Blog de Mosanweb.com

Lorsque vos utilisateurs ont la possibilité d’interagir avec votre site web, ils transmettent sur le réseau des informations. Cela peut être des messages, des codes, ou encore des données bancaires… Ces informations là, sur un réseau non protégé, transitent en clair. C’est à dire qu’elles sont susceptibles d’être lisibles si un appareil intermédiaire entre votre utilisateur et votre site « écoute » sur le câble. De fait, un pirate informatique peut se glisser entre vos communications et dérober toutes les informations qui transitent. On appelle cela, une attaque informatique du « man-in-the-middle » (soit l’homme au milieu).

Afin de contrer ce type de menace qui récolte des informations entre plusieurs communications au sein d’un réseau, des chercheurs informatiques ont développé des techniques de cryptographie pour chiffrer ces communications. Le HTTPS a alors vu le jour et permet à un message clair d’être directement crypté avant de voyager sur le réseau afin d’atteindre son destinataire qui pourra ensuite le déchiffrer (grâce à une clé publique et une clé privée) et enfin le lire, tout en faisant la même chose dans le sens inverse.

Bien que nous ne nous attarderons pas sur les moyens techniques établis pour la mise en place d’un tel protocole permettant la sécurité des communications sur Internet, il est important de signaler qu’un site qui pratique tout échange de données incluant des données personnelles ou bancaires serait complètement irresponsable de ne pas utiliser le protocole HTTPS. Inutile de poursuivre votre navigation sur un site ne vous proposant pas une connexion sécurisée et valide, surtout si vous devez y encoder des informations de ce genre…

Comment reconnaitre un site sécurisé ?

Il y a un prérequis essentiel avant tout: vérifiez toujours si la date et l’heure du système est bien correcte et synchronisée avec les serveurs de temps officiels de votre système d’exploitation et vérifiez si votre navigateur et votre système d’exploitation sont bien à jour. En effet, sans cela votre système informatique ne pourra déterminer si la sécurité du site que vous visitez est bien d’application.

  1. Vérifiez que l’URL du site commence bien par « https:// » avant le nom de domaine du site (et vérifiez également le nom de domaine, cela permet d’éviter tout piège comme le phishing).
  2. Remarquez le petit cadenas vert ou gris tout à gauche (pour Firefox) ou à droite (pour Internet Explorer) de cette même barre d’adresse qui permet de signaler si le contenu du site est à 100 % sécurisé (notez bien que l’affichage de cette information peut dépendre en fonction des navigateurs web que vous utilisez et leurs versions).
  3. Finalement, vous pouvez en apprendre davantage en appuyant sur cette petite icône « cadenas » retrouvée dans votre navigateur sur la nature du certificat de sécurité qui permet de chiffrer vos communications et qui prouve qu’il en est bien digne de confiance. Des autorités de certification, ou CA, comme Let’s Encrypt, viennent apposer leur marque afin de démontrer qu’un certificat est valide.

Si votre navigateur web détecte un problème avec un certificat, ou même encore votre antivirus, votre navigation sur ce site est interrompue car non-fiable et requiert en général une validation manuelle de votre part. Cela arrive régulièrement avec des certificats dits « auto-signés » où un site reconnait lui même son certificat de sécurité et non pas une autorité extérieure. C’est le cas des sites internes qui ne nécessitent pas d’être accessibles au grand public.

Que faire lorsque je suis confronté à un site non sécurisé ?

De base vous êtes bloqués par votre navigateur si le site à visiter est mal protégé; c’est à dire que si le site est accessible depuis HTTPS mais qu’il est invalide pour diverses raisons comme l’auto-signature du certificat de sécurité, ou qu’il ait été révoqué, ou bien encore expiré (ce qui arrive bien souvent), votre navigateur web va tout simplement vous afficher une erreur à l’écran et vous donner la raison exacte de son refus.

Si vous atteignez un site qui n’est pas du tout en HTTPS mais rien qu’en HTTP (http://), vous pouvez continuer à naviguer sur ce site sans problèmes, mais évitez à tout prix toute divulgation d’information sensibles comme toute information relative à votre vie privée ou vos coordonnées bancaires. Ça serait réellement le pire des scénarios si ça arrivait car l’Internet est très vaste, mais il est impossible de savoir qui se cache entre les mailles du plus grand réseau du monde.

Gérant de Mosanweb.com, je partage ici mes connaissances techniques informatiques, plus généralement pour le web mais aussi tout ce qui touche directement la plateforme d'hébergement en elle-même.

Voir les commentaires

Il n'y a actuellement pas de commentaire publié.
Proch. post