PrivacyTools.io

Comment fonctionne HTTPS / le chiffrement du navigateur ?

Comment fonctionne HTTPS / le chiffrement du navigateur ?

Souvent, quand vous vous connectez à un site web, vous remarquez que l’URL n’affiche que le nom du site. Mais à mesure que nous avançons vers un monde plus numérique, il est fortement recommandé que les sites utilisent des certificats SSL et Transport Layer Security pour chiffrer votre connexion vers eux. Cela s’affiche dans votre navigateur sous la forme https://, le S étant l’élément important à repérer. Désormais, des navigateurs comme Safari sur votre iPhone/iPad/iPod et Firefox sur votre ordinateur de bureau ou portable vous permettent de déterminer facilement quels sites sont sécurisés et lesquels ne le sont pas, en affichant une icône de cadenas à côté du site. Voyez cet exemple lié du site de PayPal, qui montre non seulement l’icône de cadenas, mais aussi la vérification d’identité appelée certificat à validation étendue (Extended-Validation) (les mots en vert à côté du cadenas), pour apporter un facteur de confiance garantissant que vous vous connectez bien au vrai site de PayPal.

En résumé, quand vous vous connectez à un site web doté d’un certificat SSL, cela signifie que tout ce que vous faites en lien avec ce site sera chiffré depuis votre navigateur jusqu’au serveur du site, puis de retour vers votre navigateur. Cela inclut les identifiants de connexion, les mots de passe, les informations financières et tous les autres détails personnels. Même sur mon site cryptoseb.pw, j’ai un certificat SSL qui utilise TLS pour chiffrer tout le trafic. Je n’en ai absolument pas besoin, mais c’est une bonne pratique d’en utiliser un systématiquement. Le chiffrement n’est jamais une mauvaise chose sur internet. Mais attention : les autorités de certification (les grandes entreprises qui délivrent les certificats SSL de confiance aux utilisateurs) peuvent être piratées, et l’ont déjà été par le passé, ce qui compromettrait la sécurité de chaque certificat qu’elles ont émis. HTTPS ne nous fournit pas seulement le chiffrement des données en transit. Il nous donne aussi un moyen d’authentifier les données. Avec un site qui transmet toutes les informations en clair, vous ne pouvez pas être certain que le site que vous consultez est bien le vrai. Si votre connexion était victime d’une attaque de l’homme du milieu (man-in-the-middle), les données pourraient être compromises à tout moment. Ce n’est pas une tâche facile quand un site fait un usage correct de SSL/TLS.

Cependant, le chiffrement vers et depuis un site n’est pas toujours à la hauteur des standards actuels et peut être mal configuré, utiliser des algorithmes ou des suites de chiffrement faibles, ou présenter des problèmes de confiance avec le certificat. La meilleure façon de savoir si le site auquel vous vous connectez affiche de bonnes statistiques sur son certificat est de vous rendre sur https://www.ssllabs.com/ssltest/ et de saisir l’URL du site dans le champ d’analyse. J’ai configuré cryptoseb.pw pour obtenir un A+ avec des 100 partout dans la liste. C’est franchement excessif et cela fait perdre la compatibilité avec certains navigateurs plus anciens, mais cela signifie le plus haut niveau de sécurité. Voici quelques indications sur ce qu’il faut rechercher pour obtenir une force et une confiance de chiffrement maximales :

  • Le certificat est DE CONFIANCE
  • La clé fait plus de 2048 bits (RSA)
  • TLS1.2 proposé comme protocole, mais PAS SSL
  • Les chiffrements RC4/MD5 ne sont PAS autorisés côté serveur
  • Secure Renegotiation activée
  • HSTS Strict Transport Security activé
  • Public Key Pinning (HPKP) activé (pas absolument nécessaire cela dit, juste un bonus)
  • OCSP Stapling activé
  • Chiffrements Forward Secrecy privilégiés côté serveur

Suivez les étapes ci-dessous pour activer ces fonctionnalités natives HTTPS uniquement dans Firefox, Chrome, Edge et Safari, et célébrez avec nous le fait que HTTPS est vraiment partout pour les utilisateurs : https://www.eff.org/deeplinks/2021/09/https-actually-everywhere