Bonjour à tous,
Depuis quelques mois, j’ai mené une réflexion sur cette question et je vais vous en faire part dans cet article.
Comme vous pouvez vous en douter si j’écris ces lignes c’est qu’il y aura des nuances.
HTTPS c’est quoi ?
Je vais commencer par répondre à cette question, car cet article s’adresse à tout le monde et surtout au néophyte.
Le protocole HTTPS est utilisé pour sécuriser le trafic entre un serveur et un navigateur Internet en cryptant les données à l’aide d’un certificat SSL.
Ce cryptage permet de sécuriser les échanges ce qui empêche de voir les données en clair sur les réseaux (Internet), ceci permet de protéger vos identifiants et votre « vie privée ».
On a aussi demandé aux utilisateurs durant plusieurs années de vérifier qu’un cadenas était présent dans la barre d’adresse pour s’assurer que l’on est sur un site de confiance et sécurisé.
Le contexte
Ces dernières années, les développeurs de navigateur ont fait en sorte d’augmenter la sécurité sur Internet et pointant du doigt les sites Internet qui ne sont pas en HTTPS donc pas « sécurisé ».
En parallèle à cela pour résoudre ce problème de HTTPS pour tous est née Let’s Encrypt qui est une autorité de certification gratuite qui permet d’avoir un certificat SSL gratuit pour son site Internet sans vérification (d’autre solution existe pour avoir de l’HTTPS gratuitement comme CloudFlare).
Avant Let’s Encrypt pour avoir un certificat SSL, il était nécessaire d’en acheter un auprès d’une autorité de certification et des contrôles étaient effectués par des humains.
Maintenant que vous avez le contexte, je vais répondre à ces deux questions : Est ce que l’HTTPS un gage de sécurité et de confiance ?
HTTPS gage de sécurité ?
La réponse ici est Oui et Non.
Oui dans le sens où le trafic entre le serveur Web et le navigateur est chiffré et ce qui empêche d’intercepter les données et de les lires notamment si vous entrez des données personnelles, un identifiant, un mot de passe …
Non dans le sens où l’on ne sait pas comment nos données sont stockés après sur le site. Si elles sont enregistrées sans cryptage notamment le mot de passe et qu’il y a une fuite de données, vos informations se retrouvent sur Internet.
HTTPS gage de confiance ?
Pour moi la réponse est clairement NON sans vérification et je vais m’expliquer.
Depuis l’arrivée de Let’s Encrypt, tout le monde peut avoir un certificat SSL gratuit pour passer un site HTTPS sans réelle vérification mis à part que le site est bien ligne, ce qui permet à des sites de phishing d’être en HTTPS ou à des boutiques en lignes douteuses d’avoir aussi un certificat.
Pour moi, cette facilité à obtenir un certificat SSL fait perdre le gage de confiance que l’on peut avoir sur l’HTTPS surtout quand on a rabâché pendant des années à des gens de vérifier la présence d’un cadenas dans la barre d’adresse du navigateur.
Ce qu’il faut également prendre en compte quand l’on achète un certificat SSL, des vérifications sont effectuées par l’autorité en fournissant des informations personnels (Individuel ou entreprise).
Comment reprendre confiance en HTTPS ?
Maintenant, je vais expliquer comment vérifier l’autorité de certification d’un site Internet si vous avez un doute et vous s’assurez que le site n’utilise pas Let’s Encrypt.
Je ne dis pas que les sites qui utilise un certificat Let’s Encrypt ne sont pas digne de confiance, j’utilise moi-même ce type de certificat.
Mais un site de banque, gouvernementale voir boutique en ligne utilisent rarement ce type de certificat.
Personnellement, je ne fais jamais d’achat sur une boutique en ligne avec un certificat Let’s Encrypt sans vérification préalable (Mentions légales, SIRET …).
Dans la barre d’adresse, cliquer sur le cadenas et sur Certificat.
Dans les informations du certificat, vérifier le champ Délivré par :
Conclusion
J’espère que ces quelques lignes sur l’HTTPS vous seront utiles et vous permettre d’éviter de tomber dans les pièges de l’HTTPS pour tous.