Sécurité et confidentialité : https (Module 7.1)

Données et services numériques dans le nuage et ailleurs
Sécurité et confidentialité : https

● Protocole http
«HyperText Transfert Protocol» est un protocole de communication, entre un client et un serveur, permettant le transfert d’informations sous forme de pages et de liens. C’est le pilier du Web.
Côté serveur, ce protocole est utilisé par des logiciels comme Apache ou Windows Internet serveur. Côté client, il est utilisé par les navigateurs Web.

● Protocole https
«HyperText Transfert Protocol Secure» est une variante de http qui permet de sécuriser les échanges de deux manières :
- vérification de l’identité du serveur
- cryptage des échanges

● Certificat d’authentification
Ce site ressemble à celui de ma banque, il semble avoir la même adresse que le site de ma banque, mais est-ce bien le site de ma banque ? Une simple vérification visuelle ne suffit pas comme précaution avant de taper son nom d’utilisateur (login) et son mot de passe.
Même quand l'adresse affichée dans la barre d’url est la bonne, il peut y avoir tromperie : on parle alors d’usurpation d’url.
Pour certifier l’identité d’un serveur, il faut passer par une autorité de certification, qui jouera le rôle de tiers de confiance.
En HTTPS, votre navigateur interroge le serveur sur son identité ; le serveur affiche un certificat crypté, qui indique l’autorité qui l’a délivré. Votre navigateur interroge ensuite cette autorité qui confirme (ou non) l’identité du serveur.
Lorsque tout se passe bien, ces échanges sont transparents et la communication se poursuit. Si l’identité du serveur n’est pas confirmée, votre navigateur vous alerte.
Ce message est parfois sans danger : il peut signifier que le serveur a mis en place un cryptage des échanges, mais n’a pas acheté de certificat. C’est le cas de certains sites consultables dans des contextes restreints et sans gravité.
Mais si vous voyez cette alerte en allant sur le site de votre banque, il y a une seule attitude à adopter : fuyez ! Il s’agit probablement d’une tentative de hameçonnage. Vous allez dévoiler votre identifiant et votre mot de passe à quelqu’un qui pourra ensuite usurper votre identité.

● Le cryptage
Une fois que vous êtes certain de l’identité du serveur auquel vous êtes connecté, vous allez échanger des informations confidentielles, qui vont transiter par des proxy, des routeurs et autres éléments qui acheminent les données dans le vaste monde de l’Internet.
Cela fait beaucoup d’endroits où ces informations peuvent être vues par des tiers. Il est donc impératif de les crypter, pour que tous ces dispositifs voient circuler des paquets de données sans être capables de les déchiffrer.
Pour cela, votre navigateur et le serveur définiront des clés de chiffrement qu’ils utiliseront pour leurs échanges, lors de cette session.

● Le cas du wifi
Il existe plusieurs types de connexion wifi. Certaines sont sécurisées de manière forte (type WPA), d’autres présentent une sécurisation faible (type WEP à éviter). D’autres encore ne proposent aucune sécurité ; on parle alors de wifi ouvert. Dans ce cas les informations circulent en clair, et sont accessibles à toute machine connectée au même réseau.
Cela pose en particulier de gros problèmes lors de la consultation de messagerie : les mots de passent peuvent circuler en clair.
Si votre messagerie n’utilise pas un mode sécurisé, il faut éviter de la consulter avec un client de messagerie (Outlook, Thunderbird, Mail …) sur un wifi ouvert. Préférez dans ce cas une consultation par webmail, en vérifiant que le protocole utilisé est bien le HTTPS.

● En conclusion
Sur Internet, le protocole HTTP assure la communication de données entre navigateur et serveur.
Pour protéger la confidentialité de ces données, le protocole HTTPS met en oeuvre un certificat d'authentification puis un cryptage.