Aller au contenu

Protocole HTTPS

L'HyperText Transfer Protocol Secure (HTTPS : « protocole de transfert hypertextuel sécurisé ») est la combinaison du protocole HTTP avec une couche de chiffrement.

Le protocole HTTPS permet au visiteur de vérifier l'identité du site web auquel il accède, grâce à un certificat d'authentification émis par une autorité tierce, réputée fiable (et faisant généralement partie de la liste blanche des navigateurs internet). Il garantit théoriquement la confidentialité et l'intégrité des données :

  • envoyées par l'utilisateur (notamment des informations entrées dans les formulaires)
  • reçues par le serveur.

Exemples

  1. Le protocole sécurisé HTTPS peut permettre de valider l'identité du visiteur si celui-ci utilise également un certificat d'authentification client.

  2. Ce protocole est aussi généralement utilisé pour les transactions financières en ligne :

    • commerce électronique ;
      • banque en ligne ;
      • courtage en ligne ;
      • etc...
  3. Il est aussi utilisé pour la consultation de données privées, comme les courriers électroniques par exemple.

Par défaut, les serveurs HTTPS sont connectés au port TCP 443.

Exemple

Connectez-vous au site la banque postale.
Vérifiez que le port d'écoute est 443.

Une réponse

Avec [F12], on consulte le détail de la connexion (cliquer sur n'importe quelle requête GET puis déployez la petite flèche à côté du GET) : type reponse

L'adresse IP du serveur est 83.206.67.137:443.
La partie :443 signifie que la machine se trouvant à l'adresse IP 83.206.67.137 écoute sur le port 443.

Principe du protocole HTTPS

Le protocole HTTPS est identique au protocole web HTTP en lui ajoutant un ingrédient supplémentaire, dit TLS, qui fonctionne à peu près comme suit :

  1. le client (par exemple le navigateur Web) contacte un serveur (par exemple Wikipédia) et demande une connexion sécurisée, en lui présentant un certain nombre de méthodes de chiffrement de la connexion ;
  2. le serveur répond :
    • en confirmant pouvoir dialoguer de manière sécurisée
    • en choisissant dans cette liste une méthode de chiffrement
    • et surtout en produisant un certificat garantissant qu'il est bien le serveur en question et pas un serveur pirate déguisé.

Ces certificats électroniques sont délivrés par une autorité tierce dans laquelle tout le monde a confiance (un peu l'équivalent d'un notaire dans la vie courante).
Le certificat contient aussi une clef publique qui permet de crypter un message pour le rendre uniquement déchiffrable par le serveur qui a émis cette clef (grâce à une clef privée, que seul le serveur détient). Cela permet au client d'envoyer de manière secrète une clef de chiffrement symétrique qui permettra le chiffrement des échanges entre le serveur et le client.

En bref

Serveur et client se sont reconnus, ils ont choisi une manière de chiffrer la communication et se sont passés de manière chiffrée une clef de chiffrement symétrique pour dialoguer de manière secrète. protocole HTTPS

SSL

Le protocole HTTPS s'appuie sur le système SSL. Vous pouvez parcourir cette page pour savoir de quoi il retourne.

Information

La notion de chiffrement sera approfondie en classe de Terminale.