HTTPS, TLS, certificat : on remet les pendules à l’heure
Tu ouvres ton navigateur, tu visites un site, et là — miracle — un petit cadenas s'affiche à côté de l'URL. Jackpot, tu es en sécurité.
Eh bien non. Ou pas complètement.
Avant d’aller plus loin, petit rappel :
- HTTPS (HyperText Transfer Protocol Secure) est la version sécurisée de HTTP.
- Il repose sur un protocole de chiffrement nommé TLS (Transport Layer Security).
- Et pour que tout ça fonctionne, il faut un certificat numérique délivré par une autorité de certification.
Mais ce joli trio magique ne protège que certaines choses. Et sûrement pas tout ce que certains sites (ou politiques) veulent te faire croire.
Ce que HTTPS fait (vraiment)
HTTPS, c’est du chiffrement de la connexion entre ton navigateur et le serveur du site. Point.
Voici ce qu’il protège :
✅ Confidentialité : ce que tu envoies et reçois est chiffré. Ton fournisseur d’accès (ou les petits curieux sur le Wi-Fi du café) ne peuvent pas lire le contenu.
✅ Authenticité du serveur : le certificat prouve que tu parles bien à mabanque.com et pas à tr0janbanque.biz.
✅ Intégrité des données : les infos ne peuvent pas être modifiées en chemin sans être détectées.
En clair, HTTPS rend l’interception de données plus compliquée (mais pas impossible, hein).
Ce que HTTPS ne fait PAS (du tout)
Et là, c’est la douche froide. HTTPS ne protège pas contre :
❌ Un site malveillant. Un site frauduleux peut avoir un certificat HTTPS. Oui, même les sites de phishing.
❌ Du code mal foutu. Si le backend du site est une passoire en PHP de 2003, le cadenas ne changera rien.
❌ Des fuites de données côté serveur. HTTPS chiffre la transmission, pas les bases de données à moitié en clair côté admin flemmard.
❌ L’arnaque au design. Un site qui imite celui de la CAF à la perfection peut très bien être « sécurisé HTTPS ».
Bref, HTTPS ne fait pas le ménage côté serveur ni le boulot du cerveau côté utilisateur.
Les pièges autour des certificats
Il existe plusieurs types de certificats :
- DV (Domain Validation) : juste pour prouver que tu es bien le propriétaire du domaine.
- OV (Organization Validation) : un peu plus strict, l'identité de l’entreprise est vérifiée.
- EV (Extended Validation) : l'identité complète est vérifiée, mais plus personne ne les distingue depuis que les navigateurs ont abandonné l’affichage spécial.
La majorité des sites ont un certificat DV via Let's Encrypt. Rapide, gratuit, et ça fait popper le cadenas. Mais ça ne dit rien sur la fiabilité du site. Tu peux très bien héberger arnaque-prestations-sociales.fr en HTTPS et Google dira merci.
Ce que signifie « site sécurisé » en vrai
Un site « sécurisé » en HTTPS, ça veut dire que :
👉 Les échanges entre toi et le serveur sont chiffrés.
👉 Tu ne parles pas (a priori) à un imposteur.
👉 Les données sont censées ne pas être modifiées en chemin.
Mais ça ne garantit pas que :
🚫 Le contenu du site est légitime.
🚫 Le site est protégé contre le piratage.
🚫 Tes données personnelles sont bien stockées et gérées.
Checklist pour ne pas se faire avoir
Avant de faire confiance à un site sous prétexte qu’il a un cadenas :
- Vérifie l’URL (surtout sur mobile où c’est tronqué).
- Méfie-toi des noms de domaine douteux (
impots-gouv-paris.com≠impots.gouv.fr) - Réfléchis : est-ce que ce site a l’air d’être ce qu’il prétend être ?
- Un site HTTPS n’est pas synonyme de sécurité absolue.
- Pour un site pro ou e-commerce : vérifie les mentions légales, CGV, et politique de confidentialité. Si tout est vide, fuis.
HTTPS, c’est comme un blindage de portière sur une voiture sans freins. Ça donne l’illusion de sécurité, ça rassure les passagers, mais si le reste est moisi, tu vas droit dans le mur.
Alors oui, c’est indispensable, mais pas suffisant.
Le cadenas dans le navigateur, c’est bien. Ton esprit critique, c’est mieux.
Sauf mention contraire, le contenu de ce site est mis à disposition sous licence Creative Commons Attribution - Partage dans les mêmes conditions 4.0 International (CC BY-SA 4.0).
Merci de citer NumeriBrain et de republier les éventuels dérivés sous la même licence.
