL

Sécurité HTTP

Objectifs d’apprentissage

Après avoir lu cet article, vous :

  • Comprendre le fonctionnement de HTTP
  • Découvrez pourquoi HTTP n'est pas sécurisé
  • Expliquez les différences entre HTTP et HTTPS
  • Découvrez comment obtenir un certificat SSL pour HTTPS

Contenu associé

Qu'est-ce que HTTPS ?

Pourquoi utiliser HTTPS ?

négociation SSL

Comment fonctionne le SSL ?

Le SSL, qu’est-ce que c’est ?

HTTP vs HTTPS : Quelles sont les différences ?

HTTPS est HTTP avec chiffrement. La seule différence entre les deux protocoles est que HTTPS utilise TLS (SSL) pour chiffrer les requêtes et réponses HTTP normales. Par conséquent, HTTPS est beaucoup plus sécurisé que HTTP. Un site web qui utilise HTTP a http:// dans son URL, tandis qu'un site web qui utilise HTTPS a https:/.

HTTP vs HTTPS

Qu'est-ce que HTTP ?

HTTP signifie Hypertext Transfer Protocol. C'est un protocole (c'est-à-dire un ordre et une syntaxe prescrits pour présenter des informations) utilisé pour transférer des données sur un réseau. La plupart des informations envoyées sur Internet, y compris le contenu du site web et les appels d'API, utilisent le protocole HTTP. Il existe deux principaux types de messages HTTP : les demandes et les réponses.

Dans le modèle OSI (voir Qu'est-ce que le modèle OSI ?), HTTP est un protocole de la couches 7.

Qu'est-ce qu'une requête HTTP ? Qu'est-ce qu'une réponse HTTP ?

Les requêtes HTTP sont générées par le navigateur d'un utilisateur lorsque l'utilisateur interagit avec les propriétés web. Par exemple, si un utilisateur clique sur un lien hypertexte, le navigateur enverra une série de requêtes HTTP GET pour le contenu qui apparaît sur cette page. Si un internaute recherche dans Google « Qu'est-ce que HTTP ? » et que cet article apparaît dans les résultats de la recherche, lorsqu'il clique sur le lien, son navigateur crée et envoie une série de requêtes HTTP afin d'obtenir les informations nécessaires au rendu de la page.

Ces requêtes HTTP vont toutes à un serveur d'origine ou à un serveur de mise en cache proxy qui va générer une réponse HTTP. Les réponses HTTP sont des réponses aux requêtes HTTP.

À quoi ressemble une requête HTTP typique ?

Une requête HTTP n'est qu'une série de lignes de texte qui suivent le protocole HTTP. Une demande GET pourrait ressembler à ceci :


GET /hello.txt HTTP / 1.1
User-Agent: curl / 7.63.0 libcurl / 7.63.0 OpenSSL / 1.1.l zlib / 1.2.11
Hébergeur: www.example.com
Accept-Language: en

Cette section de texte, générée par le navigateur de l'utilisateur, est envoyée via Internet. Le problème est qu'il est envoyé sous cette forme, avec un texte en clair que toute personne surveillant la connexion peut lire (ceux qui ne connaissent pas le protocole HTTP peuvent trouver ce texte difficile à comprendre, mais quiconque ayant des connaissances basiques sur les commandes et la syntaxe du protocole peut le lire facilement).

Cela est particulièrement problématique lorsque les utilisateurs soumettent des données sensibles via un site web ou une application web. Il peut s'agir d'un mot de passe, d'un numéro de carte de crédit ou de toute autre donnée entrée dans un formulaire. En HTTP toutes ces données sont envoyées en clair et n'importe qui peut les lire (lorsqu'un utilisateur soumet un formulaire, le navigateur le traduit en une requête HTTP POST au lieu d'une requête HTTP GET).

Lorsqu'un serveur d'origine reçoit une requête HTTP, il envoie une réponse HTTP, qui est similaire :


HTTP/1.1 200 OK
Date: Wed, 30 Jan 2019 12:14:39 GMT
Serveur: Apache
Last-Modified: Mon, 28 Jan 2019 11:17:01 GMT
Accept-Ranges: bytes
Content-Length: 12
Vary: Accept-Encoding
Content-Type: text/plain

Bonjour le monde !

Si un site web utilise HTTP au lieu de HTTPS, toutes les requêtes et réponses peuvent être lues par une personne quelconque qui surveillerait la session. En fait, un acteur malveillant peut simplement lire le texte de la requête ou de la réponse et savoir exactement quelles informations une personne demande, envoie ou reçoit.

Qu'est-ce que HTTPS ?

Le S de HTTPS signifie « sécurisé ». HTTPS utilise TLS (ou SSL) pour chiffrer les requêtes et réponses HTTP, donc dans l'exemple ci-dessus, au lieu du texte, un attaquant verrait une série de caractères apparemment aléatoires.

Au lieu de :


GET /hello.txt HTTP / 1.1
User-Agent: curl / 7.63.0 libcurl / 7.63.0 OpenSSL / 1.1.l zlib / 1.2.11
Hébergeur: www.example.com
Accept-Language: en

L'attaquant voit quelque chose comme :


t8Fw6T8UV81pQfyhDkhebbz7+oiwldr1j2gHBB3L3RFTRsQCpaSnSBZ78Vme+DpDVJPvZdZUZHpzbbcqmSW1+3xXGsERHg9YDmpYk0VVDiRvw1H5miNieJeJ/FNUjgH0BmVRWII6+T4MnDwmCMZUI/orxP3HGwYCSIvyzS3MpmmSe4iaWKCOHQ==

En HTTPS, comment TLS/SSL chiffre t-il les requêtes et les réponses HTTP ?

TLS utilise une technologie appelée chiffrement à clé publique : il existe deux clés, une clé publique et une clé privée. La clé publique est partagée avec les appareils clients via le certificat SSL du serveur. Lorsqu'un client ouvre une connexion avec un serveur, les deux appareils utilisent la clé publique et privée pour convenir de nouvelles clés, appelées clés de session, pour chiffrer la suite de leurs échanges.

Toutes les requêtes et réponses HTTP sont ensuite chiffrées avec ces clés de session (cette opération a lieu au niveau de la couche 6 du modèle OSI ), de sorte que toute personne qui intercepte des communications ne peut voir qu'une série de caractères aléatoires, pas de texte en clair.

Pour en savoir plus sur le fonctionnement du chiffrement et des clés, voir Qu'est-ce que le chiffrement ?

Comment HTTPS aide-t-il à authentifier les serveurs Web ?

L'authentification signifie la vérification qu'une personne ou une machine est bien celle qu'elle prétend être. En HTTP, il n'y a pas de vérification d'identité : le protocole est basé sur un principe de confiance. Les architectes de HTTP n'ont pas nécessairement décidé de faire implicitement confiance à tous les serveurs web. Simplement des priorités autres que la sécurité existaient à l'époque. Mais sur l'Internet moderne, l'authentification est essentielle.

Tout comme une carte d'identité confirme l'identité de son détenteur, une clé privée confirme l'identité du serveur. Lorsqu'un client ouvre un canal avec un serveur d'origine (par exemple, lorsqu'un utilisateur accède à un site web), la possession de la clé privée qui correspond à la clé publique dans le certificat SSL d'un site web prouve que le serveur est en fait l'hôte légitime du site web. Cela empêche ou aide à bloquer un certain nombre d'attaques possibles en l'absence d'authentification, telles que :

Comment Cloudflare permet-il aux sites web d'adopter le HTTPS ?

Cloudflare a publié Universal SSL en 2014 et a été la première société à proposer la gratuité des certificats SSL. Tout site Web inscrit aux services de Cloudflare peut activer HTTPS et abandonner HTTP en un seul clic. Cela rend le chiffrement TLS largement disponible, pour protéger les utilisateurs et les données des utilisateurs partout sur Internet.

Pour en savoir plus sur HTTP et HTTPS, voir Qu'est-ce qu'un contenu mixte ? Pour vérifier qu'un site web propose HTTPS, visitez le Cloudflare Diagnostic Center.

Pour vous garantir une expérience optimale sur notre site Web, il se peut que nous utilisions des cookies, comme décrit ici.
En cliquant sur J’accepte, en fermant cette bannière ou en continuant à naviguer sur notre site Web, vous acceptez l’utilisation de ces cookies.