Comme bien souvent, les histoires commencent avec une jolie utopie… C’est ainsi qu’à ses débuts, le World Wide Web, littéralement « la toile » et aujourd’hui plus simplement le Web, a été développé de façon ouverte. Autrement dit, le trafic des données circulait en clair. C’était le protocole HTTP, pour « HyperText Transfer Protocol ». Il permettait la communication entre un serveur web (site web, par exemple) et un navigateur sans chiffrement. Le chiffrement pouvant s’apparenter à une forme de cryptage, de codage de sécurisation. Pour utiliser une métaphore, Internet avec le protocole HTTP, c’est un peu comme le Petit Chaperon Rouge qui traverse la forêt pour aller retrouver Mère-Grand avec comme seule protection, son petit panier en osier.
Très rapidement, évidemment, cette façon de faire a montré ses limites. Les Grands Méchants Loups du Web ont attaqué sans peine. C’était bien trop facile !
Et c’est là que commence l’histoire du HTTPS…
HTTPS : qu’est-ce que c’est ?
Le HTTPS (pour « HyperText Transfer Protocol Secure ») a été élaboré pour combler les lacunes en termes de sécurité du HTTP.
Concrètement, il s’agit du même protocole auquel on a rajouté un bouclier, le TLS (pour « Transport Layer Security »). Imaginez le Petit Chaperon Rouge qui se balade à présent avec une jolie cape non plus rouge, mais d’invisibilité !
Le TLS permet le chiffrement des données. Autrement dit, quiconque s’immiscerait dans la communication entre un site web et un navigateur ne comprendrait strictement rien aux informations échangées, à moins d’avoir le code pour déchiffrer les données.
Les certificats HTTPS : TLS et SSL
Il est très probable que TLS ne vous dise rien, mais SSL, vous l’avez peut-être déjà entendu.
On vous explique :
Le protocole HTTPS passe par l’obtention d’un certificat. Le certificat SSL (pour « Secure Socket Layer ») a été introduit en 1995. Bien sûr, de lourdes failles ont conduit à plusieurs versions du SSL, jusqu’à ce que le certificat TLS ne le remplace en 1999 et que des versions améliorées de ce TLS ne se succèdent jusqu’à aujourd’hui.
Seulement voilà : l’abréviation SSL est plus connue que TLS. De nombreux fournisseurs utilisent donc encore ce terme, voire le double terme SSL/TLS, bien qu’il s’agisse de la version actuelle de TLS, la plus performante pour la sécurisation des transferts de données.
Passer au HTTPS : à quoi ça sert concrètement ?
Passer en HTTPS sécurise la transmission des données, ok. Mais pour aller un peu plus loin dans le concret, voici les bonnes raisons de basculer votre site web au format HTTPS :
Sécuriser les données
Sur le web, il existe différentes formes d’attaques. Le protocole HTTPS permet de se prémunir de celle dite de « l’homme du milieu », c’est-à-dire quelqu’un de mal intentionné qui intercepte une communication entre 2 utilisateurs numériques (vous et le site de votre banque en ligne, par exemple) pour collecter des données personnelles.
À ce jour, le HTTPS est la meilleure solution de protection contre ces attaques.
Être raccord avec le RGPD
La protection des données est au centre des préoccupations digitales actuelles. Il n’y a qu’à voir le RGPD, le « Règlement Général sur la Protection des Données ».
Aujourd’hui, vous êtes obligé(e) de mettre en place des dispositions qui garantissent la sécurité et la confidentialité des données que vous collectez et que vous traitez. Remplir ces conditions et ne pas sécuriser votre site en HTTPS serait tout bonnement un non-sens.
Rassurer l’internaute
Jamais les internautes n’ont été aussi nombreux, mais jamais ils n’ont été aussi méfiants et soucieux de leur sécurité digitale.
Lorsque vous naviguez vous-même, que vous arrivez sur un site non sécurisé et qu’une alerte s’affiche « ATTENTION !!! CE SITE N’EST PAS SÉCURISÉ ! », avouez que vous hésitez grandement à y rester…
Faire plaisir à Google !
Google l’a annoncé haut et fort : le web sera un territoire sûr ! à ce titre, le géant d’Internet a affirmé qu’il favoriserait les sites sécurisés en HTTPS au détriment des autres, en HTTP.
Dans les faits, rien ne prouve réellement que passer en HTTPS améliore le SEO d’un site web. Mais même si les résultats en termes de référencement naturel ne sont pas majeurs, cela ne veut pas dire qu’il n’y a pas de bénéfices indirects. En effet, même si Google ne pénalise pas vraiment les sites non sécurisés, il pénalise en revanche ceux qui présentent un fort taux de rebond. Et que font la plupart des internautes quand ils arrivent sur un site non sécurisé ? Ils filent ! Et ça Google le voit et l’analyse très vite.
Relativisons tout de même le HTTPS…
Il est important d’écarter une confusion répandue : le protocole HTTPS permet de sécuriser la communication entre un site web et un navigateur. Mais en aucun cas il ne protège le site web en question (ni même l’internaute) de virus ou d’attaques malveillantes. En tant que propriétaire de site internet, il donc primordial de continuer à veiller à la sécurité de votre bien et outil de travail grâce aux sauvegardes et à la maintenance.
Enfin, et là nous ne nous adressons plus au pro mais simplement à l’internaute : restez vigilant. Car un site malveillant peut tout à fait être sécurisé en HTTPS… C’est malheureux, mais comme le dit si bien le dicton : « l’habit ne fait pas le moine » !