HTTPS (SSL / TLS)

Derrière ces abréviations se cache un protocole de communication, c'est-à-dire un langage standardisé qui garantit par chiffrement la sécurité des échanges entre votre terminal et le serveur hébergeant le site sécurisé auquel vous vous connectez.

 

Que signifient les abréviations HTTPS et SSL ou TLS ?

HTTPS signifie littéralement en anglais, HyperText Tranfer Protocol Secured. Cette expression peut être traduite en français par protocole de transfert hypertexte sécurisé.

L'abréviation SSL signifie, quant à elle, Secure Socket Layer.

À sa 3e génération, le SSL 3.0 a été repris, étendu, standardisé et rebaptisé par l'IETF (Internet Engineering Task Force) en TLS 1.0 signifiant Transport Layer Security version 1.

En 2014, suite à la découverte d'une faille de sécurité, le protocole SSL 3.0 a été banni des serveurs laissant seul subsiter le protocole TLS.

 

Principe de fonctionnement

Sur le réseau World Wide Web, plus communément appelé Internet, chaque machine (ordinateur, tablette, mobile, serveur) dispose d'un rôle bien établi. Une machine est soit un Client, soit un Serveur.

Le Client émet les requêtes, c'est-à-dire qu'il formule et expédie des demandes pour accéder aux pages X ou Y. Nous parlons dans ce cas de terminal actif.

Le Serveur se contente quant à lui de répondre aux requêtes transmises par le Client. Nous parlons alors de terminal passif.

Pour communiquer entre eux, Client et Serveur emploient un langage standardisé que l'on nomme en informatique un protocole.

Les navigateurs Web (Internet Explorer(1), Firefox(2), Safari(3), Chrome(4), Opera(5), etc.) exploitent le protocole HTTP 1.1 qui permet d'émettre et de recevoir des messages ou des requêtes avec un inconvénient majeur : une transmission en clair des données, c'est-à-dire d'une lisibilité totale pour qui intercepte le message ou la requête.

Pour éliminer ce problème essentiel, les protocoles SSL ou TLS reposant sur l'emploi d'un certificat de sécurité ont été développés donnant ainsi naissance au mode sécurisé HTTPS.

Ce mode de connexion est symbolisé par une adresse en https:// et l'apparition d'un petit cadenas dans le navigateur aux côtés de la barre d'adresse et/ou situé en bas à droite dans la barre d'état.

Outre le fait de permettre à l'internaute de vérifier l'authenticité du site qu'il visite par la consultation de son certificat de sécurité en cliquant sur le petit cadenas, ce protocole a pour fonction d'identifier le navigateur de l'internaute et de chiffrer la communication, c'est-à-dire de crypter les messages et les requêtes échangés entre le navigateur du poste Client et le Serveur.

Ce système d'authentification et de chiffrement s'opère en 8 étapes :

1. Le Client, c'est-à-dire le terminal de l'internaute, accède au site sécurisé et transmet au Serveur les méthodes de chiffrement qu'il supporte.

2. Le Serveur retourne au Client la méthode de chiffrement retenue.

3. Le Serveur transmet au Client son certificat d'authentification TLS.

4. Le Client notifie au Serveur l'application de la méthode sélectionnée.

5. Le Serveur valide la notification.

6. Le Client génère une clef de session qui l'authentifie de manière unique sur Internet.

7. Les requêtes HTTP chiffrées peuvent être désormais transmises par le Client au Serveur.

8. Le Serveur expédie au Client ses réponses selon le même chiffrement.

 

Contrôler la validité d'un certificat TLS

Lors d'un accès à un site Internet sensible, il convient de toujours vérifier l'authenticité et la validité de son certificat de sécurité avant de saisir ses identifiant et mot de passe.

Pour effectuer ce contrôle, il vous suffit de cliquer sur le petit cadenas affiché par le navigateur.

Exemple (site Internet www.cmso.com avec Internet Explorer 11.0 sous Windows Seven) :

1. Cliquez sur le petit cadenas situé dans le navigateur à côté du champ d'adresse.

Cadenas indiquant qu'il s'agit d'un site sécurisé

 

2. Cliquez sur le lien Afficher les certificats.

Lien pour accéder au certificat de sécurité

 

3. Assurez-vous que le nom du site auquel est délivré le certificat correspond bien au site que vous visitez actuellement (dans le cadre de notre exemple, le nom doit être www.cmso.com).

Propriété du certificat de sécurité

4. Contrôlez également le nom de la société qui a délivré le certificat. Dans le cas présent, il s'agit de la société Symantec, un organisme de certification de renommée internationale.

5. Assurez-vous de la validité du certificat en examinant les dates mentionnées.

6. Après avoir cliqué sur l'onglet Détails, cliquez sur le champ Objet et assurez-vous que l'entrée OU= a pour valeur "Arkea DTI" dans le cadre du site www.cmso.com.

Détails du certificat de sécurité

 

7. Cliquez à présent sur l'onglet Chemin d'accès de certification, le certificat doit être déclaré valide.

Chemin d'accès à la certification

 

Les règles essentielles à retenir

  • S'assurer de toujours être sous connexion sécurisée (https://) pour effectuer un paiement en ligne ou pour consulter ses comptes bancaires.
  • Toujours contrôler la validité du certificat de sécurité d'un site avant de saisir ses numéros de carte bancaire ou ses identifiant et mot de passe.
  • Si le mode d'identification de votre site bancaire a changé sans que vous en ayez été informé au préalable, contactez votre assistance de banque à distance pour obtenir la confirmation du changement.
  1. (1)

    Microsoft, Internet Explorer, Edge et Windows sont des marques déposées de Microsoft corporation.

  2. (2)

    Mozilla et Firefox sont des marques déposées de Mozilla Foundation.

  3. (3)

    Apple, IOS, MacOS et Safari sont des marques d'Apple inc., enregistrées aux USA et dans les autres pays.

  4. (4)

    Google, Android et Chrome sont des marques déposées de Google Inc.

  5. (5)

    Opera est une marque déposée de Opera Software.