« Si c’est du HTTPS, c’est sécurisé » ── on entend cette phrase partout dès qu’on commence à apprendre comment fonctionne internet. Mais jusqu’à quel point est-ce vrai ? Et le cas inverse : cet avertissement qui apparaît parfois, « Votre connexion à ce site n’est pas sécurisée » ── qu’est-ce qui, exactement, n’est pas sécurisé ? Ces deux questions sont en réalité les deux faces du même mécanisme. Si l’une des situations suivantes vous parle, continuez la lecture.
- Vous avez entendu que « HTTPS = sécurisé » mais vous ne savez pas jusqu’où lui faire confiance
- Vous avez déjà vu l’avertissement « Non sécurisé » mais vous ne sauriez pas expliquer quel est le danger réel
- Vous regardez l’icône du cadenas dans la barre d’adresse tous les jours, mais vous sécheriez si on vous demandait ce qu’elle signifie
- Chiffrement, certificats, autorités de certification… vous connaissez les mots, mais pas à quoi sert chacun
Cet article fait deux promesses. ① Pas de mathématiques ── les seuls outils que nous utiliserons sont une « boîte secrète », un « cadenas » et une « pièce d’identité ». ② Nous ne nous arrêterons pas au fonctionnement : nous tracerons la ligne exacte entre ce que le cadenas protège et ce qu’il ne protège pas.
| Question | Réponse dans |
|---|---|
| Qu’est-ce qui rend HTTP dangereux ? | §1 |
| Comment construire une boîte que personne ne peut lire ? | §2 |
| Comment savoir que l’autre côté est authentique ? | §3 |
| Que se passe-t-il en coulisses au moment de la connexion ? | §4 |
| Jusqu’où « HTTPS = sécurisé » est-il vrai ? | §5 |
| Que faire quand une page d’avertissement apparaît ? | FAQ Q2 |
Dans la récap de notre série, Que se passe-t-il entre la saisie d’une URL et l’affichage de la page ?, nous avons décrit le trafic HTTPS comme « une enveloppe scellée et chiffrée ». Dans cet article, nous découvrons ce qu’est vraiment ce sceau.
1. Qu’est-ce qui, exactement, n’est pas protégé dans une connexion « non sécurisée » ? ── Votre mot de passe, envoyé sous une forme que n’importe qui peut lire
1-1. Un colis HTTP est une carte postale, et tout le monde sur le trajet peut la lire
Comme nous l’avons vu dans la récap de la série, une requête que vous envoyez à un site web quitte votre routeur domestique, sort de votre ville (votre réseau) et se fait relayer de ville en ville des dizaines de fois avant d’atteindre le serveur (→ Que se passe-t-il entre la saisie d’une URL et l’affichage de la page ?).
Voici ce qui compte : vous et le site web n’êtes pas les deux seuls participants de ce voyage. La personne connectée au même Wi-Fi que vous, l’opérateur du point d’accès gratuit du café, les routeurs de chaque ville traversée ── votre colis passe par beaucoup de mains et de machines.
Une connexion http:// (sans S) fait ce voyage sur une carte postale. Le destinataire, l’expéditeur et le message sont écrits à découvert. Cela signifie que n’importe qui sur le trajet, pour peu qu’il y jette un œil, peut lire le mot de passe que vous avez tapé et le contenu des pages que vous consultez, tels quels. L’avertissement « Non sécurisé » signifie précisément ceci : « Vous êtes sur le point d’envoyer une carte postale. Vous confirmez ? »
1-2. La lecture n’est qu’une partie du problème ── les trois menaces
Si l’on trie ce qui ne va pas avec une carte postale, le danger prend trois formes.
- L’écoute (espionnage) ── quelqu’un sur le trajet lit le contenu. Mots de passe, numéros de carte et détails de navigation fuitent
- L’usurpation d’identité ── un faux site affirme « nous sommes votre banque », et vous envoyez vos données en croyant que c’est vrai
- La falsification ── quelqu’un sur le trajet remplace le contenu. Si « le compte à créditer » est réécrit, vous ne le remarqueriez jamais
Carte postale (HTTP) vs boîte secrète (HTTPS) ── ce que le trajet peut voir
HTTP (carte postale)
Vous ── carte ──> voisins de Wi-Fi, routeurs des villes, postes de contrôle… ──> Site
△ Tout le monde peut lire / remplacement possible / aucune preuve de qui est en face
HTTPS (boîte secrète)
Vous ── [boîte] ───> voisins de Wi-Fi, routeurs des villes, postes de contrôle… ──> Site
△ Seul le « destinataire » est visible
Contenu illisible / un échange casse le scellé / identité vérifiée par pièce d'identité
Le S de HTTPS (Secure) est un service qui bloque les trois à la fois. Il met la conversation dans une boîte secrète (contre l’écoute), vérifie la pièce d’identité de l’autre côté (contre l’usurpation) et appose un scellé qui révèle tout remplacement en chemin (contre la falsification). À partir du §2, nous verrons comment la boîte se construit ── mais un casse-tête se cache dès le départ : comment partager la clé de la boîte avec l’autre côté, pour commencer ?
2. Comment construire la boîte secrète ── Distribuer des cadenas ouverts (cryptographie à clé publique)
2-1. Le problème de la distribution des clés ── il faut une clé pour envoyer une clé
« Fermez la boîte à clé et envoyez-la » ── facile à dire. Mais réfléchissez : vous et le site web ne vous êtes jamais rencontrés. Comment partager la clé de la boîte (le code secret du chiffrement) ?
Envoyer la clé elle-même ? ── Si la clé voyage par carte postale, n’importe qui sur le trajet peut la copier. Et une clé copiée ouvre la boîte, ce qui ruine tout le projet. « Pour envoyer une clé en sécurité, il faut d’abord un canal sécurisé. Pour construire un canal sécurisé, il faut une clé. » Ce piège circulaire s’appelle le problème de la distribution des clés, et il a tenu les cryptographes en échec très longtemps.
2-2. L’invention : distribuer des cadenas ouverts ── n’importe qui peut les fermer, mais seul le propriétaire peut les ouvrir
L’invention qui a brisé le cercle est la cryptographie à clé publique. En métaphore, cela donne ceci.
Le site web distribue des cadenas ouverts à qui en veut. N’importe qui peut refermer un cadenas d’un clic ── mais une fois qu’il a cliqué, seul le site, qui détient la clé correspondante (la clé privée), peut le rouvrir. Peu importe que le cadenas soit copié : on ne fabrique pas une clé à partir d’un cadenas.
Vous prenez le cadenas que le site vous a donné, vous le refermez sur votre boîte et vous la renvoyez. Quiconque manipule cette boîte en chemin ne peut pas l’ouvrir. La clé n’a jamais traversé le réseau, et pourtant une boîte sécurisée existe désormais ── le problème de la distribution des clés, résolu.
L'aller-retour du cadenas ── une boîte secrète sans jamais envoyer de clé
1. Site ──distribue un « cadenas ouvert »──> Vous △ Le cadenas peut être vu par n'importe qui
2. Vous ── placez un code secret dans la boîte, refermez le cadenas ──> Site
△ Personne en route ne peut l'ouvrir (seul le site détient la clé)
3. Site ── l'ouvre avec sa clé privée et récupère le code secret
4. Ensuite ── les deux côtés utilisent le code partagé pour des boîtes rapides, aller-retour △ La vraie conversation commence ici
Une note pratique : la méthode du cadenas (cryptographie à clé publique) est sûre, mais le calcul est lourd et lent. Le vrai HTTPS fonctionne donc en deux étapes ── le cadenas sert pour exactement un aller-retour, uniquement pour livrer un « code secret (clé partagée) », puis la conversation bascule vers des boîtes rapides verrouillées avec ce code (chiffrement symétrique). Un coffre-fort lourd pour livrer une seule clé, puis des casiers ordinaires à pleine vitesse ── une répartition des tâches.
« Le chiffrement suffit pour être en sécurité » ── pas tout à fait. Tout ce qui précède garantit que seul celui qui a distribué le cadenas peut ouvrir la boîte. Mais savoir si ce quelqu’un est votre vraie banque ou un imposteur qui se fait passer pour elle, le mécanisme de la boîte à lui seul ne peut pas vous le dire. Les imposteurs aussi peuvent distribuer des cadenas ── et c’est le §3, l’autre moitié de ce que signifie l’icône du cadenas.
3. L’autre côté est-il authentique ? ── Pièces d’identité (certificats) et bureau émetteur (autorité de certification)
3-1. Les faux sites aussi peuvent distribuer des cadenas
Rappelez-vous la menace ② du §1, l’usurpation. Si un faux site parfaitement imité dit « Nous sommes votre banque ── voici notre cadenas », vous refermerez le cadenas de l’imposteur sur votre boîte et enverrez votre précieux code secret directement à l’imposteur. La boîte fonctionne parfaitement, et livre parfaitement à la mauvaise personne ── le chiffrement seul est impuissant contre l’usurpation.
3-2. Le certificat de serveur ── une pièce d’identité tamponnée par le bureau émetteur
HTTPS a donc ajouté une obligation : chaque cadenas doit être accompagné d’une pièce d’identité. C’est le certificat de serveur. Le certificat dit « ce cadenas appartient au propriétaire de example.com » et porte le tampon d’un bureau émetteur (une autorité de certification, ou CA). Une CA est l’une des rares organisations de confiance au monde qui vérifient que « cette partie possède réellement ce domaine » avant d’émettre un certificat.
Votre navigateur est livré avec une liste intégrée de tampons de bureaux émetteurs dignes de confiance. Quand vous vous connectez à un site, le navigateur reçoit d’abord la pièce d’identité et la vérifie : le tampon est-il authentique, a-t-il expiré, et le nom de domaine inscrit correspond-il au site que vous essayez d’atteindre ? Ce n’est qu’une fois tout validé que le navigateur accepte le cadenas et démarre l’échange de boîtes ── l’icône du cadenas dans votre barre d’adresse est le signe que les deux conditions sont réunies : « boîte secrète » plus « identité vérifiée ».
Quand votre navigateur vous arrête avec un avertissement rouge plein écran, c’est que cette vérification a échoué. La pièce d’identité a expiré, le tampon n’est pas de confiance, le nom ne correspond pas ── les raisons varient, mais le sens est toujours le même : « Je ne peux pas confirmer qui c’est, donc aucune boîte ne doit être construite. »
Une pièce d’identité prouve que « cette partie possède ce domaine » ── et rien de plus. Elle ne prouve pas que « cette partie est honnête ». Un escroc peut parfaitement obtenir un certificat légitime pour un domaine enregistré à son nom ── et ce seul fait mène droit au §5, les choses que le cadenas ne protège pas.
4. Que se passe-t-il dans l’instant de la connexion ── De la poignée de main à l’échange de boîtes
4-1. Où cela s’insère dans le voyage ── la poignée de main (handshake)
Posons la boîte à outils de cet article sur le voyage de la récap. Vous tapez une URL, l’annuaire (DNS) cherche l’adresse, et un itinéraire se forme pour que votre colis quitte la ville et atteigne le serveur. HTTPS entre en scène juste après ── avant l’envoi du premier vrai colis, les deux côtés passent par un court rituel appelé la poignée de main (handshake).
- 1BonjourNavigateur : « Je voudrais parler en boîtes secrètes. Voici les types de verrous que je sais utiliser. »
- 2Contrôle d’identitéLe site présente son certificat et son cadenas. Le navigateur vérifie le tampon du bureau émetteur, la date d’expiration et le nom (§3).
- 3Partage du code secretLa boîte cadenassée livre en sécurité le code secret (la clé partagée) (§2).
- 4Les boîtes commencent à circulerDésormais, chaque requête et chaque réponse voyage dans des boîtes rapides verrouillées avec le code partagé.
Ces quatre étapes se terminent en un instant imperceptible ── environ un dixième de seconde ou moins. Tout ce que vous faites en lisant la page se déroule dans les boîtes de l’étape 4.
4-2. Ce que les postes de contrôle voient et ne voient pas ── réponse à la FAQ de la récap
La FAQ de la récap demandait : « Quelqu’un peut-il lire le contenu du colis en route ? » et répondait : « seule l’adresse est lisible ». Nous pouvons maintenant expliquer pourquoi.
Les routeurs de chaque ville, le poste de contrôle (pare-feu), le guichet de traduction (NAT) ── tous lisent l’étiquette de destination à l’extérieur, parce que livrer le colis l’exige ; ils ne pourraient littéralement pas le livrer autrement (→ Que se passe-t-il sans pare-feu ?). Mais le contenu reste dans la boîte secrète. « Avec qui vous parlez » est visible parce que l’acheminement du colis en a besoin ; « ce que vous dites » n’est visible de personne ── voilà l’image précise de HTTPS. Le seul à pouvoir ouvrir la boîte est le serveur au bout du voyage. Ce qu’est exactement ce serveur se trouve être un sujet fascinant en soi, et nous le gardons pour un autre article.
5. Il y a des choses que le cadenas ne protège pas ── HTTPS ne veut pas dire « site sûr »
5-1. Ce qu’il protège, précisément ── le canal entre vous et le site
En rassemblant tout : ce que HTTPS protège, c’est le canal entre vous et le site. Les trois menaces du §1 ── écoute, usurpation et falsification sur le trajet ── sont réellement bloquées par la combinaison boîte secrète + pièce d’identité. Même sur le Wi-Fi d’un café, la probabilité que votre mot de passe soit intercepté en transit est aujourd’hui proche de zéro.
5-2. Ce qu’il ne protège pas ── au-delà du canal, et en dehors
Alors, jusqu’où « HTTPS = sécurisé » est-il vrai ? La ligne passe ici : le canal est protégé. Ce qui se trouve au-delà du canal (l’interlocuteur lui-même) et en dehors (les informations de destination) ne l’est pas.
| Protégé ✅ | Non protégé ❌ | |
|---|---|---|
| Écoute sur le trajet | Le contenu reste dans la boîte ── illisible même sur un Wi-Fi partagé | ── |
| Falsification sur le trajet | Le scellé révèle tout remplacement | ── |
| Usurpation du site | La pièce d’identité confirme qui possède le domaine | ── |
| L’honnêteté du site | ── | Les sites d’arnaque obtiennent aussi des certificats légitimes. Le phishing avec cadenas est tout à fait banal |
| Cacher la destination | ── | « Avec quel site vous parlez » reste visible sur le trajet |
| Vos données après livraison | ── | La façon dont le site traite vos informations échappe à la juridiction de la boîte |
La quatrième ligne est celle qui compte le plus. « Il y a un cadenas, donc c’est forcément ma vraie banque » est faux. Le cadenas garantit exactement une chose : « vous avez un canal de boîte secrète avec le propriétaire du domaine affiché dans la barre d’adresse ». Si le nom de domaine lui-même est faux (par exemple une variante quasi identique du vrai, à une lettre près), la boîte fonctionne impeccablement ── et vous connecte droit à un escroc. Ce qu’il faut vérifier, ce n’est pas la présence du cadenas, mais si le nom de domaine est vraiment celui que vous vouliez visiter.
5-3. Comparer les couvertures ── le lien avec VPN et DoH
Pour les lecteurs qui suivent la série, voici comment les cartes de couverture s’alignent. L’article sur les VPN abordait dans une astuce la question « si HTTPS existe, pourquoi a-t-on besoin d’un VPN ? » ── HTTPS enveloppe « un canal entre votre navigateur et un site », tandis qu’un VPN enveloppe « tout le trafic qui sort de votre PC, informations de destination comprises ». La couverture est un cran plus large. Et il reste une chose que le voyage du §4 a laissée en dehors de la boîte ── la requête à l’annuaire (DNS). « Quel nom vous avez cherché » a traditionnellement voyagé à découvert, et le mécanisme qui le met lui aussi dans une boîte est DoH, présenté au §6 de l’article sur le DNS.
Résumé ── l’essentiel en 4 lignes
- HTTP est une carte postale : tout le monde sur le trajet peut la lire, la remplacer ou se faire passer pour le destinataire ── voilà ce que signifie « Non sécurisé »
- La boîte secrète (chiffrement) : distribuer des cadenas ouverts crée une « boîte que seul le propriétaire peut ouvrir » sans jamais envoyer de clé
- La pièce d’identité (certificat) : le tampon du bureau émetteur (CA) confirme « cette partie possède ce domaine » avant tout échange ── cadenas = boîte + pièce d’identité
- La ligne : seul le canal est protégé. L’honnêteté du site, la destination et vos données après livraison ne le sont pas ── vérifiez le nom de domaine, pas seulement le cadenas
Pour continuer à compléter la carte de la machinerie invisible : le voyage complet est dans la récap de la série, le poste de contrôle du trajet est l’article sur les pare-feu, la boîte plus large est l’article sur les VPN, et la recherche de noms est l’article sur le DNS. Et la « carte de membre » qui voyage dans la boîte est le sujet de l’article sur les cookies.
FAQ
Q1. Si le cadenas est là, puis-je saisir mes informations personnelles en toute sécurité ?
A. La réponse précise est : « le canal est sûr ; l’interlocuteur est une question à part » (§5). Il est très improbable que les informations que vous saisissez soient interceptées en transit. Mais si le site qui les reçoit est lui-même une arnaque, la boîte ne peut rien pour vous. Avant de saisir quoi que ce soit, ce qu’il faut vérifier n’est pas le cadenas mais si le nom de domaine dans la barre d’adresse est vraiment celui que vous vouliez (et pas une variante quasi identique). Ouvrir les sites depuis vos propres favoris ou l’application officielle est la meilleure habitude à prendre.
Q2. Un site affiché « Non sécurisé » est-il dangereux même en simple consultation ?
A. Si vous ne faites que regarder, le préjudice pratique est limité ── ce que vous avez consulté est visible sur le trajet, et le contenu affiché pourrait en principe être remplacé. Mais n’y saisissez jamais rien : ce serait écrire votre mot de passe sur une carte postale (§1). Pour un vieux site d’information qui déclenche l’avertissement, « lire seulement, ne rien saisir, ne rien télécharger » est une règle parfaitement raisonnable ── inutile de paniquer.
Q3. Le web était rempli de sites HTTP ── pourquoi presque tout est-il en HTTPS aujourd’hui ?
A. Deux forces ont agi en même temps. ① L’émission gratuite de certificats est arrivée, et le coût de la pièce d’identité (argent et effort) s’est effondré. ② Les navigateurs ont changé de politique et se sont mis à avertir les visiteurs des sites sans HTTPS : rester en HTTP, c’était afficher « Non sécurisé » à côté de votre nom. Plus que le web devenu plus sûr, ce sont les cartes postales qui ont cessé d’être acceptables.
Q4. L’administrateur réseau de mon entreprise, ou un fournisseur de VPN, peut-il voir l’intérieur de mon trafic HTTPS ?
A. En règle générale, non ── seul le serveur de destination peut ouvrir la boîte, et cela vaut aussi bien dans un réseau d’entreprise que dans un tunnel VPN. Ce que les administrateurs voient, ce sont les informations de destination : « qui a parlé à quel site, et quand » (§4-2). Il existe une exception : sur un PC fourni par l’entreprise, le trafic peut passer par une inspection relais qui ouvre chaque boîte et la referme (rendue possible en préinstallant sur la machine le « tampon de bureau émetteur » de l’entreprise). Sur du matériel d’entreprise, l’hypothèse prudente est que le contenu aussi peut être vu.
Q5. Qu’est-ce que le « port 443 » qui revient sans cesse autour de HTTPS ?
A. C’est un « numéro de guichet » dans le bâtiment du serveur. Les cartes postales (HTTP) vont au guichet 80, les boîtes secrètes (HTTPS) vont au guichet 443 ── des comptoirs d’accueil séparés. Quand le poste de contrôle (pare-feu) applique des règles comme « ne laisser passer que le trafic pour le guichet 443 », c’est ce numéro qu’il regarde. Les numéros de guichet (numéros de port) méritent un article à part entière, que nous prévoyons d’écrire.
Laisser un commentaire