Sécurité minimale dans un navigateur

Fonctionnement du protocole HTTP

Le protocole HTTP permet d'échanger des pages Web dans une interaction entre un client (le navigateur web) et le serveur sur internet :

Schéma d'une requête classique et simpleInformations[1]

Attention

Mais attention, il s'agit d'un protocole non chiffré c'est-à-dire que toutes les données sont transférées en clair entre le client (généralement le navigateur) et le serveur.

C'est pourquoi il a été inventé le protocole HTTPS dont la vidéo ci-dessous vous permettra de comprendre pourquoi il est nécessaire.

Le nouveau protocole : HTTPS

À quoi sert un site sécurisé en https ?

Pour sécuriser HTTP, on ajoute donc désormais une surcouche permettant

  • d'une part d'authentifier le serveur par le biais d'un certificat numérique (certificat SSL) délivré par une autorité de sûreté

  • et d'autre part de chiffrer les requêtes HTTP avec une clef de chiffrement symétrique.

    La combinaison d'un protocole de chiffrement (SSL puis désormais TLS) avec HTTP constitue le protocole HTTPS matérialisé par un cadenas vert dans la barre de recherche des navigateurs.

Connexion sécurisés avec le site des Impôts

Activité

Question 18 :

Après avoir écouté la vidéo, saisir l'URL https://www.lemonde.fr/ dans la barre d'adresse

Est-ce que le site Le Monde utilise le protocole HTTPS ?

Comment est-ce matérialisé dans le navigateur ?

Dans le navigateur Firefox,

  1. Saisir l'URL https://www.lemonde.fr/ dans la barre d'adresse

  2. En utilisant le menu latéral de Firefox, ouvrir la fenêtre d'outils de développement web

  3. Puis sélectionner le menu Réseau.

  4. Recharger la page avec le bouton qui est apparu

  5. Sélectionner la première requête qui a abouti, un nouveau menu apparaît sur la droite.

  6. Répondre aux questions ci-dessous :

Onglet En-Têtes d'une requête

Question 19 :

Que représente le code d'état 200 (onglet En-têtes) ?

Onglet Sécurité d'une requête

Question 20 :

Dans l'onglet Sécurité, se trouvent les informations sur le chiffrement par TLS. Quelle est la version du protocole et quel est l'algorithme de vérification de la signature du certificat ? et la période de validité du certificat ?

Question 21 :

Quel est le risque, quand on rentre un identifiant et un mot de passe sur un site web, qu'il ne soit pas en HTTPS (avec le cadenas vert) ?

Conclusion

Question 22 :

Rédiger une conclusion générale sur l'activité :

  • ce que vous avez appris,

  • ce qui vous a plus, déplu,

  • ce qui vous a surpris,

  • ce qui pourrait changer dans votre comportement sur le web...