Qu’est-ce que le protocole « HTTPS », que vient d’adopter le site du « Monde » ?
Qu’est-ce que le protocole « HTTPS », que vient d’adopter le site du « Monde » ?
Par Martin Untersinger
Depuis quelques heures, Le Monde.fr utilise une technologie permettant de chiffrer les connexions, une tendance lourde du Web ces dernières années.
Vous l’avez peut-être remarqué : depuis quelques heures, lorsque vous affichez dans un navigateur Internet sur ordinateur ou appareil mobile un article du Monde.fr, un petit cadenas apparaît à côté de l’adresse. Le site du Monde utilise en effet désormais la technologie dite « HTTPS » (HyperText Transfer Protocol Secure) pour sécuriser les connexions de ses visiteurs utilisant ses sites mobile et traditionnel. Le Monde.fr rejoint ainsi Ouest-France, Francetv Info, 20Minutes ou encore BFM-TV parmi les principaux sites d’actualité utilisant cette technologie.
Ce cadenas, les internautes y sont de plus en plus habitués. Initialement utilisé sur les sites des banques pour sécuriser les transactions, il s’est frayé un chemin sur un nombre croissant de sites. En avril 2013, Facebook l’a mis en place pour tous ses utilisateurs. En 2014, YouTube a commencé à lui emboîter le pas.
Aujourd’hui, la plupart des sites les plus visités utilisent ce HTTPS, et environ 70 % de toutes les pages Web sont chargées en l’utilisant, en augmentation constante depuis plusieurs années : elles étaient seulement 40 % en juillet 2015, selon des chiffres établis par Google.
Qu’est-ce que le HTTPS ?
Le HTTPS (TLS, de son nom technique, pour Transport Layer Security) permet deux choses : d’abord, être sûr que le site sur lequel on se connecte est bien celui dont l’adresse s’affiche dans la barre d’adresse de son navigateur ; ensuite, enrober les données échangées entre un navigateur et un site Web d’une couche de chiffrement, empêchant toute personne (fournisseur d’accès, espion...) de modifier ou de surveiller les données au cours de leur acheminement.
Lorsqu’une connexion HTTPS débute, le navigateur et le site échangent un certain nombre d’informations pour obtenir une clé cryptographique connue d’eux seuls. Ensuite, toutes les données échangées sont chiffrées et ne deviennent lisibles que du site et de l’internaute.
Cette adoption de plus en plus large a en partie été accélérée par les révélations d’Edward Snowden, en 2013, sur les capacités de surveillance de masse des Etats-Unis. La National Security Agency (NSA) est en effet en mesure d’aspirer une part faramineuse de l’activité des internautes sur le Web. Au sein des entreprises du numérique et malgré leur collaboration parfois étroite avec le renseignement américain, ces révélations ont suscité une prise de conscience.
Sous la pression de Google
Mais c’est surtout sous la pression de Google que se parachève l’adoption du HTTPS. Depuis 2015, le géant du Web pénalise de plus en plus les sites qui ne l’ont pas mis en place. Depuis août 2014, le géant de la recherche en ligne prend en compte le fait qu’un site est ou non en HTTPS pour le classer dans les résultats des recherches. A partir du mois de juillet, il va même indiquer dans son navigateur, Chrome, à propos des sites n’adoptant pas ce standard, que ceux-ci ne sont « pas sécurisés ».
L’adoption du HTTPS ne résout pas tous les problèmes : un site malveillant conçu pour se faire passer pour un autre (ma-banque-paiement.fr au lieu de ma-banque.fr) pourra toujours mettre en place les technologies nécessaires à l’établissement d’une connexion HTTPS. La clé de voûte du système, à savoir les certificats, sont très décriés et parfois abusés. De nombreux réseaux Wi-Fi publics (dans les transports, hôtels...) tentent de contourner ces précautions. Mais de l’avis de tous les experts, le développement du protocole HTTPS contribue au déploiement d’un Web plus sûr et plus respectueux des droits des internautes.
