Article publié initalement dans le numéro d’Août de la revue La Rumeur du Loup.
Avez-vous déjà remarqué le petit cadenas vert localisé à gauche de la barre d’adresse de votre fureteur? Depuis que quelqu’un m’a dit que cela ressemble à une sacoche, je vois des sacs à commission vert partout. Bien que l’utilisation du sac réutilisable soit à privilégier, ce n’est pas le sujet de mon billet de ce mois-ci. Le cadenas, ou la sacoche, est un symbole qui nous indique que le site que nous visitons utilise le protocole HTTPS et qu’il est donc sécurisé.
L’internet est né grâce au protocole http (Hyper-Text Transfer Protocol). Ce protocole, inventé par Tim Berners-Lee en 1989, permet au fureteur de recevoir et d’envoyer des données. Pour simplifier, un serveur web est un ordinateur qui contient des fichiers de pages web. Il attend et il écoute. Quand vous voulez consultez une page web, vous lui envoyez une requête et celui-ci vous dit OK et vous renvoie la page. Lorsque vous cliquez sur un lien, la requête part vers la cible de ce lien et le transfert d’information se poursuit.
https et sécurité
L’internet s’est complexifiée et nous l’utilisons aujourd’hui pour des choses aussi sensibles que nos transactions bancaires, acheter en ligne ou trouver une date. Le protocole http envoie les informations « en clair », et donc lisible par n’importe qui. Cette situation n’est pas vraiment idéale car c’est un peu comme si vous deviez crier votre NIP au super marché parce que la machine Interac est loin. L’autre problème est que le protocole http ne contient aucune mesure pour nous assurer que quelqu’un n’a pas intercepté et modifié le contenu du message pendant le transport ou que nous n’avons pas été redirigé par une personne malveillante sur un faux site.
En 1994, Netscape invente un protocole qui sécurise le trafic http. Pour permettre de faire la différence, ils ont rajouté un s, pour sécure. Si au lieu de visiter http://banquedeponey.com vous visitez https://banquedeponey.com votre fureteur va vérifier si le site possède un certificat TLS (parfois appelé SSL, son prédécesseur) émis par une autorité reconnue, valide et à jour. Ce certificat vous assure que vous êtes bien sur le site banquedeponey.com. De plus, le protocole https permet de chiffrer vos données, les rendant impossible à décoder par une personne malveillante.
Le protocole https vous assure aussi que le contenu n’a pas été modifié encours de route, par votre fournisseur d’accès internet par exemple, qui pourrait vouloir y injecter de la publicité. Afin de se protéger d’entrer http par erreur, il existe des extensions, comme « https everywhere » pour Chrome et Firefox, qui forcent la redirection du trafic vers le https lorsqu’il est disponible pour un site.
https et vie privée
Imaginez que vousallez visiter la page histoiredeponey.com/histoire-embarrassante.html. Si quelqu’un voit passer votre trafic (comme votre fournisseur d’accès internet, la NSA ou le gars louche dans le café), ils peuvent voir quelles sont les pages précises que vous visitez. Presque tout cela se trouve chiffré avec l’utilisation du protocole https. De par la nature de l’internet, le domaine principal (histoiredeponey.com, dans ce cas-ci) peut être visible, mais les pages spécifiques ne le sont pas.
https partout
Https est donc plus privé, plus sécuritaire et aussi plus rapide. Jusqu’à récemment, il coûtait assez cher aux propriétaires de sites web de se procurer un certificat TLS et cela a freiné son adoption. Cette situation a changé avec la mise sur pied en 2016 de « Let’sEncrypt » un organisme à but non lucratif qui émet des certificat TLS gratuitement. Aujourd’hui la majorité du trafic sur internet est chiffré avec https et c’est une tendance, comme l’utilisation du sac réutilisable, qui ne fait que prendre de l’ampleur.
Bonne fin d’été et https-ez partout!