Lorsque vous surfez sur le web, faites-vous attention au petit cadenas à gauche de l'url ? Si non, sachez que ce cadenas signifie que le site sur lequel vous naviguez communique avec le protocole https. Mais qu'est-ce que cela signifie ?

Avant de commencer, il faut savoir qu'un site est divisé en 2 parties : le "back-end" est la partie qui se trouve sur le serveur du site, là où se trouve toute la partie logique (comme le traitement des données) et le "front-end" est la partie visible, avec laquelle vous interagissez via votre navigateur. Et pour communiquer entre les deux, pour envoyer et traiter les données d'un formulaire par exemple, le site va utiliser un protocole de communication appelé http (hyper text tranfer protocol).

Http vs Https

Pour la grande majorité des sites, ce protocole convient parfaitement mais pour certains, il a un défaut : les communications entre votre navigateur et le serveur ne sont pas cryptées... Ce qui signifie que si une personne mal intentionnée espionne votre réseau, elle est en mesure de voir toutes ces communications.

Sur un site classique, comme ce blog par exemple, les seules communications seront "va me chercher telle page", "va me chercher telle illustration", il n'y a donc aucune donnée sensible à intercepter. Mais maintenant, imaginez que vous surfez sur un site e-commerce, vous remplissez votre panier et vous voulez passer au paiement. Vous avez compris, les informations telles que votre adresse ou vos données bancaires ne doivent absolument pas être interceptées ! Voici pourquoi le protocole https est super important, en chiffrant les communications entre votre navigateur et votre serveur, même si une personne espionne votre réseau, elle ne pourra pas lire et comprendre les données qui sont envoyées.

Mais comment cela fonctionne ?

Le protocole https est l'association du protocole http et de SSL (secure socket layout), celui-ci permet un échange de clés entre le client (votre navigateur) et le serveur pour crypter les communications. Mais alors, que se passe-t-il si un pirate est en train d’observer le réseau pendant les échanges de clés, il pourra décrypter et voir les données en clair ? Et bien non, car cela se passe en plusieurs temps pour établir le canal de connexion. D'abord, le serveur envoie une clé publique qui permet au client de crypter les échanges. Le client va donc crypter sa clé privée avec la clé publique du serveur et envoyer le résultat. Seul le serveur pourra décrypter la clé du client avec sa clé privée. Chacun se servira alors de sa clé pour crypter et décrypter les messages envoyés.

Moralité de l'histoire, si vous devez envoyer des données sensibles ou confidentielles sur un site, vérifiez bien que ce site est sécurisé !

Pour les développeurs :

Au-delà de l'aspect sécurité sachez que passer votre site en https est bon pour votre SEO. En effet, vos visiteurs seront plus confiants lorsqu'ils surferont sur votre site, ils seront donc plus aptes à vous envoyer leurs données ou à effectuer des achats et revenir sur votre site. Mais surtout, vous devez savoir que Google privilégie les sites en https dans les résultats de recherche, donc si vous voulez améliorer votre référencement, pensez-y !