Etant conceptrice de sites Internet, autant vous dire que je passe beaucoup de temps à naviguer sur la toile, que ce soit pour le travail ou pour le loisir. Je suis énormément surprise de tomber sur beaucoup de sites toujours en http alors que la norme est passée en https depuis plusieurs années. Je vais vous expliquer pourquoi il est impératif de passer votre site en HTTPS et ce que cela signifie.

Comment savoir si votre site est en HTTPS ou HTTP ?

C’est très simple, lorsque vous consultez votre site web, son adresse doit commencer par https://lenomdevotresite.fr au lieu de http://lenomdevotresite.fr (ou .com ou autre).

Vous pouvez le voir dans la barre d’adresse de votre navigateur, en haut à gauche. Si votre accès est sécurisé, vous verrez apparaître un cadenas et la mention « votre connexion est sécurisée ». C’est nickel.

Voici un site ayant une connexion entièrement sécurisée

Si le cadenas est présent mais ouvert : votre site n’est pas entièrement sécurisé. Il se peut que la cause soit qu’il y ai des liens commençant par « http » au lieu de « https ».

Cas n°3 : aucun cadenas dans la barre d’adresse et il est noté « non sécurisé ». Quand on clic que le picto d’information il apparaît :

« votre connexion à ce site n’est pas sécurisée. Vous ne devriez pas saisir d’informations sensibles sur ce site (comme par exemple, vos mots de passe ou vos informations de paiement) car elles risquent d’être dérobées par des pirates informatiques. »

Votre navigateur
Voici ce qu’il apparaît quand votre site n’est pas sécurisé

Il y a de quoi refroidir les visiteurs non ?

Cas le pire du pire : le picto rouge « attention » avec la mention « Non sécurisé ou dangereux ». Là, carrément l’accès à votre site est défini comme dangereux et les internautes arriveront sur une page qui les avertira du danger encouru et il y a très peu de change q’ils passent outre de ces informations de sécurité pour consulter votre site.

Si vous êtes dans cette situation, c’est un gros problème car votre site ne vous est plus d’aucune utilité. Il est nécessaire d’engager un webmaster afin qu’il mette en place un accès sécurisé sur votre site.

Qu’est ce que le protocole HTTPS ?

La technologie dite « HTTPS » signifie HyperText Transfer Protocol Secure. Elle permet de sécuriser les connexions des visiteurs sur des sites web. Cela permet de certifier que le site sur lequel on se connecte est bien celui dont l’adresse s’affiche dans la barre d’adresse du navigateur. De plus, le HTTPS chiffre les données échangées entre un navigateur et un site Web afin d’empêcher toute personne (fournisseur d’accès, espion…) de modifier ou de surveiller les données au cours de leur acheminement.

Historique

Ce cadenas qui indique la sécurisation d’un site, les internautes avaient commencé à s’y habituer, surtout sur les connexions sensibles telles que les accès à leur compte bancaire et pour sécuriser vos achats en ligne. Ce protocole s’est frayé un chemin sur un nombre croissant de sites. En avril 2013, Facebook l’a mis en place pour tous ses utilisateurs. En 2014, YouTube a commencé à lui emboîter le pas.

Mais c’est surtout sous la pression de Google que se parachève l’adoption du HTTPS. Depuis 2015, le géant du Web pénalise de plus en plus les sites qui ne l’ont pas mis en place. 

Depuis août 2014, le géant de la recherche en ligne prend en compte le fait qu’un site est ou non en HTTPS pour le classer dans les résultats des recherches. A partir du mois de juillet, il va même indiquer dans son navigateur, Chrome, à propos des sites n’adoptant pas ce standard, que ceux-ci ne sont « pas sécurisés ».

Le Monde

Attention au piratage

Attention à la sécurisation des données sensibles

L’accès sécurisé à un site HTTPS ne doit pas vous empêcher de vérifier sa provenance. En effet, cette technologie est accessible à tous et même aux personnes mal intentionnées. Ainsi vérifier bien l’adresse dans la barre d’URL. Par exemple un site malveillant peut être conçu pour se faire passer pour un autre (ma-banque-paiement.fr au lieu de ma-banque.fr). On voit beaucoup d’arnaques envoyées par email également.

Dernièrement, j’ai vu des faux emails venant soit-disant de l’hébergeur OVH qui annonçent que votre nom de domaine a expiré et que votre site est hors ligne. On vous demande de cliquer sur le lien pour payer la facture. Il ne faut surtout pas cliquer sur le lien ni entrer vos informations confidentielles. C’est un pirate qui vous volera vos données et votre argent. En cas de doute, faites appel à votre bon sens. Si vous avez contracté un contrat chez OVH il y a à peine 2 mois pour une durée d’un an, ce n’est pas logique que l’on vous demande de payer à nouveau. De plus, vous recevrez des relances à 60 jours, 30 jours, 15 jour, etc de la part d’OVH avant la fin d’un service.

Contacter votre prestataire directement en cas de doute, sans utiliser l’email reçu.

Pour en savoir plus sur les méthodes de piratage :
https://transparencyreport.google.com/safe-browsing/overview