Article mis à jour le 7 juillet 2024
En 2022, le protocole HTTPS est présent sur la majorité des sites sur lesquels nous naviguons. Qu’est-ce que cela signifie ? Ce protocole est-il sécurisé ? Vous aurez toutes les réponses à vos questions dans cet article !
Définition du protocole HTTPS
Le HTTPS (Hypertext Transfer Protocol Secure) est un protocole permettant de sécuriser votre navigation sur le web. C’est une fusion entre le protocole HTTP et un certificat SSL ou TLS qui assure le chiffrement des données qui transitent. Le chiffrement permet de rendre illisibles les données, de les écrire sous une autre forme qui est indéchiffrable sans clé. Une clé de déchiffrement permet de décoder les données.
Le protocole HTTPS est donc une version évoluée et plus sécurisée que le protocole HTTP, qui servait à simplement échanger les informations de manière brute. Un site classifié en HTTPS prouve que les données qui y sont échangées sont confidentielles et intègres. Pour savoir si un site possède un protocole HTTPS en règle, il vous suffit de regarder à côté de l’URL. S’il est écrit « non sécurisé » avec un symbole « danger », le site est en HTTP.
A ses débuts, le protocole HTTPS coûtait cher à mettre en place. Il n’était présent que sur les sites sur lesquels des données très sensibles transitaient comme les banques ou les sites e-commerces. Aujourd’hui, il ne coûte presque rien et vous pouvez le trouver sur toutes sortes de sites, y compris des arnaques.
Historique
La prise de conscience des limites dans la sécurité du protocole HTTP s’est faite dans les années 2000. En effet, des failles évidentes ont été soulevées. La mise en place du protocole HTTPS s’est donc démocratisée, notamment grâce à Google qui a fortement incité ce changement. Dès 2014, Google a mis en avant sur son moteur de recherche les sites sécurisés. La baisse des prix des certificats mais aussi les révélations d’Edward Snowden sur la surveillance de masse ont contribué à cette évolution.
En novembre 2022, 95% des données présentes sur Google étaient chiffrées, contre 50% en janvier 2014. Aujourd’hui, les navigateurs précisent lorsqu’un site collecte des données sensibles sans avoir mis en place un protocole HTTPS. Cela incite les administrateurs à agir pour la sécurité des internautes. L’adoption du protocole HTTPS est aujourd’hui obligatoire pour les sites de vente et est largement préconisée pour tous les autres sites.
Quel est l’avantage du HTTPS en terme de sécurité ?
L’atout principal du protocole HTTPS est de chiffrer les données qui naviguent sur un site. Elles sont donc protégées si elles sont subtilisées par un tiers. Il ne pourra pas les déchiffrer sans avoir la clé spécifique pour le faire. Contourner le chiffrement sans la clé requise est une action très difficile. Vous pouvez donc rentrer des informations confidentielles avec beaucoup moins de risques que sur un site avec le protocole HTTP. La cybercriminalité ayant considérablement grimpé ces dernières années, la sécurité de vos données personnelles est un enjeu toujours plus important.
Quels sont les inconvénients et les limites du HTTPS en terme de sécurité ?
L’utilité et le bon fonctionnement du protocole HTTPS ne garantissent pas la protection totale de vos données. En effet, vos données sont malgré tout potentiellement collectées par les sites sur lesquels vous naviguez. Ces sites peuvent revendre ces données.
Des fausses boutiques en ligne ou des arnaques peuvent être dotées du protocole HTTPS. Aucun tiers ne pourra déchiffrer vos données mais le site lui-même le pourra. Dans ce cas, les données sont tout sauf sécurisées et sont collectées à des fins malveillantes.
Sachez qu’un site protégé en HTTPS peut être piraté au moyen d’un procédé identique aux tentatives d’hameçonnage (email malveillant cherchant à se faire passer pour un organisme de confiance). D’après Phishlabs (fournisseur de services de protection des données), 25% des tentatives d’hameçonnage se font sur des sites dotés d’un protocole HTTPS. Comme pour les spams, vérifiez cette fois l’URL (l’adresse ou le nom d’une page internet) du site avant de rentrer toute information personnelle. En effet, dans un tel cas il va y avoir un petit changement dans l’URL du site : par exemple, societe-generale.com au lieu de societegenerale.com.
Restez vigilant
Un site n’est pas automatiquement fiable parce qu’il est sous protocole HTTPS. Ce protocole chiffre seulement les données qui seront échangées. Retenez qu’une connexion sécurisée ne signifie pas la même chose qu’un site sécurisé.
Il y a un risque de laisser-aller de la part des visiteurs des sites possédant le protocole HTTPS. Ne partagez pas d’informations inutiles et ne créez pas de mot de passe simple sous prétexte que le site est « sécurisé ». Les règles et conseils de sécurité sont valables y compris sur un site avec le protocole HTTPS mis en place. L’installation d’un antivirus et d’un VPN est une bonne action à entreprendre pour diminuer les risques, notamment en termes de piratage.
Le protocole HTTPS est donc un outil n’assurant pas totalement la protection de vos données. Vous devez user de votre bon sens avant de communiquer vos données personnelles. Le protocole reste tout de même un gage de sécurité très utile pour naviguer sur le web.
Partager la publication "Le protocole HTTPS est-il sécurisé ?"
Merci Frédéric pour ces précisions qui répondent à une autre problématique : les liens externes contenus sur d’autres sites qui pointent vers mon site HTTP.
En ce qui concerne ma problématique (les liens internes à mon site qui pointent vers des liens externes restés en HTTP), vous avez complètement répondu suite à la remarque ci-dessous de Mme CORNE.
Encore bravo pour votre clarté de rédaction et… honnêteté professionnelle.
Merci beaucoup et avec plaisir.
Bonjour,
Le passage en HTTPS ne résout pas tous les problèmes.
J’ai un site perso scientifique reconnu depuis 20 ans. Il contient un grand nombre de liens externes (images, vidéos, fichiers, URLs…) dont certains sont en HTTP et ne seront pas migrés par leurs propriétaires. Sauf erreur de ma part, mon site restera donc toujours étiqueté « non sécurisé » par Google, même si je passe mon site en HTTPS.
Bonjour,
Je suis d’accord avec vous : en cas de migration les webmasters des sites faisant un lien vers votre site ne vont pas changer le lien pour le faire pointer vers vos nouvelles URLs en HTTPS.
En cas de migration du HTTP vers le HTTPS, on fait généralement une redirection 301 de chaque page de l’ancien site vers le nouveau. Donc les backlinks des autres sites vont pointer indirectement vers vos pages en HTTPS car ils passent par les pages en HTTP. Vous perdez alors un peu de la puissance de vos backlinks.
Donc le petit plus en termes de référencement naturel que donne le HTTPS semble être perdu du fait que les backlinks poussent maintenant indirectement et donc un peu moins.
Cependant la puissance d’un backlink a tendance à s’éroder avec le temps. En passant au HTTPS, tous les nouveaux backlinks que vous allez acquérir vont pointer vers les pages en HTTPS et ces backlinks récents auront plus de poids que les vieux backlinks.
Selon moi, ce n’est pas parce que vos backlinks pointent vers vos pages en HTTP que Google va étiqueter votre site comme non sécurisé. En effet, Google n’étiquette pas un site dans sa globalité, il étiquette page par page. Google détermine si une page est sécurisée en vérifiant que le protocole utilisé est le HTTPS.
Petite précision. Cela ne concerne pas les ressources référencées (« href=adresse »). Cela concerne uniquement les ressources téléchargées (« src=adresse », « action=adresse », etc.).
Oui, quand on fait une migration du HTTP vers le HTTPS, il faut que toutes les images soient chargées en HTTPS sinon le navigateur de l’internaute indiquera que le chargement des images n’est pas sécurisé. Pour cela il faudra changer tous les liens qui pointent vers elle et s’assurer qu’il soit en HTTPS (« src=https//… »).
Vous avez raison c’est la même chose avec les fichiers appelés dans les formulaires, il doivent être en HTTPS ( (« action=https//… »).
En ce qui concerne les liens externes (« href=adresse »), effectivement ils ne sont pas concernés car le HTTP ou le HTTPS dépendent du site vers lesquels ils pointent. Par contre pour les liens internes, il faut tous les changer et les mettre en HTTPS.
Bravo pour votre site qui a le mérite d’être clair et honnête.
Une phrase m’a vraiment éclairée : « connexion sécurisée » ne veut pas dire « site sécurisé ».
Merci beaucoup pour votre commentaire sympathique. Je suis ravi que cet article vous ait aidé.
J’ai un site perso depuis 20 ans, de type vitrine ne demandant aucune saisie de données personnelles. Hormis la perte (mineure) du référencement Google, je ne vois que des inconvénients (dont beaucoup de travail) à passer en HTTPS.
Par ailleurs, je constate que les experts du net ne sont pas unanimes sur le sujet du passage en HTTPS. Certains sont en effet plus nuancés et signalent que « pour un site Internet sans gestion de données personnelles ou fonctionnalités sensibles, le HTTPs est contre-productif. »
Effectivement une migration du HTTP vers le HTTPS est un chantier qui peut demander du travail. Si votre site n’a pas de formulaires demandant des données personnelles ou de pages de paiement, la nécessité du https est moins forte. Cependant le HTTPS présentent un certain nombre d’avantages : il va mettre plus en confiance les internautes qui visitent votre site et il améliore le référencement naturel même si ce n’est que légèrement. Il améliore également la sécurité : sur les réseaux wifi publics des hôtels, des aéroports, etc., un site en HTTP est à la merci des hackers qui peuvent par exemple ajouter des publicités aux pages de votre site.
Merci Frédéric,
Mais que vont faire les millions de webmasters amateurs qui gèrent des sites perso ou des blogs à données non sensibles ? Ils n’ont ni le temps ni la compétence pour passer leur site en HTTPS, même si la sécurité HTTP est non optimale.
Quelle solution simple existe pour cette population d’internautes ?
Doivent-ils abandonner à terme leur blog ?
Avec plaisir. En effet, de très nombreux propriétaires de sites ou de blogs sans données sensibles n’ont pas le temps ou les compétences de faire la migration de leur site de HTTP en HTTPS. C’est la raison pour laquelle il existe encore de nombreux sites en HTTP que l’on peut trouver quand on fait une recherche sur Google.
Google est au courant cette situation, c’est la raison pour laquelle il ne donne qu’un petit plus en termes de référencement naturel au site en HTTPS. Tous les nouveaux sites sont faits directement en HTTPS et petit à petit avec le temps, il y aura de moins en moins de sites en HTTP.
Le passage d’un site en HTTPS est plus ou moins simple ou complexe selon chaque site et chaque type de site. Il n’y a pas de règles générales. Passer un site en HTTPS n’est pas forcément compliqué quand on a un minimum de compétences. Il existe de nombreux articles expliquant en détail comment faire. Il faut s’y connaître un peu et avoir un peu de temps devant soi surtout si l’on a un gros site.
Les blogueurs ayant un site en HTTP n’ont souvent ni l’envie ni le temps de faire un telle migration. On les comprend, ce n’est pas leur métier. Ce qui les intéresse, c’est leur passion et leur blog mais pas l’aspect technique de leur site. Si leur blog n’a pas de réels enjeux financiers, s’il n’est pas une source majeure de revenu, si c’est juste une passion à laquelle ils se consacrent sur leur temps libre, alors il n’y a pas de réelle nécessité ou urgence à passer en HTTPS (à condition bien sûr que leur site ne contienne pas de données sensibles).
Merci Frédéric pour cette réponse détaillée qui va rassurer les blogueurs du net.
A noter que vous êtes un des rares experts du net à répondre ainsi de façon nuancée et pertinente sur le passage d’un site en HTTPS. La quasi-totalité des experts ignorent le cas des blogueurs à site sans données sensibles ou bien poussent au passage obligé en HTTPS.
Je n’hésiterais pas à parler de votre site qui a le mérite d’être sérieux, honnête et à l’écoute des demandeurs.
Merci beaucoup à vous pour votre retour. Cela me fait plaisir de savoir que je vous ai aidé.