Cela n’a pas dû vous échapper. Depuis quelques mois, les navigateurs web Chrome et Firefox indiquent parfois les mentions « Non sécurisé » ou « Cette connexion n’est pas sécurisée » sur certains site Internet. Ces mentions sont notamment visibles dans les champs de formulaire de connexion (identifiant / mot de passe) ou encore à côté de la barre d’adresse dans Google Chrome. Et ces signaux vont s’intensifier dans les semaines à venir lors des prochaines mises à jour de Chrome.
Que cela veut-il dire ? A quels types de sites sont destinées ces notifications ? Et quels sont les enjeux pour les utilisateurs, les propriétaires et les créateurs de sites web ?
Qu’est-ce qu’un site non sécurisé ?
Notre objectif est de vous expliquer les choses simplement, mais on ne pourra malheureusement pas occulter certaines notions techniques, rébarbatives pour certains ! Amis technophobes, accrochez-vous, vous allez voir que ce n’est pas si compliqué que ça, promis 😉
Transmission des informations
Tout d’abord je vais vous demander de regarder la barre d’adresse en haut de votre navigateur. Comme vous le voyez, l’adresse de notre site Internet est :
https://www.dreampix.fr
Pour conceptualiser la chose, l’adresse d’un site Internet traditionnel prend la forme suivante :
http[s]://[www.]monadresse.extensiondedomaine
Lors de vos surfs sur Internet, observez votre barre d’adresse. Vous trouverez des sites commençant par « www », d’autres en « https:// ». Les adresses démarrant par « www » sont implicitement des sites en « http:// ». Ce sont ces fameuses adresses en « http:// » à qui vos navigateurs modernes font désormais la chasse.
Vous allez me dire : quelle est la différence ? Pour l’utilisateur lambda, cela semble en effet ne pas changer grand chose en terme de navigation.
Pour briller dans vos soirées mondaines, sachez que HTTP est l’abréviation d’ « HyperText Transfer Protocol » (littéralement « protocole de transfert hypertexte »). Le S de HTTPS ajoute « Secure » (« Hypertext Transfer Protocol Secure », soit « protocole de transfert hypertexte sécurisé »). En effet, le gros défaut du protocole HTTP, c’est que toutes vos données transitent en clair, notamment sur des réseaux non cryptés comme le réseau Wi-Fi.
Imaginons que le site de votre banque soit en « http:// ». Vous vous connectez en saisissant votre identifiant et votre mot de passe. La connexion n’étant pas sécurisée, un pirate informatique espionnant votre réseau peut tout à fait récupérer directement ces informations… Vous saisissez le problème ?
HTTPS ajoute une couche de chiffrement, c’est-à-dire que les données qui vont transiter seront cryptées. C’est donc une excellente chose pour la sécurité de l’internaute.
Authentification du site web
Mais attention, tout site marqué « HTTPS » n’est pas forcément fiable à 100% pour autant ! Voici un exemple de site HTTPS mais qui a un petit problème de certificat (Firefox) :
Un certificat doit être généré périodiquement (période définie selon le type de certificat choisi). Il permet ainsi à l’utilisateur de vérifier que le site sur lequel il souhaite se rendre est le bon… En effet, un pirate peut tout à fait vous acheminer vers un site malveillant, dans lequel vous allez saisir des informations sensibles ! Un certificat d’authentification est émis par une autorité réputée comme fiable. Il permet donc de vérifier l’identité du site.
Il existe différents types de certificats. De la simple vérification que l’adresse saisie est reliée au bon site (un cadenas vert apparaît à côté de la barre d’adresse), jusqu’à la vérification de l’entreprise elle-même (dans ce cas, le nom de la société vérifiée et validée est ajouté entre le cadenas et l’adresse).
En résumé, HTTPS permet de crypter les informations sensibles transmises via un formulaire et d’authentifier un site.
Dans quels cas créer un site ou migrer en HTTPS ?
Dans tous les cas, mon Capitaine ! Pour les sites de banques, de vente en ligne ou tout autre comprenant des données sensibles, cela tombe sous le sens. Les internautes vont d’ailleurs de moins en moins sur les sites e-commerce non sécurisés. Après, on ne vous dira pas le contraire, sécuriser un petit site vitrine peut sembler sans grand intérêt.
Mais Google ne laisse pas beaucoup le choix aux propriétaires de sites web. Dans le sens où très bientôt, la mention « non sécurisée » apparaîtra en rouge dans votre navigateur… Rien d’étonnant, la sécurité sur Internet est l’un des fers de lance de Google (« Project Zero » en 2014).
Négliger la sécurisation de son site web ne pourra avoir qu’un impact négatif. Le site Mozcast indique par ailleurs que 61,5% des sites dans les pages de résultats de Google sont en HTTPS (pour 50% en février et 56% en juillet), ce qui signifie que la transition est vraiment en marche depuis ces derniers mois.
A l’heure actuelle et plus encore par la suite, créer un site Internet non sécurisé pour sa société est un mauvais choix stratégique. Car là c’est bien de l’image de votre société dont on parle. Si vous leur proposez un site non sécurisé, vous perdrez la confiance de vos utilisateurs et / ou de vos clients.
Comment le mettre en place ?
Pour changer le protocole d’accès à votre site de HTTP à HTTPS, il vous faut ce que l’on nomme communément un certificat SSL (« Secure Sockets Layer ») ou TLS (« Transport Layer Security »). SSL et TLS sont des protocoles de cryptographie, ce sont eux qui authentifient et chiffrent vos données.
Il en existe donc de plusieurs types et à plusieurs prix. Mais rassurez-vous, pour les petits sites vitrines et blogs, il existe désormais une solution gratuite : cette solution, c’est la nouvelle autorité de certification Let’s Encrypt, sponsorisée par des géants comme Mozilla, Facebook ou encore OVH. Totalement suffisant pour les petits sites, ce certificat doit simplement être renouvelé tous les 3 mois (chez certains hébergeurs comme le nôtre, ils s’en occupent, donc vous n’avez même pas à vous en soucier). Vous n’aurez donc que l’installation à payer si vous faites appel à un prestataire.
Attention toutefois : si vous disposez d’un site e-commerce, vous devez absolument vous diriger vers un certificat payant. Pourquoi ? Parce qu’un certificat payant offre une garantie de remboursement à l’utilisateur s’il est lésé et perd de l’argent sur un site authentifié à tort mais frauduleux. C’est donc une sécurité pour lui. L’autorité Let’s Encrypt n’offre quant à elle aucune garantie.
Nous vous invitons donc à vous rapprocher de votre hébergeur ou prestataire afin de connaître le processus d’installation et / ou les offres disponibles. Sachez que pour les petits sites, ce n’est pas très long et compliqué à mettre en place. Il suffit juste de s’y connaître un peu dans les manipulations à opérer, notamment dans le code.
Pensez à la sécurité de vos utilisateurs / clients, elle n’a pas de prix et ils sauront vous le rendre !
Vous avez besoin d’un site Internet ? N’hésitez pas à nous contacter !