Comment sécuriser son site Internet avec HTTPS et le cryptage SSL

Sécurité rime avec HTTPS et SSL

La confidentialité des données en ligne est la préoccupation majeure des internautes, d’autant plus lorsqu’il s’agit de faire des emplettes ou d’échanger des informations personnelles. Personne ne souhaite se faire voler son numéro de carte bancaire ou la copie de sa carte d’identité. C’est ici qu’entrent en jeu le fameux cadenas vert visible dans l’adresse URL, symbole de la présence d’un cryptage SSL, et l’acronyme HTTPS.

HTTPS : quelle différence avec le HTTP ?

Toute URL débute avec le préfixe HTTP, pour Hypertext Transfer Protocol (ou protocole de transfert hypertexte). Il s’agit d’un protocole internet aussi ancien que le Web permettant à votre navigateur (Chrome, Mozilla, Safari…) d’afficher un site internet depuis un serveur web, puis de communiquer avec ce dernier lorsque vous y entrez des informations, comme votre adresse mail.

L’inconvénient de ce protocole HTTP est que tout le monde peut potentiellement intercepter et lire les données produites. D’où l’implémentation duHTTPS, S signifiant « Secure ». Ce protocole introduit un cryptage de la conversation entre votre navigateur Web et le serveur hébergeant le site internet. Au moment de la connexion, ceux-ci échangent une « poignée de main » virtuelle. Il s’agit d’échanger des clés privées de chiffrement permettant de communiquer à l’aide d’un langage qu’eux seuls pourront décrypter, assurant une connexion sécurisée. Cela ne ressemblera plus alors qu’à un amas de données impossibles à déchiffrer pour un tiers malveillant.

Qu’est-ce que le cryptage SSL ?

Le passage du HTTP au HTTPS nécessite l’ajout d’un protocole de communication appelé SSL, pour Secure Sockets Layer, rendant les échanges indéchiffrables. Il s’assure que les données circulant entre le client et le site internet sont bien cryptées. Le processus est instantané et automatique, du moment que les deux protagonistes possèdent bien des certificats compatibles.

Ces derniers sont en quelque sorte les signatures numériques des sites sur lesquels les internautes se rendent quotidiennement. Ils contiennent le nom de l’entreprise, son adresse, son activité… Autant de données publiques que chacun peut vérifier. Pour qu’il soit complet, ce passe-droit doit bénéficier d’une authentification par une société externe produisant une signature numérique grâce à une PKI, une infrastructure à clefs publiques.

Vous entendrez également parler du protocole de sécurité TLS. Il s’agit simplement d’une version plus récente et plus sécurisée du SSL, dont e sigle est utilisé par commodité.

Pourquoi le cryptage SSL est-il si important pour votre site internet ?

Un sondage réalisé par le fournisseur de PKI GlobalSign révèle que 85 % des acheteurs en ligne sont prudents et évitent les sites ne présentant pas l’acronyme HTTPSou le cadenas vert dans l’URL. Il vous faut gagner leur confiance en leur montrant que la sécurité de site internet empêchera quiconque de dérober leurs données sensibles (mots de passe, dossier médical…).

https-ssl

Améliorer l’expérience utilisateur et le SEO 

Ce protocole de sécurité prend en compte l’expérience utilisateur. L’internaute peut facilement identifier le symbole ou la mention « HTTPS:// » dès son entrée sur un site sécurisé. Il ne perd pas alors de précieuses minutes à chercher l’information, ce qui pourrait le décourager et le pousser dans les bras d’un concurrent. Certains certificats vous permettent d’afficher le nom de votre entreprise à gauche de l’URL, ce qui rassurera d’autant plus l’utilisateur.

Cette problématique impacte également votre visibilité en ligne. Depuis 2014, Google indique à ses algorithmes de référencement SEO de privilégier le SSL. Ainsi, si deux sites sont côte à côte dans les pages du moteur de recherche, celui disposant du <protocole HTTPS sera avantagé. De plus, le géant du Net dissuade les visiteurs souhaitant tout de même entrer dans un site uniquement en HTTP en faisant apparaître un message de sécurité, refroidissant plus d’un internaute.

Passer du HTTP au HTTPS

Vous l’aurez compris, passer au HTTPS n’apporte que des avantages. Alors, comment faire ? Si vous créez votre site internet, il vous suffit d’acheter un certificat de cryptage SSL auprès de votre hébergeur lorsque vous mettez en place votre serveur. Celui-ci vous donnera souvent le choix entre plusieurs éditeurs, chacun avec des prestations différentes.

GoDaddy fait partie de ces éditeurs et inclut automatiquement le cryptage SSL lorsque vous choisissez l’option d’hébergement web avec un serveur dédié ou de passer par WordPress.

Obtenir un certificat SSL

Vous avez déjà un site internet mais n’êtes toujours pas passé au HTTPS ? Il est grand temps de sauter le pas, surtout si vous collectez des informations personnelles ou confidentielles. Bonne nouvelle : la procédure est simple. Il vous suffit d‘acheter un certificat SSL auprès d’un tiers de confiance appelé autorité certificatrice (CA) comme Thawte ou Geotrust et de lui indiquer sur quel site l’installer. Attention toutefois : si le CA n’est pas votre hébergeur, il vous faudra prouver que vous êtes bien propriétaire du site en question.

L’installation elle-même est automatique et prend peu de temps. Vous devrez vous acquitter d’un forfait, le plus souvent annuel, pour maintenir le certificat mais son montant est peu élevé, compte tenu de la sécurité accrue pour les visiteurs.

Trois niveaux de certificats SSL

Tout certificat SSL chiffre les données, mais ils ne se valent pas tous. Il faut d’abord prendre en compte la confiance apportée au CA. Leurs protocoles peuvent avoir été victimes de failles de sécurité par le passé, comme Heartbleed avec OpenSSL en 2014.

Une fois l’autorité choisie, vous aurez le choix entre trois niveaux de certificats. Le premier répond au doux nom de DV, pour Domain Validation. Pour l’obtenir, il suffit de montrer que vous êtes le propriétaire du site internet, le plus souvent en répondant à un mail de confirmation envoyé à l’adresse du nom de domaine. Aucune vérification n’est faite quant à l’identité réelle du maître des lieux. Ceci suffit largement si votre site ne demande ou ne contient aucune information sensible.

Le certificat OV (Organization Validation) est plus complexe à obtenir. Il nécessite que vous prouviez l’existence de l’association ou de l’entreprise à laquelle le site est destiné en fournissant des documents administratifs officiels. Ce niveau de certification est par exemple essentiel pour toute plateforme de e-commerce.

Enfin, le certificat EV (Extended Validation) ajoute un ultime niveau de vérification : celle de l’identité du responsable de l’association ou de l’entreprise concernée. Ils prennent le plus de temps à être validés, mais permettent d’afficher le nom de votre organisation dans la barre d’adresse de votre navigateur. Cela n’apporte aucune sécurité en tant que telle mais rassure le visiteur, qui sait alors précisément à qui il a affaire.

Nicolas Alamone
Nicolas Alamone est chef de projet éditorial chez fullCONTENT depuis plusieurs années. Journaliste puis rédacteur en chef, Nicolas est un rédacteur expérimenté à l'aise dans de nombreux domaines (high-tech, voyages, sport...). Fort d'une solide expérience dans le brand content et la gestion de projets éditoriaux, il a accompagné de nombreux clients dans leur stratégie de développement. Ses deux passions dans la vie : le sport et le café.