Blog GlobalSign

07 août 2018

Quelle est la différence entre HTTP et HTTPS ?

Comment ça, il en existe vraiment deux ? Les utilisateurs occasionnels ne le remarquent pas toujours mais HTTP (ou http://) et HTTPS (https://) sont deux options possibles en début d’URL qui permettent de distinguer une différence majeure entre toutes les pages web que vous visitez chaque jour. Même si ça ne vous intéresse pas vraiment de comprendre comment cela fonctionne, je parie que cet article va élargir vos horizons. Considérez-le comme votre première leçon si vous aimeriez en savoir plus sur la sécurité internet.

Voici la différence entre HTTP et HTTPS, expliquée dans une super infographie créée par FirstSiteGuide. J’en expliquerai les éléments principaux plus loin.

HTTP : les données ne sont pas chiffrées

Toutes les URL qui commencent par HTTP utilisent un protocole simple de transfert hypertexte. Créé au début des années 1990 par Tim Berners-Lee, lorsqu’Internet en était encore à ses prémices, c’est grâce à ce protocole de réseaux standard que les navigateurs et les serveurs peuvent communiquer en échangeant des données.

HTTP est un système sans état, ce qui signifie qu’il permet de créer des connexions à la demande. Lorsque vous cliquez sur un lien, une connexion est sollicitée et votre navigateur web envoie la demande au serveur qui répond en ouvrant la page. Plus la connexion est rapide plus les données s’affichent rapidement.

En tant que protocole de couche d’application, l’unique objectif de HTTP est d’afficher les informations demandées sans se soucier de la façon dont ces informations se déplacent d’un endroit à un autre. Malheureusement, cela signifie que HTTP peut être intercepté et éventuellement détourné, ce qui rend les informations et leurs destinataires (c’est-à-dire vous) vulnérables.

HTTPS : connexions chiffrées

HTTPS n’est pas l’opposé de HTTP mais plutôt son petit cousin. Tous deux sont des protocoles de transfert hypertexte qui permettent à des données web d’être affichées sur votre écran lorsque vous envoyez une requête. Cependant, HTTPS est légèrement différent, plus avancé et bien plus sécurisé.

En gros, le protocole HTTPS est une extension de HTTP. Le « S » à la fin est l’initiale du mot « Secure » (sécurisé) et il fonctionne grâce au protocole TLS (Transport Layer Security), le successeur du protocole SSL (Secure Sockets Layer), la technologie de sécurité standard pour établir une connexion chiffrée entre un serveur web et un navigateur.

Sans la présence de HTTPS, toutes les données que vous entrez sur un site (ex : nom d’utilisateur, mot de passe, carte bancaire, RIB ou tout autre information requise dans un formulaire) seront envoyées en format de texte brute et seront, par conséquent, vulnérables aux interceptions et à l’espionnage. C’est pour cette raison que vous devriez toujours vérifier qu’un site utilise bien HTTPS avant d’y entrer quelques données que ce soit.

En plus de chiffrer les données transmises entre un serveur et votre navigateur, le protocole TLS authentifie également le serveur auquel vous vous connectez et protège les données transmises de toute altération.

Pour vous aider à comprendre la différence, imaginez que HTTP dans HTTPS est l’équivalent d’une destination, tandis que SSL est l’équivalent d’un voyage. Le premier est chargé d’acheminer les données vers votre écran, le dernier gère la façon dont ces données sont déplacées. En joignant force, ils permettent aux flux de données d’être sécurisés.

Les avantages et inconvénients du HTTPS

Comme nous l’avons vu, HTTPS est garant de la cybersécurité. Il constitue, sans aucun doute, une solution de protocole de réseau bien supérieur à son grand cousin HTTP.

Cependant, HTTPS ne présente-t-il que des avantages ? Ou existe-t-il des inconvénients inévitables ? Voyons ça ensemble.

Les avantages du HTTPS

Les avantages en termes de sécurité mentionnés plus haut, soit l’authentification du serveur, le chiffrement des échanges de données et leur protection contre les altérations, sont les avantages évidents et principaux du protocole HTTPS. Les administrateurs de sites web souhaitent et doivent protéger les données de leurs visiteurs (HTTPS est même obligatoire pour les sites qui demandent des informations de paiement selon la norme PCI Data Security) tandis que les visiteurs souhaitent savoir que leurs données sont transmises de façon sécurisée.

Un autre avantage du HTTPS repose sur la demande croissante du public pour la confidentialité et la sécurité de leurs données. En effet, selon We Make Websites, 13 % des paniers sont abandonnés en raison d’une inquiétude quant à la sécurité du paiement. Les visiteurs d’un site veulent savoir qu’ils peuvent lui faire confiance, notamment lorsqu’ils entrent des coordonnées bancaires. Utiliser HTTPS permet de renforcer cette confiance (en prouvant à vos visiteurs que les informations qu’ils entreront seront chiffrées).

HTTPS vous aide également pour votre stratégie SEO. En 2014, Google a annoncé que HTTPS serait désormais considéré comme un facteur de référencement naturel. Depuis, plusieurs études et expériences non confirmées menées par des entreprises qui ont implémenté HTTPS semblent indiquer une corrélation avec une amélioration du référencement et de la visibilité de leur site.

Les navigateurs se joignent également à l’effort pour renforcer l’utilisation de HTTPS en modifiant leur interface de façon à ce que les sites non sécurisés avec HTTPS soient pénalisés. Google a, par exemple, annoncé, en début d’année, qu’à partir du mois de juillet, Chrome afficherait tous les sites HTTP comme étant non-sécurisés.

Changements de l’interface Chrome prévus dans l’annonce originale de Google en février 2018 (source)

Si vous vous rendez sur un site HTTP dans Chrome 66, vous pourrez voir qu’un message vous alerte que la connexion n’est pas sécurisée, en cliquant sur le pictogramme « plus d’informations » dans la barre d’adresse.

Exemple d’un message d’alerte sur un site HTTP dans Chrome 66 (merci à badssl.com de nous permettre de tester un site HTTP)

Firefox a également annoncé mettre en place un système d’alerte similaire pour les sites HTTP. Imaginez l’impact d’un tel système sur votre marque, votre performance marketing, votre stratégie d’acquisition de prospects et vos ventes ! L’unique façon de faire face à ces changements est d’adopter HTTPS sur votre site.

Ce qu’il faut retenir avant de passer à HTTPS

Même si la démarche pour passer de HTTP à HTTPS est une ligne droite, de nombreuses personnes se perdent, probablement à cause des nombreuses options qui s’offrent à elles.

En gros, la démarche comprend quatre étapes :

  1. Obtenir un certificat SSL auprès d’une autorité de certification
  2. Installer le certificat sur le compte d’hébergement de votre site
  3. Créer les redirects 301 appropriés en modifiant le fichier .htaccess dans le dossier racine de votre site en y ajoutant :
    1. RewriteEngine On
    2. RewriteCond %{HTTPS} off
    3. RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
  4. Informer les moteurs de recherche que les adresses de votre site ont changé et que toute personne qui visitera votre site sera désormais automatiquement redirigée vers la version HTTPS.

Si cela vous paraît toujours compliqué, ne vous inquiétez pas, vous n’avez pas épuisé toutes vos options.

De nombreux fournisseurs d’hébergement proposent des certificats SSL dans leur gamme de services et se chargent de la plus grande partie de la démarche d’installation (les trois premières étapes exactement). Vous n’avez alors qu’à renvoyer les visiteurs de votre site vers les nouvelles adresses. Seulement, méfiez-vous, cela pourrait incomber des coûts supplémentaires.

L’avenir

A l’heure actuelle, Internet compte plus de quatre milliards d’utilisateurs, consommateurs de contenu, clients et autres. La demande des utilisateurs (les visiteurs de site web sont plus conscients que jamais de l’importance de la sécurité de leurs données), les régulations (ex : PCI DSS) et la pression des navigateurs (ex : indiquer que les sites http ne sont pas sécurisés) mis ensemble sont des faits qui prouvent bien qu’une transition de HTTP à HTTPS semble de plus en plus nécessaire.

A propos de l’auteur

Duke Vukadinovic travaille à FirstSiteGuide.com. Il est passionné d’Internet et aide les débutants sur le Web qui cherchent à créer des blogs à succès dans divers marchés niches.

Note : ce billet de blog a été écrit par un rédacteur externe afin de varier les contenus proposés à nos lecteurs. Les opinions exprimées par l’auteur de cet article sont exclusivement les siennes et ne reflètent pas nécessairement les opinions de GlobalSign.

Partager ce blog