Sécurité sur Internet : une lettre fait la différence

Depuis 2017, Google livre une guerre sans merci contre les sites au label HTTP. En effet, ils représentent un danger pour la sécurité des utilisateurs puisque leurs données ne sont pas protégées contre les attaques extérieures. La firme pousse les développeurs à passer au HTTPS. Mais en quoi est-ce qu’une seule lettre peut faire la différence ?

Lorsque vous surfez sur Internet, vous jonglez avec un tas d’informations personnelles : mots de passe, numéro de carte bancaire, adresse mail, adresse du domicile, etc. Votre ordinateur communique avec le serveur internet et vice-versa. Ces données sont généralement protégées par un système d’encryptage. Néanmoins, tous les sites ne disposent pas d’une telle protection et cela met votre vie privée en danger.

Sur les sites dont la connexion n’est pas sécurisée, il peut arriver qu’une tierce partie s’interpose entre vous et le serveur et ait accès à toutes les données que vous avez insérées sur le ou les site(s) en question. Mais ce n’est pas tout. Ces hackers ont également la possibilité de modifier le contenu de ces sites non sécurisés. Leur but est de berner l’utilisateur et de lui faire installer des malwares. Grâce aux certificats SSL (Secure Locket Layer) ajoutés aux sites HTTP, les utilisateurs n’ont pas de souci à se faire.

Le HTTPS, c’est quoi ?

Un site en HTTPS vous permet d’entrer des données personnelles (numéro de carte de crédit, par exemple) et de remplir des formulaires en toute sécurité. De plus, cela empêche les hackers de s’immiscer dans le site et de remplacer le contenu.

Le protocole HTTPS sert à crypter les informations transmises et les rend intelligibles au serveur Google et est donc très important lorsque vous utilisez les connexions sans fil. Mais comment est-ce qu’il fonctionne ?

Lorsque vous vous connectez à un site, votre ordinateur demande tout d’abord l’établissement d’une connexion sécurisée par un certificat SSL. En réponse, le serveur présente son certificat à votre ordinateur (validé et signé par une personne de confiance). Votre ordinateur transmet ensuite une clé de cryptage unique au serveur (encodée grâce à la clé publique du serveur). Puis, le serveur décrypte finalement cette clé à l’aide de sa propre clé privée. C’est ainsi que s’établit une connexion sécurisée.

Mesures strictes

Google est bien déterminé à faire disparaître toutes les adresses http et à rendre l’Internet plus sécurisé. En 2017 , le géant a annoncé qu’il serait plus sévère envers les sites qui n’utiliseraient pas le système d’encryptage HTTPS. Depuis septembre 2018 , tous les sites encore en HTTP se voient attribuer le label « non sécurisé » dans leur adresse. Un bon moyen pour dissuader les utilisateurs de se rendre sur les sites. Selon le site Blue Corona , 84% des utilisateurs sont susceptibles d’abandonner leurs achats sur un site non sécurisé.

Mais le géant ne compte pas s’arrêter là. Dans sa nouvelle version Chrome 70 , Google compte bloquer tous les sites qui utilisent un certificat de sécurité délivré par Symantec, l’entreprise derrière l’antivirus Norton. En effet, Google juge ses certificats trop obsolètes et peu fiables. Un bon moyen pour obliger les développeurs à se mettre à jour.

Google n’est pas le seul à vouloir enrayer tous les problèmes liés à ce manque de sécurité. Let’s Encrypt est une organisation sans but lucratif qui a comme objectif de contribuer à la sécurité sur le web. Pour ce faire, ils procurent des certificats SSL gratuitement aux sites qui en font la demande.

Trois politiciens sur cinq n’ont pas de site sécurisé

En novembre, le site Comparitech a conduit une étude sur l’utilisation du protocole HTTPS chez les politiciens. Ils ont analysé les sites de 7 500 politiciens à travers 37 pays du monde et ils sont parvenus à la conclusion que seuls 60,75% d’entre eux étaient sécurisés.

Les États-Unis sont en tête du classement avec une moyenne de 26,22 de sites peu sécurisés. Ils sont suivis par l’Angleterre avec 30, 65% et l’Allemagne avec 31,92%. Les dernières du classement sont la Corée du Nord avec 92,31%, la Pologne avec 91,16% et la Hongrie avec 90,91%.

La Belgique se trouve au centre du classement avec une moyenne de 56,67% de sites non sécurisés. Sur 200 partis/politiciens, 150 d’entre eux possèdent un site internet, mais 85% d’entre eux possèdent des sites sans HTTPS. Selon les chiffres de novembre 2018, les partis avec la meilleure sécurité internet (0% de risques) sont le Sp.a, Vuye & Wouters, suivi de la N-VA avec moins de 10% de risques. Les mauvais élèves étaient le Vlaams Belang, le Parti Populaire et le LDD avec un risque de 100%. Depuis, le Vlaams Belang et le Parti Populaire ont rejoint le protocole HTTPS. Les autres partis oscillent en moyenne entre 70% et 90% de taux de sécurité.

Les raisons de ce manque d’attention à la sécurité sont inconnues. En effet, le site Comparitech nous informe que les certificats SSL ne coûtent pas cher et permettent d’assurer la fiabilité du site.

Thomas Bagnoli