Tous les acteurs du Web s’accordent aujourd’hui à dire que les internautes devraient accéder uniquement à des sites Internet équipés de HTTPS. Les principaux navigateurs avertissent même les utilisateurs lorsqu’un site ne l’est pas ou proposent carrément une option pour empêcher leur accès.

Le navigateur affiche un cadenas a côté de l’adresse du site Internet et un texte en vert indique « Connection secure »
Exemple d’un site sécurisé sur Firefox

Si tout le monde insiste autant sur ce petit cadenas, c’est pour inciter les éditeurs à apporter un minimum de sécurité à leurs visiteurs, car la sécurité n’est désormais plus une option.

Accès aux sites Web et HTTP(S)

Lorsqu’un internaute souhaite consulter une page Web, il saisit l’adresse dans son navigateur favori et attend que la page s’affiche. Ce processus fonctionne grâce un échange de messages, appelés « requêtes », entre le navigateur de l’internaute et le serveur[1] sur lequel est hébergé le site Internet.

Cette communication entre l’utilisateur et le serveur est possible car les deux parties parlent le même langage. Ce langage est un protocole de communication : le fameux HTTP[2].

Ce protocole HTTP a été créé il y a une 20ene d’années, mais est encore utilisé aujourd’hui, même si certains concepts qui le composent ont évolué. Il n’intègre cependant pas de mécanisme permettant de garantir la confidentialité ou l’intégrité des données échangées. Cela veut dire que le serveur ne peut pas avoir la garantie que le contenu de la page envoyé à l’internaute n’a pas été lu ou modifié par un tiers. Cela veut aussi dire que l’internaute ne peut pas avoir la garantie que les données qu’il aurait éventuellement saisies dans un formulaire et envoyées au serveur n’ont pas été lues ou modifiées par un tiers.

Pour améliorer la sécurité de cette communication, il est possible d’utiliser non pas le protocole HTTP mais le protocole HTTPS, qui contient une couche de sécurité appelée TLS[3]. Ce protocole HTTPS permet aux internautes de s’assurer que les informations sont envoyées à la bonne personne et qu’elles ne sont ni lues ni modifiées par un tiers.

Ces garanties sont indispensables et évitent que des personnes malintentionnées puissent écouter les messages échangés ou, pire, les modifier.

(Presque) tout le monde utilise désormais HTTPS

Initialement, seuls les échanges d’informations « sensibles » étaient protégés par le protocole HTTPS, comme l’accès aux comptes bancaires ou les paiements par carte bancaire. Aujourd’hui, au vu des menaces grandissantes et des abus constatés, la grande majorité des échanges se fait avec HTTPS.

Une étude montre, par exemple, qu’en 2020, 80 % des sites visités seraient désormais équipés de HTTPS.

En 2015, 30 % des sites sont sécurisés. En 2017, 50 %. En 2018, 70 %. En 2020, 80 %
Évolution du nombre de sites Internet utilisant HTTPS (source : Let’s Encrypt, Firefox Telemetry)

Malheureusement, parmi les récalcitrants figur(ai)ent les deux organes de notre Parlement, l’Assemblée Nationale et le Sénat, au moment de la publication initiale de cet article.

HTTPS, une pratique élémentaire de sécurité

Si HTTPS était qu’une simple recommandation il y a quelques années, tous les organismes considèrent aujourd’hui que cela est désormais indispensable.

L’ANSSI[4], l’agence française de sécurité informatique, considère que « les protocoles réseaux sécurisés doivent être utilisés dès que possible »[5], considérant que toutes les données qui transitent sur Internet sont « vulnérables ».

« Internet est un réseau sur lequel il est quasi impossible d’obtenir des garanties sur le trajet que vont emprunter les données que l’on y envoie. Il est donc tout à fait possible qu’un attaquant se trouve sur le trajet de données transitant entre deux correspondants. […] toutes les données envoyées […] sont par conséquent vulnérables. Il s’agit donc de procéder à leur chiffrement systématique avant de les adresser à un correspondant »

La CNIL partage cet avis et considère le chiffrement des données, notamment avec HTTPS, comme une « précaution élémentaire de sécurité ».

« La [CNIL] recommande, comme précaution élémentaire de sécurité, le chiffrement des données personnelles avant leur enregistrement sur un support physique, ou leur transmission par [voix] électronique »

Appliquer HTTPS à toutes les pages

HTTPS devrait donc être appliqué par tous les éditeurs de sites Internet à toutes les pages du site, et pas seulement aux pages « sensibles » comme les pages de connexion.

« Lorsqu’on recourt à TLS, il est prudent de le faire sur l’ensemble du site et non uniquement sur les parties "sensibles" »

En ne déployant pas HTTPS sur toutes les pages, cela fait prendre un risque aux internautes, car si un internaute visite une page non transmise par HTTPS avant d’accéder à une éventuelle page de connexion, rien ne lui garantit que les liens contenus dans la page initiale n’ont pas été modifiés par un tiers lors de la transmission des données. Le lien vers la page de connexion peut, par exemple, avoir été modifié et l’utilisateur pourrait être amené à se rendre sur un site pirate, que l’on pourrait imaginer semblable, et même équipé de HTTPS !

L’absence d’HTTPS peut désormais être sanctionnée

S’il n’est pas nécessairement répréhensible de ne pas recourir à HTTPS pour un site qui se contenterait simplement de diffuser des informations, l’histoire est différente pour des sites qui traitent des données à caractère personnel, c’est-à-dire les sites marchands et ou tous les sites qui manipulent les mots de passe des internautes.

Le RGPD[6], Règlement Général sur la Protection des Données, demande, en effet, de traiter les données « de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite […] à l’aide de mesures techniques ou organisationnelles appropriées »[7].

Un protocole comme HTTP (sans le S) qui ne permet pas de garantir la confidentialité ni l’intégrité des données n’est évidemment pas une mesure appropriée. Certains éditeurs[8] ont même déjà été sanctionnés pour un tel manquement.

Éditeurs, proposez HTTPS à vos visiteurs !
Internautes, consultez uniquement des pages avec HTTPS !

Notes et références

  1. Un serveur est, ni plus, ni moins, qu’un ordinateur classique qui est généralement situé chez un hébergeur pour s’assurer qu’il tourne en permanence.
  2. HTTP : Hypertext Transfer Protocol.
  3. TLS : Transport Layer Sécurité.
  4. ANSSI : Agence Nationale de la Sécurité des Systèmes d’Information (ssi.gouv.fr).
  5. L’ANSSI a indiqué que « les protocoles réseaux sécurisés doivent être utilisés dès que possible, que ce soit sur des réseaux publics (Internet par exemple) ou sur le réseau interne de l’entité. » (source : ssi.gouv.fr).
  6. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  7. Le RGPD indique que « les données à caractère personnel doivent être […] traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite […] à l’aide de mesures techniques ou organisationnelles appropriées » (source : RGPD, article 5-1-f).
  8. L’aéroport de Bologne a été sanctionné, car un site Web implémenté par l’aéroport et destiné aux lanceurs d’alerte n’était pas équipé de HTTPS (source : GPDP, 9685922, 10 juin 2021, aéroport de Bologne). Voir « L’aéroport de Bologne (Italie) sanctionné pour avoir traité des données personnelles sans chiffrement ».