HTTPS, vraiment indispensable ?

Protocole https

HTTPS, vraiment indispensable ?

Une transformation de grande ampleur

Depuis quelques temps déjà, la mise en place d’un certificat de sécurité SSL/TLS (secure sockets layer/transport layer security) est un sujet qui revient régulièrement dans les conversations. On assiste tout simplement à une transformation de grande ampleur du Web.

Google tente d’imposer cette norme à l’ensemble des sites depuis 2014 déjà ! Or j’ai pu constater à travers mes échanges que cette démarche n’était pas toujours comprise. HTTPS est même devenue un critère de positionnement au sein des moteurs de recherche. A l’époque changer de protocole représentait un vrai défi qui est malgré tout en passe d’être relevé.

En effet, selon les données collectées par Firefox, 60% des pages sont désormais chargées à travers HTTPS

Du côté de Chrome on constate la même évolution :

source : sitepoint.com

Permettre à vos visiteurs de se sentir en sécurité

Depuis janvier 2017 et la version 56 du navigateur Chrome, Google indique explicitement aux
utilisateurs si un site est sécurisé ou non, en d’autre termes s’il doivent ou non vous faire confiance. Autant dire que c’est devenu un marqueur important. Les autres navigateurs lui ont bien sûr emboîté le pas.

Mais quelle est la différence fondamentale entre HTTP et HTTPS ?

Lorsque que vous visitez un site à travers https, vous demandez la version sécurisée du site que vous visitez votre navigateur s’attend à trouver un certificat de sécurité SSL/TLS sur le serveur qui héberge le site. Ce certificat est délivré par une autorité de certification afin d’établir si le site est bien celui qu’il prétend être et de pouvoir chiffrer les échanges avec l’utilisateur.

Dans le cadre du protocole http on ne dispose pas de la possibilité de vérifier l’identité du site !!!

Les informations circulent en clair et peuvent être lues par n’importe qui !!!

Ainsi les pirates ont la possibilité d’intercepter les données soit lors des échanges, soit sur un site de phishing qui se fait passer pour le site officiel.

Mots de passe administrateur, identifiants personnels, cartes bancaires, données confidentielles… sont alors en danger !!!

On s’expose à deux types d’attaques :

– l’attaque de l’Homme Du Milieu (Man In the Middle), les cas les plus fréquents visent les hotspots WIFI.

– ou plus récemment l’attaque de l’Homme Dans le Navigateur (Man in the Browser) qui vise à installer un malware directement sur le poste de l’utilisateur.

crédit: Pixabay

Ces techniques de piratage ne sont pas seulement à la portée des petits génies de l’informatique, elle sont malheureusement à la disposition du tout-venant…

on peut ajouter deux extensions au navigateur pour se prémunir de ces risques :

HTTPS Everywhere ou ForceTLS qui établissent une connection sécurisée chaque fois qu’un site internet le permet.

Les escrocs aussi font leur transition numérique…

En réalité la décision de Google cherche à répondre à un phénomène qui devient de plus en plus inquiétant, l’explosion de la cyberdélinquance :

  • Yahoo (500 millions de comptes), Uber (57 millions), Linkedin (117 millions)…
  • Petya, Locky, Swift…
  • l’IFOP signale +51% d’attaques en France pour 2016 alors que : « 83 % des entreprises ne se sentent peu ou pas en danger »
  • 8 attaques sur 10 en France visent les PME (source Symantec)

Les organismes de certification

Les certificats de sécurité lient le nom de domaine au serveur ou encore à l’identité de l’organisation Il existe 3 types de certificats. Les certificats à validation de domaine (DV), à validation d’organisation (OV). Ces derniers produisent un cadenas vert. Enfin, le certificat à validation étendue (EV-> barre verte). Les certificats EV affichent clairement les informations d’identité dans la barre d’URL du navigateur et font l’objet d’un audit de la part de l’organisme de certification. Ils sont signalés sous la forme d’une barre verte.

Pour un site e-commerce avec une activité importante, par exemple, on privilégiera un certificat à validation étendue. Les fournisseurs de ces certificats sont Comodo, Globalsign, etc. Davantage rassurants pour le consommateur, il présentent un niveau de chiffrement plus élevé.

Let’s Encrypt est une autorité de certification qui fournit des certificats DV gratuits.

La plupart des hébergeurs Web mettent maintenant Let’s Encrypt à disposition de leurs clients, accessible depuis leur panneau d’administration.

Comment mettre en place un certificat de sécurité sur son site internet ?

C’est fonction de la solution web utilisée pour votre site internet. D’une manière générale il faut transformer toutes les Urls du site (bases de données et code compris) de http à https et éviter le contenu « mixte » qui sera lui aussi signalé par le navigateur.

Pour WordPress par exemple on pourra utiliser le plugin Really simple SSL qui facilite la transition.

Les hébergeurs mettent à disposition des tutoriels qui indiquent précisément la marche à suivre :

OVH Infomaniak O2Switch

Comment évaluer la qualité du certificat mis en place ?

Toutes les installations ne se valent malheureusement pas ! On visitera systématiquement les sites suivants pour vérifier que tout s’est bien passé (il y a là encore un risque d’introduire une faille de sécurité ex poodle) :

https://www.whynopadlock.com/
https://www.ssllabs.com/ssltest/

Dans tout les cas, le dispositif national d’assistance des victime de cybermalveillance est le suivant :
https://www.cybermalveillance.gouv.fr/

Les liens qui nous ont permis d’écrire cet article :

https://www.grafikart.fr/tutoriels/divers/comprends-ssl-tls-745
https://www.kaspersky.fr/blog/quest-ce-quune-attaque-de-lhomme-du-milieu-hdm/808/
https://www.leblogduhacker.fr/attaque-de-lhomme-dans-le-navigateur/
https://www.zataz.com/
http://www.lamontagne.fr/clermont-ferrand/economie/commerce-artisanat/2017/09/22/victime-d-un-piratage-informatique-la-societe-clermont-pieces-va-fermer-boutique_12561803.html
https://www.sitepoint.com/securing-your-website-with-https-is-more-important-than-ever/