Pourquoi il est toujours important de savoir ce qu’est HTTPS
Internet est passé discrètement d’un système ouvert non chiffré à un système chiffré, et la plupart des utilisateurs l’ont à peine remarqué. Approximativement entre 2014 et 2018, HTTPS est passé de quelque chose que de nombreux sites Web considéraient comme facultatif à quelque chose que tout site Web public sérieux était censé avoir. HTTPS est la version protégée de HTTP, le système de base que les navigateurs utilisent pour demander des sites Web et recevoir des pages en retour. La différence importante est que HTTPS chiffre la connexion entre votre navigateur et le site Web, de sorte que le réseau situé entre les deux ne peut normalement pas lire ni modifier discrètement ce qui est envoyé. Mais à mesure que HTTPS est devenu la norme par défaut, les navigateurs l’ont aussi rendu moins visible. Au lieu de montrer aux gens la technologie sous-jacente à la page, les navigateurs modernes ne signalent généralement le problème que lorsque quelque chose ne va pas : une mention « Non sécurisé », un badge d’avertissement ou un autre signal discret indiquant que la connexion n’est pas protégée. Cela crée une situation étrange dans laquelle l’une des mises à niveau de sécurité les plus importantes de l’histoire du Web protège désormais les gens chaque jour, alors que beaucoup d’entre eux n’ont jamais appris ce que c’est, ce que cela fait, ni ce que cela ne fait pas.
Il n’est pas surprenant que beaucoup de gens n’aient jamais entendu les termes HTTPS ou SSL, même lorsqu’ils passent leur carrière autour d’entreprises Internet. Les navigateurs exposent encore ces détails si vous cliquez dans la barre d’adresse, mais la plupart des gens ont peu de raisons d’aller les chercher, et ce qui s’y trouve ne signifierait pas grand-chose sans contexte. D’une certaine manière, cela se comprend, car HTTPS est devenu la norme attendue et les gens ne devraient pas avoir à penser aux certificats chaque fois qu’ils ouvrent un site Web. Mais je pense tout de même que quelque chose s’est perdu. Tant que le HTTP simple fonctionne encore, trop bien cacher ce vocabulaire laisse la porte ouverte à un manque de connaissances. Résultat : des termes comme HTTP, HTTPS et SSL peuvent sembler totalement inconnus, même si HTTPS fait partie de l’adresse complète de presque tous les sites Web sérieux que les gens utilisent, simplement parce que ce n’est plus quelque chose que les navigateurs mettent généralement sous leurs yeux.
La raison pour laquelle cela compte est qu’Internet n’est pas un tunnel privé direct entre votre ordinateur et un site Web. Votre connexion passe par d’autres systèmes en chemin. Cela peut inclure votre routeur domestique, un réseau Wi-Fi de café, un réseau de bureau, un réseau d’hôtel, votre fournisseur d’accès à Internet et d’autres infrastructures entre vous et le site que vous visitez. Avec le HTTP simple, certaines parties de cet échange peuvent être exposées aux systèmes situés sur le trajet. HTTPS a changé cela en rendant la connexion beaucoup plus difficile à inspecter ou à manipuler depuis le milieu. Il n’a pas rendu tous les sites Web dignes de confiance, et il n’a pas fait disparaître tous les risques sur Internet, mais il a rendu la navigation ordinaire bien plus privée qu’elle ne l’était auparavant.
Une manière simple de penser au HTTP simple est qu’il peut faire en sorte que certaines parties de votre navigation se comportent davantage comme une carte postale que comme une enveloppe scellée. Le message peut quand même arriver là où il est censé aller, mais les systèmes qui le manipulent en chemin peuvent être capables d’en voir plus que vous ne l’imagineriez. Cela ne signifie pas que chaque opérateur réseau était assis là à lire le trafic des gens, mais la conception laissait davantage d’éléments exposés que la plupart des gens ne le supposeraient aujourd’hui. Si vous vous connectiez à un compte, soumettiez un formulaire, lisiez une page privée ou chargiez du contenu sur un Wi-Fi public, la connexion elle-même ne vous offrait pas le même niveau de protection que celui que les gens attendent désormais du Web moderne.
Ce changement compte parce que le Web a cessé d’être un endroit où les gens se contentaient de lire des pages publiques. Les gens ont commencé à utiliser des sites Web pour acheter des choses, se connecter à des banques, gérer des entreprises, envoyer des messages privés, téléverser des documents, réinitialiser des mots de passe et saisir des informations de carte bancaire. Si HTTPS n’était pas devenu normal, faire ces choses, en particulier sur des réseaux partagés, semblerait très différent. Le Wi-Fi public dans un café, un aéroport, un hôtel, une école ou un bureau serait probablement un risque beaucoup trop grand. Cela ressemblerait à un endroit où la navigation ordinaire comporterait un risque de confidentialité beaucoup plus évident. HTTPS est l’une des raisons pour lesquelles les gens peuvent considérer le Web comme une infrastructure du quotidien plutôt que comme quelque chose auquel ils ne peuvent effectivement pas faire confiance.
C’est pourquoi il est encore important de comprendre la différence. HTTPS est courant maintenant, mais ce n’est pas magique, et il n’est pas garanti simplement parce qu’un site Web existe. Un site doit être configuré pour utiliser HTTPS, et idéalement il devrait aussi rediriger les gens de HTTP vers le protocole HTTPS protégé. De nombreuses plateformes gèrent désormais cela automatiquement, mais cela reste un choix de configuration quelque part dans la pile. Si un serveur est mal configuré, qu’un ancien favori pointe vers la mauvaise adresse ou qu’un lien a été écrit avec HTTP au lieu de HTTPS, une personne peut encore arriver sur une URL non protégée d’un site Web, sauf si celui-ci a été correctement configuré. Cette variation est la principale raison pour laquelle comprendre ce qu’est HTTPS reste important.
WebCull a récemment apporté un changement petit mais important à ce sujet. Nous affichions déjà un cadenas lorsqu’une URL enregistrée utilisait HTTPS, un peu comme les navigateurs signalent souvent qu’une connexion est protégée. Le nouveau changement se concentre sur l’autre côté de cet état. Lorsqu’une URL enregistrée utilise encore le HTTP simple, WebCull affiche désormais « Pas de HTTPS » de manière plus directe et donne à l’utilisateur une option claire pour activer HTTPS en un seul clic. C’est important parce que les favoris peuvent figer d’anciennes versions du Web. Un site peut prendre en charge HTTPS aujourd’hui, mais un ancien favori, un lien copié ou une URL enregistrée manuellement peut encore pointer vers http:// au lieu de https://. Dans ce cas, le site Web peut avoir progressé, mais l’adresse enregistrée, elle, non. Un favori peut conserver une adresse ancienne ou incomplète longtemps après que le site Web lui-même a évolué. Un site peut prendre en charge HTTPS aujourd’hui, mais si le favori a été enregistré il y a des années, copié depuis une ancienne page ou écrit avec http:// au lieu de https://, l’URL enregistrée peut encore pointer vers la version non protégée. Dans ce cas, le problème n’est pas que le site Web n’a pas de version sécurisée. Le problème est que le lien enregistré n’a pas suivi, et WebCull essaie d’aider en attirant votre attention sur ce point avec clarté. La plupart des gens n’ont pas besoin de comprendre toute l’histoire de SSL, des certificats ou du chiffrement Web pour utiliser Internet en toute sécurité. Mais ils devraient savoir que HTTP et HTTPS ne sont pas la même chose, et les logiciels devraient indiquer clairement quand un navigateur ou un gestionnaire de favoris n’utilise pas HTTPS. Le changement de WebCull est une petite partie de cela : rendre la version plus sûre d’un lien enregistré plus facile à voir, plus facile à utiliser et moins susceptible de rester cachée derrière une ancienne adresse.
Les navigateurs font déjà une grande partie de ce travail une fois qu’une page est ouverte. Ils affichent les informations du site, les détails de connexion, les avertissements et les messages « Non sécurisé » lorsque quelque chose ne va pas. Mais les gestionnaires de favoris traitent généralement les URL comme de simples liens enregistrés. Ils stockent l’adresse, le titre et peut-être une icône, mais ils n’aident généralement pas l’utilisateur à comprendre si l’adresse enregistrée utilise la version protégée du site. C’est important parce que le navigateur n’intervient qu’après l’ouverture du lien. Si l’URL enregistrée utilise encore HTTP, le gestionnaire de favoris est l’un des rares endroits où ce problème peut être remarqué avant que l’utilisateur ne clique.
WebCull essaie de jouer un petit rôle dans cette transition. Les navigateurs portent déjà une grande partie de la responsabilité d’aider les gens à naviguer sur le Web de manière plus sûre, mais les gestionnaires de favoris n’en font souvent pas assez pour protéger les adresses enregistrées auxquelles les gens reviennent plus tard. Ajouter des indicateurs HTTPS plus clairs, avertir lorsqu’une URL enregistrée utilise encore le HTTP simple et offrir aux utilisateurs un moyen facile de mettre à niveau d’anciens liens sont de petits changements, mais ils aident à rendre la version plus sûre du Web plus visible au lieu de la laisser cachée en arrière-plan.