Le protocole HTTPS
Impossible d'accéder à la ressource audio ou vidéo à l'adresse :
La ressource n'est plus disponible ou vous n'êtes pas autorisé à y accéder. Veuillez vérifier votre accès puis recharger la vidéo.
Objectif
Connaître le protocole HTTPS.
Mise en situation
HTTPS, le « S »
signifiant secure, est la combinaison du HTTP et d'une couche de chiffrement. Les communications effectuées via HTTPS sont authentifiées quant à leurs émetteurs et confidentielles quant à leurs contenus.
HTTPS est né dans le domaine du commerce électronique ou de la banque en ligne, pour lesquels l'échange secret d'informations sensibles est crucial.
Depuis le protocole s'est généralisé dans d'autres sphères, comme les réseaux sociaux, et il devient majoritaire sur le Web.
Lorsque vous consultez un site web, si l'adresse commence par HTTPS et que votre navigateur ne vous signale pas d'erreur, alors c'est que seul le site avec lequel communiquez a accès aux informations que vous envoyez.
Fondamental : Le protocole HTTPS
Pour communiquer en HTTPS, un serveur doit posséder un certificat et une paire de clés asymétriques (publique/privée).
Le certificat lui est délivré par une autorité de certification et atteste qu'il est légitime (de sorte qu'un tiers ne puisse pas se faire passer pour lui).
Méthode : Le protocole HTTPS
Une communication web via HTTPS s'effectue de la manière suivante :
Récupération du certificat et de la clé publique du site.
Vérification de la légitimité du site au auprès de l'autorité de certification.
Envoi chiffré (chiffrement asymétrique) d'une clé (de chiffrement symétrique) au serveur web
Échange HTTP « classique » qui sera chiffré à l'aide de la clé qui vient d'être envoyée.
On distingue donc deux parties :
les échanges préliminaires permettant l'établissement d'une communication sécurisée,
puis la communication en elle-même.
La confidentialité retrouvée
Toute entité tierce observant le trafic ne verra qu'une suite vraisemblablement aléatoire de caractères. La requête comme la réponse étant chiffrée, le tiers ne pourra donc pas savoir ce que cache cette suite de caractères.
L'intégrité des communications
En plus de la confidentialité, HTTPS protège l'intégrité des communications. Un attaquant ne pourra pas intercepter un message et le substituer par un message frauduleux. La réponse et la requête étant chiffrées, il est impossible de les modifier sans la clé de chiffrement. Ainsi, HTTPS conforte l'utilisateur comme le serveur de la sécurité de la communication.
Rôle du navigateur
Les navigateurs web se chargent d'établir la communication sécurisée. Le navigateur récupère automatiquement le certificat, le vérifie et envoie la clé de chiffrement pour sécuriser les communications. En cliquant sur le cadenas, habituellement à gauche de l'URL, il est possible de voir les informations du certificats. On trouve notamment les informations suivantes :
La date d'expiration du certificat,
L'autorité de certification, c'est-à-dire l'organisme qui certifie que le site web est légitime,
Les informations techniques à propos du chiffrement.
Exemple : Certificat
Attention : Ce qui reste visible
Le protocole HTTPS permet de chiffrer les communications mais pas de les masquer. Il ne garantit pas l'anonymat.
Il laisse visible les méta-données de la communication, en particulier la source et la destination.
Un tiers observant le trafic réseau pourra toujours savoir qu'une communication a lieu (même s'il ignore le contenu de la communication).
Un fournisseur d'accès internet pourra sans problème connaître l'identité de tout utilisateur effectuant une communication HTTPS à l'aide de l'adresse IP contenue dans les méta-données.
Par exemple, ce protocole ne protège en rien une personne accédant à des sites proposant des produits illégaux.
Complément : Le navigateur Tor
Le navigateur et le protocole Tor permettent de garantir une anonymisation du flux réseau. Ainsi, la connexion est sécurisée et l'identité de l'utilisateur protégée. Cet outil est très précieux pour des journalistes ou des opposants politiques vivant dans des régimes autoritaires. Dans la culture populaire, on en entend surtout parler car il permet d'accéder au Dark Web.
À retenir
Le protocole HTTPS permet de garantir la confidentialité et l'intégrité des communications web.
Les navigateurs modernes se chargent automatiquement de la partie de chiffrement.
HTTPS ne garantit pas l'anonymat de l'utilisateur.