Lorsque vous naviguez sur un site dont l’URL commence par « https », on dit que vous naviguez sur une URL chiffrée. Qu’est-ce que cela signifie concrètement ?
Concrètement, cela signifie qu’avant d’envoyer les données au serveur (au site), celles-ci sont chiffrées sur votre ordinateur (rendues illisibles pour n’importe qui sauf pour le navigateur et le serveur) puis transférées au serveur qui pourra déchiffrer les données et donc y avoir un accès total.
On comprend bien ici que vous (le client) et le site (le serveur) avez accès à l’ensemble des données. Cela signifie que si vous fournissez des données sensibles à un site, qu’il soit ou non un site d’hameçonnage (phishing en anglais), il sera en mesure de les récupérer (même les sites d’hameçonnage peuvent disposer d’HTTPS).
Le chiffrement ne protège que la transmission des données entre vous et le serveur (dans les deux sens). C’est-à-dire que sans cette protection, si vous transmettez, par exemple, un mot de passe, quelqu’un peut intercepter la requête (typiquement, la validation d’un formulaire), pour récupérer l’information. Alors qu’avec cette protection, puisque les données ne peuvent être lues que par vous et le serveur, même si quelqu’un intercepte la requête, il ne pourra pas la déchiffrer, il sera obligé de la décrypter, c’est-à-dire de la cracker, ce qui peut être, la plupart du temps, impossible sans y passer des décénnies.
Cela fonctionne aussi bien dans l’autre sens : lorsqu’un site vous transmet la page, quelqu’un peut passer par là et modifier la page pour, par exemple, vous indiquer de faire une (fausse) mise à jour d’Adobe Flash Player, vous indiquer que la page à un problème de sécurité, etc. HTTPS permet là aussi d’empêcher quelqu’un de modifier la page.
HTTPS protège donc les visiteurs de votre site, car personne ne peut récupérer (lisiblement) ce que le site leur renvoi ou ce qu’ils envoient au site.
Mais, lorsque vous naviguez sur un site HTTPS, cela ne signifie pas forcément qu’il s’agit d’un site qui a de bonnes intentions, car n’importe qui peut proposer un accès à son site via HTTPS.
Image d’illustration : Christoph Meinersmann
– Par Yannick A., licence CC BY-SA 4.0.
