SSL et TLS : utilisation en HTTPS

SSL (Secure Sockets Layer) est une technologie utilisée pour sécuriser la transmission des informations sur Internet. Elle consiste à chiffrer les données sensibles qui transitent entre deux systèmes, telles que les mots de passe ou les informations de paiement, afin d’éviter qu’elles ne soient interceptées par des tiers.

Le protocole SSL va de pair avec le protocole HTTP, indispensable au transfert de données sur le web. Le certificat SSL/TLS est ce qui vient ajouter le S (pour Secure) au sigle HTTP, garantissant la sécurité et la confidentialité des données échangées. Lorsque le certificat est installé sur un site Internet, le sigle HTTPS est alors visible dans la barre d’adresses du navigateur. Il est généralement accompagné d’une icône de cadenas située à gauche de l’adresse URL, indiquant que la connexion est sécurisée.

TLS (Transport Layer Security) est simplement une version plus récente et plus sécurisée de SSL, qui est venue remplacer ce dernier pour une grande majorité des sites Internet depuis son introduction en 1999. Si le terme SSL est toujours largement utilisé, il désigne aujourd’hui tout aussi bien les certificats SSL que TLS.

TLS et SSL utilisent tous deux un procédé de chiffrement pour protéger les données transférées à travers le web. Le protocole TLS ou SSL s’ajoute au protocole TCP (Transmission Control Protocol) lors du transfert des informations, constituant une couche de sécurité supplémentaire. Les informations envoyées et reçues entre le client et le serveur (ou entre les deux serveurs) sont ainsi rendues totalement indéchiffrables par les tiers.

Lorsque la connexion TCP est établie, SSL lance ce que l’on appelle une négociation SSL. Celle-ci intervient en 4 étapes :

1. Le client envoie une requête “hello” au serveur web avec lequel il souhaite communiquer. Il indique les types de chiffrement (algorithmes de chiffrement) que le client peut prendre en charge.
2. Le serveur renvoie un “hello” avec son certificat SSL et sa clé publique. Le client et le serveur utilisent ici la cryptographie asymétrique pour échanger des messages sécurisés. Cela signifie que le client a besoin de la clé publique du serveur pour chiffrer les messages et que le serveur a besoin de deux clés (privée et publique) pour les déchiffrer. Aucune personne espionnant l’activité ne peut déchiffrer les messages.
3. Le client utilise ensuite la clé publique du serveur pour créer un pre-master secret qu’il envoie au serveur. Ce secret sera utilisé pour créer des clés de session et faire passer la communication au chiffrement symétrique. Les deux parties n’utiliseront plus que des clés privées. La cryptographie symétrique rendra leur communication beaucoup plus rapide et utilisera moins de ressources.
4. Le serveur déchiffre le pre-master, l’utilise pour créer une clé symétrique et l’échange avec le client. Le chiffrement symétrique étant établi, ils peuvent désormais échanger des communications chiffrées. Le trafic du site web est sécurisé.

Le certificat SSL (ou TLS) est délivré par une autorité de certification aux propriétaires de noms de domaine qui en font la demande. À ce titre, il existe trois différents niveaux de validation :

• Validation de domaine (DV) : il s’agit du niveau le plus basique de certification, qui requiert uniquement de l’entreprise qu’elle prouve son contrôle sur le nom de domaine concerné. Il n’est recommandé que dans le cadre d’un test de serveurs ou de liens internes d’un site web, ainsi que pour les particuliers.
• Validation d’organisation (OV) : ce certificat représente une authentification plus forte, puisqu’elle demande aux candidats de prouver que leur entreprise est enregistrée et légalement responsable. Ce niveau de certification est le minimum nécessaire pour les sites web accessibles au public et gérant des données personnelles.
• Validation étendue (EV) : le certificat SSL de validation étendue est le plus haut niveau de certification, qui demande des informations additionnelles de la part de la société. Un site bénéficiant de ce type de certificat SSL/TLS montrera des signes supplémentaires de confiance dans la plupart des navigateurs web, tels qu’une barre d’adresses affichée en vert, prouvant son haut niveau de sécurité.

Le protocole HTTP seul n’est pas suffisant pour protéger les données qui transitent sur un site web : celles-ci sont visibles par tous et peuvent facilement être la cible de cyberattaques telles qu’une attaque de l’homme du milieu (MITM).

L’utilisation d’un certificat SSL/TLS est donc incontournable pour renforcer la sécurité des sites Internet qui traitent des informations personnelles ou bancaires. Le SSL/TLS est gage de confiance auprès des utilisateurs, qui savent alors que les données saisies sur la page web sont chiffrées.

De plus, Google récompense les sites web sécurisés en améliorant leur position dans les résultats de recherche, afin d’encourager tous les sites Internet à mettre en place un certificat SSL/TLS et ainsi passer en HTTPS.

Voici quelques exemples de cas dans lesquels une certification SSL/TLS est indispensable.

• Les sites e-commerce gèrent naturellement une grande quantité de données, notamment les informations bancaires des utilisateurs, particulièrement risquées si elles venaient à tomber entre de mauvaises mains. Il est donc essentiel de sécuriser les transactions effectuées sur ces plateformes via le protocole SSL ou TLS. Un client sera beaucoup plus à même d’effectuer un achat sur un site digne de confiance, où il est indiqué clairement que le processus de paiement est sécurisé.
• Un site web recueillant des adresses e-mail ou toute autre information sensible provenant des utilisateurs a également tout intérêt à être sécurisé grâce au SSL/TLS. C’est donc le cas de nombreux sites proposant aux internautes de créer un compte à l’aide d’identifiants et de mots de passe.
• Tous les formulaires au sein desquels les internautes sont amenés à saisir des informations, pour une prise de contact ou une réservation en ligne par exemple. Le nombre d’informations personnelles recueillies par le site peut être conséquent, c’est pourquoi un chiffrement de ces informations est nécessaire.

Certaines versions du protocole SSL (notamment SSL 2.0 et 3.0) ont démontré de nombreuses vulnérabilités et leur usage n’est donc plus recommandé. La plupart des navigateurs avertissent d’ailleurs les internautes via des alertes de sécurité lorsque l’un de ces anciens protocoles est utilisé.

Naturellement, le protocole TLS, plus récent, témoigne d’un niveau de sécurité supérieur. Il est donc conseillé d’utiliser uniquement ce protocole sur vos serveurs et de désactiver les protocoles SSL. Néanmoins, gardez à l’esprit que les certificats sont indépendants des protocoles : l’usage d’un certificat TLS ou SSL est donc indifférent.

Enfin, si un certificat TLS/SSL est une mesure de sécurité incontournable, il ne protège pas les sites web contre toutes les menaces en ligne, comme les risques de piratage ou de fuites de données. L’utilisation d’un VPN est alors essentielle pour chiffrer l’ensemble de votre activité sur Internet et la mettre à l’abri des regards indiscrets.

Ne laissez pas les cybercriminels gagner : chiffrez vos données avec un VPN.