Petit article d’introduction avec quelques définitions sur des éléments de base de la connexion sécurisée des sites webs. Cette article permettra de mieux comprendre les enjeux de sécurité que je décrirai dans un prochain article.
HTTP/HTTPS
Aujourd’hui, la majorité des échanges avec les sites webs ne sont pas sécuritées. L’exemple parfait est mon site web. Dans l’url, il est possible de voir que j’utilise le protocole non sécurisé HTTP. Ce qui implique que lorsque vous entrez ou naviguez sur mon site, l’ensemble de vos actions / informations peuvent être récupérées par un petit malin qui espionnerait votre réseau.
Sur mon site rien de grave car, vous n’échangez pas de données personnelles et/ou importantes. Mais, imaginez l’importance de la protection de vos échanges avec le site de votre banque ou de e-commerce préféré ….
C’est là qu’intervient le protocole HTTPS. Ce dernier, permet de sécuriser l’ensemble des échanges d’un site web. Ce protocole nécessite un certificat délivré par une autorité de certification (j’y reviens!). Lorsqu’un site dispose d’un certificat, vous pouvez le voir sous chrome ou firefox grâce au petit cadenas vert à droite de l’adresse du site.
Certificat et autorité de certification
Le certificat est la combinaison de deux éléments, l’identification de son auteur et du site ainsi qu’une clef de chiffrement. Cette dernière permet de chiffrer et déchiffrer les échanges avec le site web sécurisé. Le sujet est vaste, si vous souhaitez creuser le sujet je vous invite à consulter la page suivante.
Il y a encore un hic, générer un de ces certificats est très simple, de nombreux tutoriels existent sur internet, une personne mal intentionné pourrait générer des certificats frauduleux et les proposer aux plus grands nombres tout en se conservant la possibilité de déchiffrer les communications.
Pour palier à ce problème, les différents navigateurs font confiance à certaines organisations appelées autorités de certification, elles sont considérées comme étant de confiance et ayant la capacité de produire des certifcats à des tiers. C’est donc auprès de ces autorités qu’il est nécessaire de commander son certificat pour sécuriser la connexion à son site web.
Merci Amaury et Mathieu pour vos relectures !
Sources:
Partager l'article :
Ping : OVH permet d'utiliser HTTPS gratuitement grâce à LetsEncrypt