https, SSH, SSL… ne vous disent rien? Ce sont pourtant des éléments de sécurisation essentiels. Comment les données sont-elles sécurisées?
Comment savoir si une page est sécurisée?
Il y a deux signes qui prouvent qu’une page est sécurisée, c’est-à-dire que personne en dehors de vous (le client) et le site (le serveur) ne peut accéder à vos données ni aux “données” echangées, comme le code de carte bancaire par exmple.
Le premier signe est le suivant :
On remarque que contrairement à d’habitude, le début de l’adresse n’est pas http mais https (le “s” signifie “secure”, ou “sécurisé”). Le deuxième signe est le petit cadenas situé à droite de la barre d’adresse dans IE, en bas à droite dans Firfox, en haut à droite dans Safari.
Protocoles de sécurité
Avant de commencer, il y a un peu de vocabulaire à connaître. Quand vous envoyez une information à un site, vous êtes le client et le site est le serveur.
Même s’il existe beaucoup de protocoles de sécurisation, le largement plus répandu est SSL : “SSL” signifie “Secure Socket Layer” . Lorsque le client demande à envoyer de l’information au serveur :
Le protocole SSL : divise, compresse, signe cryptographiquement les données de sorte que le serveur accepte les données. Puis chiffre une code et réalise l’envoie.
De son côté le serveur déchiffre les données, vérifie la signature cryptographique, décompresse les données et rassemble les paquets de données pour obtenir des données reconstituées.
Le protocole SSL est compatible avec les nombreuses extensions: HTTP (https), FTP (ftps, envoi de fichier sécurisé) et bien d’autres. Il peut même créer ce qu’on appelle un tunnel SSL pour le POP3, c’est-à-dire que quand vous envoyez un message (via le serveur POP3, le serveur de messagerie) il isole le message lorsqu’il passe sur internet de sorte que personne ne peut y accéder, tandis que sans sécurité, le message est accessible, donc le compte de l’expéditeur aussi : vous êtes facilement piratable.
Cependant, attention : le petit cadenas et SSL ne garantissent QUE LE TRANSPORT de l’information. Après, un programme malveillant peut très bien détourner l’information sur votre ordinateur avant l’envoi (par exemple, avec votre code de carte bancaire, même si la page est sécurisée, un keylogger (logiciel enregistrant tout ce que vous tapez au clavier) peut très bien intercepter l’information avant son transfert) ou bien après son arrivée (si le site n’est pas assez sécurisé, un logiciel pirate peut facilement s’y infiltrer et trouver le code enregistré dans les archives)
De la même manière que quelqu’un peut se faire passer pour un agent de police, les pirates du web peuvent faire apparaître le cadenas sur leur site alors que ce sont des truands. Si vous voyez un site avec une adresse douteuse, des prix vraiment trop bas, et une présentation négligée (même bonne c’est possible !) et dont vous n’avez jamais entendu parler, prenez un minimum de précautions. Contactez au préalable le vendeur et faite une brève recherche sur le web.
