Actuellement, la plupart des sites Web utilisent HTTPS par défaut et est devenu un outil indispensable pour la confidentialité, car il permet le chiffrement des communications de bout en bout.
Dans la grande majorité des cas où vous naviguez sur Internet via un navigateur web ou une application sur un appareil mobile, des connexions cryptées sont utilisées par le protocole de communication HTTPS (Hypertext Transfer Protocol Secure ou HTTP sur TLS). Cette technique a d’abord été appliquée pour sécuriser les communications sur les moyens de paiement ou la banque en ligne. Aujourd’hui, la plupart des sites Web utilisent HTTPS par défaut et sont devenus un outil indispensable à la vie privée, car il permet le chiffrement des communications de bout en bout, c’est-à-dire entre les deux parties qui communiquent.
HTTP (Hypertext Transfer Protocol) est le protocole utilisé sur Internet pour les communications entre les navigateurs ou Apps et les serveurs Web. Créé dans les années 1990 et mis à jour en 2000, il ne prévoyait pas, dans sa configuration initiale, de mesures garantissant la confidentialité des communications, comme tous les protocoles mis en place à l’époque. Une façon de résoudre cette lacune est à travers la technologie VPN (réseau privé virtuel) qui permet de tuneler et de chiffrer ces protocoles dangereux à travers des outils tiers.
Une mise à jour HTTP, publiée en 2015 et connue sous le nom de HTTP2, prenait en compte le cryptage des communications de bout en bout, mais en option. La version HTTP3, récemment publiée, comprend, entre autres améliorations, le chiffrement des communications comme une mesure obligatoire. Pour le moment, il ne représente que 7 % de l’utilisation sur Internet, mais on s’attend à une adoption très rapide de ce protocole car il contribuera positivement à la vie privée sur Internet.
Parallèlement à l’évolution de HTTP, et pour combler les lacunes originelles de HTTP, la société Netscape a développé le protocole SSL (Secure Socket Layer), un ajout pour travailler avec HTTP, qui permet d’effectuer le chiffrement des informations transmises et d’assurer à la fois l’intégrité et la confidentialité.
Adopté comme norme de facto dans le chiffrement des communications Internet via l’intégration HTTP, SSL est devenu TLS (Transport Layer Security). TLS 1.0 a été mis en œuvre en 1999 et, par la suite, pour faire face à différents problèmes de sécurité, a eu plusieurs mises à jour. Il est actuellement dans la version TLS1.3 qui est la norme utilisée par la nouvelle version HTTP3.
Les applications HTTP sur TLS, ou HTTPS, fournissent la confidentialité et l’intégrité des communications, ainsi que l’authenticité quant à savoir si nous pouvons confirmer que nous accédons au serveur écrit dans la barre d’adresse du navigateur. Cependant, il ne faut pas oublier qu’il existe des attaques comme le phishing.
Ces attaques comprennent un lien qui redirige vers un domaine frauduleux, avec une adresse trompeuse, même avec un certificat valide pour ce domaine. Ces attaques visent à obtenir des données personnelles à des fins non légitimes en se substituant au site de l’entité légitime.
Afin d’assurer la compatibilité avec les outils non actualisés, les sites Web permettent généralement des connexions à des protocoles qui ne comportent pas de garanties adéquates. Depuis les organismes de cybersécurité ne sont pas recommandés d’utiliser des versions antérieures à TLS1.2 parce qu’ils considèrent comme dangereux. Les administrateurs de site Web doivent configurer les serveurs pour qu’ils n’acceptent que les dernières versions de TLS. En outre, il est également recommandé de vérifier les vulnérabilités TLS. Pour ce faire, les utilisateurs peuvent utiliser des outils, qu’ils soient en ligne ou installables localement, comme testssl.sh qui permettent d’auditer la sécurité de notre serveur par rapport à l’utilisation de HTTPS.
SOURCE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA SPAGNA – AEPD