L’internet grand public, apparu il y a 20 ans en 1994, s’est construit en même temps que la technologie. La sécurité sur Internet a elle aussi évoluée, au fur et à mesure des besoins grandissants, avec la démocratisation du e-commerce et des plateformes des jeux en ligne. Si l’on prend une liste de site internet ecommerce (Amazon.ch, Ricardo.ch), ou de jeux en ligne (Casinoenligne.ch), on constate que ces sites internet utilisent et mettent en avant des protocoles et certificats sécurisés TLS/SSL
Que sont SSL et TLS ?
Le protocole SSL, pour Secure Socket Layer (couche sécurisée de connexion), ou TSL, pour Transport Layer Security (couche de transport sécurisée) sont deux protocoles qui sécurisent les échanges de données entre votre navigateur internet et le serveur du site internet, afin d’assurer:
- le chiffrement des données, prévenant quiconque de venir les lire en chemin
- l’intégrité des données, prévenant quiconque de les modifier sur leur chemin
- dans certains cas, la non répudiation des données, prouvant que vous en êtes l’auteur. Il s’agit dans ce cas de certifier l’identité de l’émetteur avec un mécanisme plus solide qu’un simple mot de passe.SSL est plus exactement l’ancêtre de TLS, mais la diffusion du mot fait que l’on parle aujourd’hui et par abus de langage de certificats SSL alors qu’il s’agit bien souvent de certificats TLS.
Comment est-ce que cela marche ?
- Le système repose sur un système de paire de clef et un algorithme mathématique. La clef publique est accessible à tout le monde, et permet par exemple de fermer un coffre avec un message à l’intérieur. La clef privée n’est connue que du propriétaire du coffre et lui seul peut lire à l’intérieur, un peu comme une boite aux lettres de la poste.
- Le site internet sécurisé créer avec ce mécanisme un certificat, c’est l’équivalent d’un passeport, qu’il va présenter à chaque internaute.
- Un tiers de confiance : par exemple un gouvernement, ou une entreprise suffisamment réputée, comme par exemple Symantec, signe le certificat pour prouver l’identité de l’utilisateur
- Chaque internaute, via son navigateur internet, va interroger le tiers de confiance lorsqu’il se connecte au site internet sécurisé pour s’assurer qu’il est bien en train de s’adresser au serveur qu’il s’imagine être.
- Si l’internaute est convaincu, il peut initier le dialogue crypté avec le serveur sécurisé.
Comment le reconnaître sur un site internet ?
Outre le fameux « cadenas vert » qui peut virer à l’orange lorsque le site n’est pas signé par un tiers de confiance, un autre indice de son utilisation avant même de se connecter est l’adresse du site internet qui ne commence alors plus par http:// mais par https://
Quelles sont les applications ?
La première application concerne les paiements en ligne. En sécurisant le tunnel de transaction, personne n’est capable de lire ni les numéros de votre carte bancaire ni le montant de la transaction.
Autre exemple d’application, s’assurer de l’absence de fraudeur, par exemple pour les sites de jeu en ligne, il est indispensable pour l’éditeur du site internet que chaque joueur soit un joueur humain authentique, et non un robot informatique qui pirate le système, ne serait-ce que pour assurer l’équité entre les différents joueurs. Le protocole SSL complexifie le travail des pirates.
Au delà de la navigation, les sites internet peuvent également utiliser ces protocoles de clefs privées/clefs publiques pour chiffrer les données dans leur base de données.
Le téléchargement de logiciel doit dans la mesure du possible s’effectuer uniquement sur des sites internet sécurisés par HTTPS. Sans vous le garantir, le chiffrement et le téléchargement sur un site réputé et sécurisé via HTTPS permet d’éviter de télécharger un nouveau virus alors que l’on pensait télécharger le remède à un autre…
Les conséquences de l’utilisation de HTTPS
Les transactions sont plus sûres, et l’absence de cadenas vert peut et doit vous alerter sur un danger potentiel : par exemple un virus sur votre ordinateur
Les sites internet dotés de HTTPS bénéficient d’un coup de pouce de la part de Google en terme de référencement. Le passage à HTTPS n’est pas forcément coûteux, n’hésitez pas à nous solliciter pour un devis gratuit.
Pourquoi je vois sans arrêt un message d’erreur de sécurité
Si vous voyez un message tel que « Il existe un problème avec le certificat de sécurité de ce site Web … » sur de nombreux sites internet, c’est souvent le signe:
- soit d’un piratage
- soit d’une date mal configurée sur votre ordinateur. Sur un ordinateur fixe, c’est souvent la pile située sur la carte mère qui ne parvient plus à enregistrer la date. La correction de l’heure permet dans ce cas la résolution instantanée du problème.