Ceci est un petit guide pour utiliser les grands sites dans leurs versions HTTPS, dits « sécurisées ».
Sur les sites HTTP (les sites normaux) les communications sont transmises en clair sur le réseau.
Ainsi, n'importe qui sur le réseau peut intercepter des informations et les lire. Je veux dire tout lire. Même votre mot de passe. Un exemple ? Voici ce qu'un pirate peut voir lorsque je me connecte à mon site web sur mon ordinateur (je vous rassure, ce ne sont pas mes vrais codes d'accès) :
Je vous le met là : nom_utilisateur=le+hollandais+volant&mot_de_passe=test
À chaque fois que vous vous connectez sur un site, ces informations sont transmises. Elles sont en revanches chiffrées (cryptées) quand vous utilisez un site sécurisé en HTTPS.
Voilà pourquoi il faut vérifier qu'un site web est sécurisé avant de taper son mot de passe.
Aujourd'hui, les gouvernements ainsi que certaines sites utilisent des mesures de surveillance et de traçage des internautes. Les sites gagnent en effet de l'argent en revendant ces informations. Utiliser du HTTPS permet de protéger notre vie privé, dans le sens où seul le site en question pourra lire les données que vous lui fournissez, un script externe inclus dans la page ne pourra pas lire ce que vous transmettez.
Cette page détaillera comment utiliser le HTTPS sur divers grands sites, dont la liste est donnée ci dessous dans le sommaire (n'hésitez pas à me contacter - lien en bas de la page - si vous voulez voir apparaitre un site particulier dans la liste).
L'adresse pour utiliser Google en HTTPS est https://encrypted.google.com/.
Il suffit d'utiliser cette page comme page de recherche Google. C'est tout.
Les autres services de Google sont toujours disponibles sur le coté plutôt qu'en haut.
La connexion au site se fait en HTTPS, mais la navigation sur le site lui même ne l'est pas par défaut. Voici comment mettre tout en HTTPS :
Allez dans Compte > Paramètres du compte :
Ensuite, déroulez la section Sécurité du compte, cochez la case Utiliser une connexion sécurisée (https) pour Facebook lorsque possible, puis enregistrez :
Normalement Facebook sera en HTTPS sur tout le site.
Pour Wikipedia en HTTPS, il faut utiliser cette adresse : https://secure.wikimedia.org/wikipedia/en/wiki/Main_Page.
La version HTTPS de Wikipédia est reconnaissable avec son icône noire :
N'oubliez pas non plus de changer les moteurs de recherches de vos navigateurs.
Il s'agit d'utiliser l'adresse suivante : https://www.youtube.com/.
Notez que Youtube fonctionne également pour l'intégration des vidéos sur les sites. Un site normal peut très bien intégrer une vidéos en HTTPS.
Sur twitter, il faut activer l'option dans les préférences :
Ensuite, déscendez et activez la ligne Toujours utiliser le HTTPS :
Maintenant vous utiliserez Twitter en version sécurisé :
Activer la version sécurisée de Gmail se passe dans les préférences :
Ensuite activez la fonction Toujours utiliser le protocole https :
N'oubliez pas d'enregistrer vos préférences en bas.
Désormais Gmail sera en HTTPS.
Attention : utiliser cette méthode ne chiffrera la connexion que lorsque vous visiterez votre boite Hotmail depuis un navigateur. Ni l'utilisation d'un logiciel comme Outlook ou Live Mail ne seront sécurisées.
Les discussions sur Msn Messenger ne seront eux non plus pas sécurisées (et peuvent mal fonctionner, d'après le site de Microsoft).
Commencez par vous connecter sur votre boite mail : https://login.live.com.
Rendez vous ensuite à cette page et cliquez sur Connect with HTTPS :
Sur la nouvelle page, activez l'option du HTTPS, en bas :
L'EFF a créée une extention (uniquement pour Firefox) qui active automatiquement le HTTPS pour tous ces sites, et d'autres.
Vous pouvez l'obtenir depuis cette page.
HTTPS ne veut pas forcément dire « sécurisé ». Un site sécurisé est en HTTPS, mais parfois l'inverse n'est pas vrai.
En théorie le HTTPS, tout comme le petit cadenas, signifie que les données sont chiffrées, pas que le site est sûr. Pour que le site HTTPS soit sûr, il doit avoir été vérifié et signé par une autorité de certification comme par exemple Verisign (et encore…).
Dans les navigateurs, cela se traduit d'une façon simple : les sites vérifiés ET utilisant le HTTPS intégral ont une icône verte. PAr exemple, dans le navigateur Opera on voit apparaitre la mention « De confiance » :
Dans le cas où le site est bien chiffré mais qu'il n'a pas été signé, le navigateur le déclare « sécurisé » :
Attention : même un site pirate ou un site piégé peut être sécurisé. Cette mention ne signifie rien concernant la fiabilité du site. Ne vous laissez pas avoir…
Si le site est bien en HTTPS mais que certaines informations ne sont pas chiffrées, il apparait comme n'importe quel site :
Si vous visitez un site sensible (votre banque par exemple) et que la connexion n'est pas chiffrée, il ne faut pas utiliser le site. Les informations ne seront pas forcément chiffrées et n'importe qui pourra le voir.
Page créée en juin 2011. Mise à jour le dimanche 5 juin 2011
Adresse de la page : http://lehollandaisvolant.net/tuto/secure/