Peut-on surfer en toute sécurité sur un site sécurisé ?

Décembre 2016

La réponse à cette question pourrait sembler simple, mais elle nécessite de bien comprendre ce qu'est un site sécurisé, où et comment agit cette sécurisation au niveau de la connexion.


1- Introduction à l'HTTP



HTTP est le protocole utilisé pour naviguer sur les sites web.
Les données qui sont échangées sur internet sont majoritairement du texte, qui peut être facilement interprété. Par exemple :
Votre navigateur demande la page de présentation des astuces du site www.commentcamarche.net (http://www.commentcamarche.net/faq/), il va envoyer cette "requête" au serveur web de commentcamarche :
 
GET /faq/ HTTP/1.1 (signifie : je veux récupérer la page www.commentcamarche.net/faq/)
entêtes http (cookies, session)
données (des fichiers à envoyer, ou les données d'un formulaire, ...)

Le serveur lui répond :
 
HTTP 200 OK (j'ai trouvé votre page)
entêtes HTTP (votre session, le type de contenu, la taille du message, ...)
contenu de la page

Ces données sont facilement "interceptables" avec un logiciel comme Wireshark, par quelqu'un connecté sur le même réseau que vous (wifi, même crypté, ou réseau local Ethernet)

2- HTTPS, qu'est ce que c'est ?


HTTPS est un protocole crypté qui permet l'échange des données de manière sécurisée. Vous pouvez voir cette inscription dans la barre d'adresse de votre navigateur internet, accompagnée d'un petit cadenas lorsque vous naviguez sur un site sécurisé.

Concrètement, le protocole utilisé est le même (HTTP), mais le serveur internet fourni une clef cryptographique à votre ordinateur, qui lui permet de crypter et décrypter toutes les données entre le serveur et votre ordinateur. Ainsi, si une personne espionne les communications de votre ordinateur, il pourra voir que vous êtes sur un site crypté, il pourra savoir sur quel serveur vous êtes connecté, mais il ne pourra pas voir ce que vous faites dessus : vos données (numéro de carte bancaire, mots de passe,...) ne pourront être accessibles que par le serveur sur lequel vous êtes connecté.

3- Et les certificats dans tout ça ?


Grâce à ce que nous venons de voir, vous êtes sûr que personne ne peut accéder aux données que vous envoyez au serveur. Oui, mais pour l'instant, rien ne vous assure que vous êtes connecté au bon serveur ! En effet, un pirate pourrait très bien vous avoir fait connecter à un faux serveur. Le certificat est donc un petit fichier, théoriquement non falsifiable, qui permet d'identifier grâce à un site de confiance, que vous êtes bien connecté sur le site que vous désirez.

Note : les certificats signés en MD5 on été officiellement piratés (en utilisant 200 PlayStation 3) ; à ce jour, seul les certificats chiffrés en sha1, sha2 et sha3 sont considérés comme absolument fiables.

Voir également :

4- Donc la transmission des données ne comporte strictement aucun risque ?


Nous avons parlé des processus de sécurisation de la transmission, et de certification. Grâce à ça, les données sont, de la sortie de votre ordinateur jusqu'au serveur, sécurisées.

Par contre, rien ne vous garantit de ce que le site sur lequel vous surfez va faire de ces données. Il vaut donc mieux aller sur des sites dont vous avez entendu parler en bien !

Un autre risque peut venir de votre propre ordinateur. Si les données sont sécurisées une fois transmises sur le réseau, elles ne le sont pas encore au moment ou vous les tapez sur votre clavier. Certains programmes, utilisant des techniques de hook, espionnent ce que vous tapez au clavier (vos numéros de carte bancaire par exemple), ou encore peuvent analyser ce qui est affiché à l'écran et transmettre ces données aux pirates.

Il faut donc garder à l'esprit que seule la transmission sur le réseau est sécurisée, mais ni le traitement des informations sur votre ordinateur, ni sur le serveur ne sont garantis.

5- Maitriser la connexion internet


Pour un pirate, l'endroit le plus sur pour contrôler tout votre trafic réseau est votre propre réseau local. Il existe des techniques nommées "man in the middle" permettant de contourner l'utilisation des certificats. Le moyen le plus sûr de piéger quelqu'un est d'avoir le contrôle du réseau local qu'il utilise. Ainsi, pour les petits malins qui utilisent la connexion wifi de leur voisin, sachez qu'il se peut très bien que cette personne se tienne informé de tous vos faits et gestes sur internet, et relèvent toutes vos activités en ligne. Le fait de pirater peut donc vous exposer d'autant plus aux autres pirates.

Il est de même recommandé de sécuriser votre accès internet, en changeant les identifiants par défaut de votre routeur et en utilisant au moins un cryptage WPA pour votre connexion internet (n'utilisez pas le WEP).

6- Quelle est la solution miracle pour être sûr de surfer en toute sécurité ?


Il n'y a pas une solution miracle, mais un ensemble de petites choses, qui assemblées permettent de surfer en toute sécurité:
  • vérifiez que vous ne transmettez vos coordonnées sensibles qu'à des sites connus ;
  • vérifiez toujours que la connexion est cryptée au moment de la transmission de données sensibles ;
  • vérifiez, lorsque la connexion est cryptée, la validité du certificat ;
  • faites régulièrement des analyses antivirus et anti-spyware sur votre ordinateur ;
  • évitez de transmettre des données sensibles sur des ordinateurs en libre accès ;
  • maintenez votre ordinateur et votre navigateur internet à jour ;
  • configurez correctement votre accès réseau sans fil.

7- Conclusion


Bien souvent, il n'y a pas grand chose à craindre. Mais mieux vaut prendre vos précautions : mieux vaut prévenir que guérir !

A voir également :

Ce document intitulé «  Peut-on surfer en toute sécurité sur un site sécurisé ?  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.