Actualités, astuces, interview... Venez lire la gazette de ce printemps de Vikidia ! 
Hypertext Transfer Protocol Secure
L'Hypertext Transfer Protocol Secure, plus connu sous l'abréviation HTTPS, est le protocole permettant de faire fonctionner les pages web de manière sécurisée. Il reprend toutes les fonctionnalités du protocole HTTP (utilisé pour envoyer et recevoir des pages sur un navigateur internet) et y ajoute le protocole SSL qui permet de chiffrer les échanges et les signer.
Fonctionnement[modifier | modifier le wikicode]
Le HTTPS permet notamment de chiffrer (rendre illisible par quelqu'un qui n'a pas la clef pour déchiffrer) l'échange entre le navigateur qui affiche la page et le serveur internet qui l'envoie. Ainsi, si une personne réussit à obtenir le message qui est envoyé (en étant par exemple sur le même réseau Wi-Fi), il ne pourra pas déchiffrer le message car il n'aura pas la clef. Ainsi, l'échange est privé.
Le protocole HTTPS permet aussi au navigateur de confirmer que l'utilisateur se connecte bien au serveur qu'il souhaite, et qu'aucun serveur malveillant ne se fasse passer pour le vrai serveur (voir attaque de l'homme du milieu). Pour cela, il utilise des certificats, sortes de signatures électroniques, donnés par des autorités de certifications. Chaque navigateur a sa liste d'autorité de certifications qu'il considère comme fiable, et à qui il fait confiance pour fournir des certificats.
De plus, contrairement au protocole HTTP, un individu entre le navigateur et le serveur ne pourra pas modifier la page à l'insu de l'utilisateur, puisque le navigateur s'en rendrait compte grâce à la signature qui ne correspondrait plus au message.
Limites du HTTPS[modifier | modifier le wikicode]
Si le HTTPS permet de rendre l'échange privé entre le serveur et le navigateur et de s'assurer qu'on est sur le bon serveur, il ne garantit pas que le serveur est sûr. Le serveur dispose de la clef pour décoder le message et a donc à sa disposition toutes les informations envoyées. Au lieu de s'attaquer à l'échange chiffré entre le serveur et le navigateur, il pourrait directement récupérer les informations sur le serveur s'il n'est lui-même pas bien protégé.
Comment voir si l'échange avec un site est sécurisé en HTTPS[modifier | modifier le wikicode]
Les navigateurs affichent tous un petit cadenas lorsqu'ils ont repéré un site en HTTPS et que leurs certificats (signatures électroniques) sont valides. C'est important de vérifier que le site a un petit cadenas avant d'entrer des données confidentielles, mais cela n'est pas suffisant : il faut aussi s'assurer, entre-autres, d'être sur un site de confiance.
|
|
