La plupart des gens savent, ou du moins soupçonnent, qu’il n’est pas judicieux d’acheter des articles via une connexion Internet publique – mais ils ne savent peut-être pas pourquoi.
L’une des raisons est à cause d’une éventuelle attaque « de l’homme du milieu » – une attaque MITM se produit lorsque quelqu’un s’insère au milieu de votre connexion Internet et du site Web que vous visitez et se fait passer pour les deux parties dans afin d’accéder à des informations sensibles telles que les identifiants, les mots de passe, le nom, l’adresse, le numéro de téléphone et les données de carte de crédit.
Disons, par exemple, qu’Ann (A) est dans son café préféré en train de parcourir le site Web de commerce électronique de Best Buy (B) et souhaite effectuer un achat. Rien n’empêche un homme du milieu (M) malveillant de s’insérer dans la conversation d’Ann et Best Buy. Il peut capturer, et éventuellement modifier, les données transmises. Si Ann effectue un achat, il peut ajuster la quantité commandée et/ou voler son identité. Ann et le site Web qu’elle visite sont tous les deux en danger.
HTTPS protège les données en transit
Entrez HTTPS.
HTTP (sans le « s ») signifie HyperText Transfer Protocol, qui est le format standard et convenu pour la transmission de données entre deux appareils sur Internet. Tout comme la langue par défaut de l’aviation est l’anglais, la langue par défaut des ordinateurs est HTTP.
HTTPS, en revanche, signifie HyperText Transfer Protocol Secure. C’est un moyen de protéger les conversations entre deux ordinateurs en superposant un certificat de sécurité et un cryptage. Voici comment cela fonctionne.
Revenons sur l’expérience de magasinage d’Ann et imaginons qu’elle magasine chez Adorama (D) au lieu de Best Buy. Adorama dispose d’un site Internet sécurisé (HTTPS). Quand Ann utilise son navigateur pour se connecter à Adorama :
- Son navigateur demande et Adorama envoie, une transaction de sécurité vérifiée de manière indépendante qui certifie que le serveur Web auquel Ann essaie de se connecter appartient en fait à Adorama.
- Adorama envoie également une clé de cryptage au navigateur d’Ann. La clé sera utilisée pour crypter ou brouiller toutes les transactions ultérieures entre les deux.
Seul Adorama possède la clé de déchiffrement – même si un homme du milieu malveillant intercepte leur échange, il ne pourra pas modifier, supprimer ou donner un sens aux conversations ultérieures. Les deux parties sont protégées.
HTTPS est une sécurité supplémentaire mais pas une protection totale – certaines personnes trouvent déjà des moyens de contourner le processus de certification.
Ce n’est pas parfait, mais c’est un pas dans la bonne direction, et il est probable que cela s’améliorera encore plus avec le temps.
Pourquoi convertir maintenant ?
HTTPS existe depuis 1994 – alors pourquoi y a-t-il une poussée soudaine pour que tout le monde se convertisse ? Qu’est ce qui a changé?
Préoccupé par le fait que les utilisateurs ne reconnaissent pas ou ne tiennent pas compte de l’étiquetage auparavant neutre et ambigu de Google concernant les sites Web non sécurisés, le 8 septembre 2016, Google a annoncé qu’à partir de janvier 2017, il commencerait explicitement à étiqueter toutes les connexions HTTP comme non sécurisées.
« Historiquement, Chrome n’a pas explicitement étiqueté les connexions HTTP comme non sécurisées. À partir de janvier 2017 (Chrome 56), nous marquerons les pages HTTP qui collectent des mots de passe ou des cartes de crédit comme non sécurisées, dans le cadre d’un plan à long terme pour marquer tous les sites HTTP comme non sécurisés.
Dans les versions suivantes, nous continuerons à étendre les avertissements HTTP, par exemple, en étiquetant les pages HTTP comme « non sécurisées » en mode navigation privée, où les utilisateurs peuvent avoir des attentes plus élevées en matière de confidentialité. À terme, nous prévoyons d’étiqueter toutes les pages HTTP comme non sécurisées et de remplacer l’indicateur de sécurité HTTP par le triangle rouge que nous utilisons pour le HTTPS défectueux. »
Jusqu’à présent, nous n’avons pas vu l’étiquette « non sécurisé », nous n’avons vu que la lettre encerclée grise « i » déjà familière affichée dans les barres d’adresse du navigateur lorsque les sites Web ne sont pas sécurisés. Voici un exemple utilisant le site Web de Best Buy (ci-dessous).
Google a cependant renforcé son étiquetage des sites Web sécurisés, comme celui d’Adorama (ci-dessous). L’étiquetage comprend désormais un cadenas vert, le mot « Secure » et les lettres vertes « https » sur tous les sites Web qui ont été complètement et avec succès convertis.
Implications pour les propriétaires de sites Web
Si vous possédez un site Web qui capture des identifiants et des mots de passe ou des données de carte de crédit, vous serez bientôt étiqueté comme « Non sécurisé » lorsque les visiteurs utilisent le navigateur Chrome. Cela ne manquera pas de susciter des inquiétudes et de dissuader les gens de vouloir effectuer des transactions avec vous, surtout si vous demandez tout type de données personnelles – des adresses e-mail, par exemple, pour créer votre liste de diffusion.
Les visiteurs du site Web pourront facilement reconnaître les sites Web non sécurisés et trouver des alternatives meilleures et plus sûres.
Si vous possédez un site Web d’information (non e-commerce) et que vous pensez que vous êtes décroché, détrompez-vous.
Les propriétaires de sites Web autres que le commerce électronique risquent également de perdre la confiance des visiteurs du site Web. 25% des sites Web dans le monde sont construits avec WordPress, un système de gestion de contenu accessible, administré et maintenu à l’aide d’un identifiant et d’un mot de passe. Joomla et Drupal, les concurrents les plus proches de WordPress, utilisent également des identifiants et des mots de passe. Ces sites seront éventuellement signalés comme non sécurisés à moins qu’ils ne soient convertis en HTTPS.
En tant que propriétaire de site Web, vous devez également savoir que toute personne interceptant la transmission de données d’ID utilisateur et de mot de passe pourra ajouter, modifier et supprimer du contenu sur votre site Web. Ce ne sont pas seulement les visiteurs du site Web qui sont à risque, les propriétaires de sites Web doivent également protéger leurs données.
Implications pour le référencement
En plus de l’avantage évident de sécuriser la confiance de votre public, il existe également un avantage d’optimisation des moteurs de recherche (SEO) lorsque vous migrez vers HTTPS.
Google a annoncé HTTPS comme facteur de classement en 2014.
« Pour l’instant, il ne s’agit que d’un signal très léger – affectant moins de 1% des requêtes mondiales et ayant moins de poids que d’autres signaux tels que le contenu de haute qualité – alors que nous donnons aux webmasters le temps de passer au HTTPS. Mais avec le temps, nous pouvons décider pour le renforcer, car nous aimerions encourager tous les propriétaires de sites Web à passer du HTTP au HTTPS pour assurer la sécurité de tous sur le Web. »
À l’époque, l’incitation légère n’était pas suffisante pour motiver la plupart des propriétaires de sites Web non commerciaux à migrer en raison du travail impliqué et du potentiel de perte d’équité en matière de référencement.
Lorsque vous convertissez votre site Web en HTTPS, vous modifiez effectivement votre adresse Internet. Cela signifie que vous devez envoyer à Google (et aux autres moteurs de recherche) une notification de « changement d’adresse », également appelée redirection 301 ou 302. Traditionnellement, une redirection a dilué votre équité SEO ou votre capacité à vous classer jusqu’à 15%. Cela a récemment changé.
En février 2016, John Mueller de Google a annoncé que l’équité SEO ou le PageRank ne seront plus perdus lorsqu’une redirection 301 ou 302 est utilisée en conjonction avec une migration HTTP vers HTTPS. Les SEO sceptiques doutaient de la vérité, mais en juillet 2016, un autre employé de Google, Gary Illyes, a tweeté la même chose et Barry Schwartz de Search Engine Land l’a confirmé.
Il n’y a plus de pénalité SEO lorsque vous implémentez HTTPS. Le signal auparavant léger pourrait en fait aider à améliorer votre classement.
Désormais, Ann et les autres visiteurs du site Web peuvent se sentir en sécurité en sachant que les sites Web sécurisés protégeront leur identité et leurs données. Les propriétaires de sites Web peuvent aussi.