Pourquoi une connexion doit être protégée
Lorsque votre navigateur communique avec un site web, les données ne voyagent pas directement de votre appareil au serveur. Elles traversent une succession d’équipements : votre box, le réseau de votre fournisseur d’accès, plusieurs routeurs intermédiaires, parfois un réseau Wi-Fi public partagé avec des inconnus. Sans protection, chacun de ces points pourrait lire ou modifier ce qui transite. Un mot de passe, un numéro de carte ou un message privé circulerait alors en clair, à la portée de quiconque se trouve sur le trajet.
C’est exactement le problème que résolvent HTTPS et TLS. Ils transforment cette communication exposée en un échange chiffré, illisible pour les intermédiaires, et permettent en plus de vérifier que vous parlez bien au site attendu et non à un imposteur.
La différence entre HTTP, HTTPS et TLS
HTTP est le protocole de base du web, celui qui définit comment un navigateur demande une page et comment un serveur la renvoie. Dans sa version d’origine, HTTP ne protège rien : tout circule en clair. HTTPS est simplement HTTP placé à l’intérieur d’une couche de protection. Le “S” signifie “secure”, c’est-à-dire sécurisé.
Cette couche de protection est fournie par TLS, pour Transport Layer Security. TLS est le protocole qui chiffre la communication et authentifie le serveur. Il a succédé à un protocole plus ancien nommé SSL, aujourd’hui obsolète et abandonné, même si le terme SSL est encore employé par habitude pour désigner ce que fait en réalité TLS. Concrètement, lorsqu’on parle d’un site en HTTPS, on parle d’un site dont les échanges HTTP sont protégés par TLS.
Ce que fait réellement TLS
TLS apporte trois garanties distinctes, qu’il est utile de bien séparer.
La première est la confidentialité. Les données échangées sont chiffrées, ce qui les rend illisibles pour toute personne qui les intercepterait en chemin. Seuls votre navigateur et le serveur peuvent en comprendre le contenu.
La deuxième est l’intégrité. TLS détecte toute modification des données en transit. Si un intermédiaire tentait d’altérer le contenu échangé, la manipulation serait repérée et la connexion interrompue. Cette garantie repose notamment sur des fonctions de hachage, qui produisent une empreinte de chaque échange et permettent de vérifier qu’il n’a pas été modifié.
La troisième est l’authentification. TLS permet à votre navigateur de vérifier qu’il communique bien avec le site annoncé, et non avec un serveur frauduleux qui se ferait passer pour lui. Cette vérification s’appuie sur les certificats, au cœur de tout le système de confiance.
L’établissement d’une connexion sécurisée
Avant tout échange de données, le navigateur et le serveur réalisent une négociation, souvent appelée poignée de main. Au cours de cette étape, ils se mettent d’accord sur les méthodes de chiffrement à utiliser, le serveur présente son certificat pour prouver son identité, et les deux parties établissent une clé secrète partagée qui servira à chiffrer la suite de la conversation.
Le point remarquable de ce processus est qu’il combine deux types de cryptographie. La cryptographie asymétrique, fondée sur une paire de clés publique et privée, sert à établir la confiance initiale et à échanger en sécurité la clé secrète, sans que celle-ci ne transite jamais en clair. Ensuite, la communication bascule sur une cryptographie symétrique, plus rapide, qui utilise cette clé partagée pour chiffrer l’ensemble des données. Cette combinaison offre à la fois la solidité de l’authentification asymétrique et la performance du chiffrement symétrique.
Le cadenas et ce qu’il signifie vraiment
Le navigateur affiche un cadenas lorsqu’une connexion est protégée par TLS. Ce symbole est utile, mais il est souvent mal interprété. Le cadenas garantit une seule chose : la connexion entre votre appareil et le serveur est chiffrée, et le certificat présenté est valide. Il indique que personne ne peut lire votre échange en chemin, et que vous parlez bien au serveur correspondant à l’adresse affichée.
Le cadenas ne garantit en revanche pas que le site est honnête ou digne de confiance. Un site frauduleux peut parfaitement obtenir un certificat valide et afficher le cadenas. De fait, la grande majorité des sites d’hameçonnage utilisent aujourd’hui HTTPS, précisément pour rassurer leurs victimes. Le cadenas confirme donc que la connexion est privée, pas que l’interlocuteur est honnête. Il faut toujours vérifier l’adresse elle-même, car un cadenas sur un site dont le nom est légèrement modifié ne protège en rien.
Les certificats et les autorités de certification
Un certificat est un document électronique qui associe une identité, en général un nom de domaine, à une clé publique. Lorsque votre navigateur reçoit le certificat d’un site, il doit décider s’il peut lui faire confiance. C’est là qu’interviennent les autorités de certification.
Une autorité de certification est un organisme reconnu qui délivre les certificats après avoir vérifié, à des degrés variables, que le demandeur contrôle bien le domaine concerné. L’autorité appose sa propre signature numérique sur le certificat, attestant de sa validité. Votre navigateur, votre système d’exploitation et vos appareils contiennent une liste d’autorités considérées comme dignes de confiance. Quand un certificat est signé par l’une d’elles, le navigateur l’accepte automatiquement. Sinon, il affiche un avertissement.
Les signatures qui valident les certificats reposent elles aussi sur des fonctions de hachage : l’autorité signe l’empreinte du certificat plutôt que son contenu entier. La solidité de cette signature dépend donc directement de la fiabilité de la fonction de hachage employée. C’est précisément pour cette raison qu’une fonction de hachage devenue vulnérable, comme cela s’est produit avec un ancien algorithme dont une collision a été démontrée, a dû être retirée des certificats. La section sur la cryptographie et les fonctions de hachage détaille ce lien entre hachage, signatures et certificats.
Les limites de TLS
TLS protège un canal, pas tout le reste. Comprendre ses limites évite de lui accorder une confiance excessive.
TLS sécurise la connexion entre votre appareil et le serveur, mais il ne dit rien de ce qui se passe une fois les données arrivées. Si le serveur est mal protégé ou compromis, vos données peuvent y être exposées malgré une connexion parfaitement chiffrée. La protection du transport ne remplace pas la sécurité du destinataire.
TLS ne garantit pas non plus l’honnêteté du site, comme l’illustre le cas du cadenas affiché par les sites d’hameçonnage. Il confirme une identité technique, le contrôle d’un domaine, mais pas les intentions de celui qui l’exploite.
Enfin, TLS dépend de la fiabilité du système d’autorités de certification. Si une autorité est compromise ou délivre un certificat à tort, des connexions frauduleuses peuvent être présentées comme légitimes. Des mécanismes de surveillance existent pour détecter et limiter ces abus, mais le risque ne disparaît jamais complètement.
Une protection nécessaire mais partielle
HTTPS et TLS sont devenus la norme du web, et c’est une excellente chose. Ils empêchent l’interception des données sur le réseau, détectent toute altération et authentifient le serveur. Naviguer sur un site non protégé, surtout pour saisir des informations sensibles, expose à des risques réels et évitables. Pour autant, le cadenas ne doit pas être lu comme un label de confiance générale. Il sécurise le chemin, à vous de juger la destination. Associé à la vigilance sur l’adresse réelle d’un site et aux bonnes pratiques de protection des comptes, TLS constitue une fondation solide de la sécurité en ligne, à condition de ne pas lui faire dire plus qu’il ne garantit.
