HTTP VS HTTPS

Tout le monde a déjà entendu ou lu "faut pas aller sur des sites en http", et on est globalement resté sur: https c'est http + le S de secure.

Bon, c'est chouette mais c'est quoi la différence entre http et https, et pourquoi http n'est pas considéré comme sécurisé?

On voit tout ça right here right now !

http est un protocole de communication qui permet à un client ( ordinateur / mobile ) de communiquer avec un serveur ( site web / app ). J'ai fais un article qui explique en détail tout ce fonctionnement ( lien dans les sources ).

Avec HTTP les données sont lisibles durant le transport

Lors de la communication entre notre ordinateur et le serveur, les données passent forcément par le réseau, par exemple par une borne wifi.

On peut voir le protocole http comme une ligne ferroviaire sur laquelle transitent les trains avec nos données. Les trains font des aller-retour sur cette ligne et permettent de communiquer. On parle de transport des données.

Avec http les données transitent "en clair", de manière lisible, donc n'importe quelle personne qui se place entre votre ordinateur et le serveur peut voir votre activité: les sites visités, les formulaires remplis etc...

le fonctionnement de ces attaques, dites "Man in the Middle" sera l'objet de mon prochain article! Donc si ça t'intéresse, abonne toi ! ;)

HTTPS: le chiffrement des données pendant le transport

On peut voir le protocole https comme l'ajout d'un tunnel entre le client et le serveur pour cacher le contenu des wagons à quiconque se place au milieu.

Comment fonctionne ce "tunnel" sécurisé ?

Et bien ce tunnel fonctionne par le chiffrement des données.

Le chiffrement est un procédé qui permet de rendre illisible des données sans une clé de déchiffrement.

Donc avec https, votre ordinateur et le serveur échangent un clé secrète qui permet d'empêcher les autres de lire le contenu des données pendant la communication. Puisque votre ordinateur et le serveur possèdent la clé, vous pouvez déchiffrer ce que le serveur vous envoie, et le serveur peut déchiffrer ce que vous lui envoyez, mais pas les personnes malveillantes qui pourraient espionner vos communications.

Alors est-ce que HTTPS veut vraiment dire sécurisé ?

HTTPS signifie que vos données sont chiffrées pendant le transport. Donc à la sortie de votre ordinateur, et jusqu'à l'entrée du serveur.

Mais attention, https ne protège vos données QUE durant le transport. Cela ne garantie donc ni la sécurité de votre ordinateur, ni la sécurité du serveur.

Ce qui veut dire que si l'attaque se place dans votre ordinateur ou dans le serveur, vos données ne sont pas sécurisées, même si vous communiquez avec https.

Disclaimer


Par soucis de simplicité je n'ai pas détaillé ici comment le client et le serveur échangent la clé de chiffrement.

Ce sera peut-être l'objet d'un prochain article, sinon si ça t'intéresse d'aller plus loin il y a une super vidéo de CodeRock qui expliquent beaucoup plus en détail le fonctionnement:

https://www.youtube.com/watch?v=WIMKeyJ60Rw

Articles mentionnés:

Comment on communique sur le web? - le protocole http
💡 Cet article est le premier de la mini-série: “Comment fonctionne une application web ?”. Sur le web on ne fait sans cesse que communiquer. Ton laptop communique avec chaque site sur lequel tu te connectes 🌐 ! Sur le web on communique par un système informatisé qu’est internet. Donc on ne fait…
Decode - by TancrèdeTancrède Simonin

License

Toute cette mini-série est open-source. ( ouaip il y a pas que le code qui peut être open-source ! )

La license choisie signifie que tu peux faire ce que tu veux avec son contenu tant que tu me crédites 😎. royal au bar j'ai dit !

Tech me about it: "comment se protéger des cyberattaques | pour startups et PME" © 2022 by Tancrède Simonin is licensed under Attribution 4.0 International

Tagué dans

tech me about it questions à un dev cybersecurité les bases