HTTPS, sécurité renforcée

par | 28 Avr 2020 | 0 commentaires

Vous n’avez peut‑être même pas prêté attention à ces quelques lettres placées en début d’URL, pourtant elles marquent une différence importantes entre toutes les pages qui existent sur le web. À ce propos, en 2014, le géant du web Google avait déclaré vouloir favoriser les sites sécurisés grâce au protocole HTTPS. Cependant, il faut y passer afin d’améliorer le référencement naturel de nos sites web. Mais alors comment effectuer cette transition d’un ancien protocole vers un récent ? 

Pour bien comprendre le HTTPS, il faut d’abord savoir ce qu’est le HTTP, et donc revenir aux sources du web.

 

 

HTTP ? HTTPS ?

HyperText Transfer Protocol

Le HTTP est un protocole de communication web établissant une liaison entre un client et un serveur. Ainsi, il permet de faire échanger des données entre un navigateur et un site web. L’inconvénient du HTTP est qu’il n’est pas crypté, c’est‑à‑dire qu’il n’a aucune confidentialité. Les données envoyées à travers lui peuvent très bien être récupérées par des personnes malintentionnées. Cela ne pose pas réellement de problèmes si vous êtes sur une page seulement pour lire ou pour regarder des vidéos. Néanmoins, cela devient bien plus sérieux si vous renseignez vos informations personnelles comme votre mot de passe, simplement en vous connectant. Alors quand vous vous connectez au site de votre banque, si quelqu’un surprend votre numéro de compte…

 

HyperText Transfer Protocol Secure

C’est là qu’apparaît le HTTPS, qui est développé sur le HTTP et qui en est la version sûre. Plus concrètement, il s’agit réellement du même HTTP que précédemment mais muni d’une couche de protection appelée TLS, pour Transport Layer Security. On peut voir ça un peu comme un cadenas qui crypte les données et permet ainsi de sécuriser les échanges entre le client et le serveur. La clef de chiffrement est gardée secrète par le client et le serveur.

L’information échangée est toujours présente et visible, en revanche elle est devenue incompréhensible et illisible pour toute personne qui ne possède pas la clef, donc pour tout le monde sauf les deux principaux intéressés. Les sites qui demandent des données confidentielles sont donc tenus de fonctionner via le HTTPS. Cela permet à l’internaute de savoir que le site sur lequel il est n’est pas un site espion dont le but est de le tromper.

 

Comment savoir si l’on est sur un site en HTTPS et non en HTTP ?

La réponse se retrouve dans l’URL du site en question. Il s’agit de l’adresse web du site, et il faut regarder tout au début quels caractères y sont indiqués. Le navigateur Chrome les affiche d’ailleurs même en vert.
Autre petit indice : la présence d’un cadenas pour tous les sites fonctionnant en HTTPS sur les navigateurs Chrome, Firefox et Internet Explorer.

 

 

Certifié HTTPS

Ce cadenas permet également en cliquant dessus de donner accès à toutes les informations concernant le certificat en usage pour la protection du site web.

Ainsi, le HTTPS est un protocole qui va de pair avec le certificat SSL/TLS, qui pose la couche de sécurité. Tout site web protégé par ce certificat se le voit symbolisé par ce fameux cadenas à côté de son URL. Mais attention, il faut au préalable se munir du certificat SSL/TLS. Il n’y a pas de grandes différences entre le SSL et le TLS, sauf que le premier est un peu obsolète et est déjà à la base du TLS, même si l’expression « certificat SSL » est la seule restée en usage pour parler de n’importe quel certificat de chiffrement activant le protocole HTTPS.

On parle surtout de ce certificat au singulier, mais en réalité il en existe plusieurs types, des gratuits – comme ceux de type Let’s Encrypt – comme des payants – Extended SSL, etc. Tous ces certificats sont délivrés par différentes autorités de certification : Symantec, GeoTrust, Comodo – liée à l’hébergeur web OBH –, etc.

Bien entendu, le prix du certificat fait varier la fiabilité de ce dernier, c’est‑à‑dire du niveau de vérification. Cette vérification va du courriel envoyé au demandeur à tout le reste des documents à renseigner. Le coût du certificat dépend également de l’autorité de certification choisie.

 

Attention à l’Homme du Milieu !

La sécurité de votre site web se retrouve donc renforcée de par l’utilisation du protocole HTTPS. Les professionnels comme les internautes sont davantage protégés quand ils évoluent sur le Net et craignent donc moins les attaques de l’homme du milieu, également appelées « attaques de l’intercepteur », ou encore « man‑in‑the‑middle attacks » en anglais. Cet attaquant du milieu a pour but de pirater les données personnelles de ses victimes, et ce sans qu’il ne soit nullement repéré.

Vos identifiants peuvent ainsi être hackés, tout comme d’autres informations confidentielles telles que vos données bancaires, et utilisés de manière frauduleuse. En réalité, toutes données transitant, que ce soient celles d’un formulaire quelconque ou bien celles d’un paiement en ligne demandant les coordonnées de carte bancaire, intéressent les pirates informatiques.

Pour remédier à cela, mieux vaut donc utiliser le HTTPS. À ce propos, les internautes sont aujourd’hui de plus en plus nombreux à faire attention au protocole de sécurité utilisé par les sites sur lesquels ils naviguent. Ceux qui ne sont pas protégés sont donc dédaignés par eux au profits des autres, plus sûrs. Mais nous avions vu en début d’article que Google lui‑même préférait désormais les sites sécurisés avec le HTTPS.

Pour de raison évidentes, il est donc plus intéressant de quitter le HTTP et de passer au HTTPS. Sur Google Chrome, les sites non sécurisés sont même dorénavant signalés comme tels aux internautes, qui en général ne vont alors même pas plus loin et partent directement.

 

Référencement et image

En 2014, Google annonce qu’il préférera désormais le protocole HTTPS. Il n’y a guère de grande amélioration quant au positionnement. Un an plus tard, en 2015, l’algorithme de Google est reprogrammé pour privilégier le protocole HTTPS quand deux sites sont ex æquo au classement. Depuis 2018, c’est la mention « non sûr », « non sécurisé » ou « not secure » qui est ajoutée aux côtés de l’URL.

Le HTTPS ne permet pas d’améliorer son référencement naturel et n’a donc pas de grande incidence sur le positionnement. En revanche, le comportement des internautes est tout autre. Non seulement ces derniers préféreront les sites sécurisés HTTPS aux sites insécures HTTP, mais en plus, s’ils visitent ces derniers par mégarde, ils risquent de faire machine arrière et d’essayer un autre site. Cette action sera interprété par Google comme étant de l’insatisfaction, ce qui ici affectera bel et bien le positionnement du site.

 

Comment faire ?

Il faut procéder comme pour une migration de site classique.

  1. Achetez un certificat SSL ou demandez‑le, puis installez‑le sur votre site web.
  2. Veillez à adapter vos URL internes afin que toutes fonctionnent via le HTTPS.
  3. Pensez à rediriger vos URL du HTTP vers le HTTPS : les redirections 301 vous permettrons de conserver le référencement SEO de vos pages tout au long de la migration, que cela soit au niveau du trafic comme de la popularité. Pensez à tester ces nouvelles URL.
  4. Faites en sorte que vos URL canoniques pointent vers vos pages HTTPS, cela vous évitera de dupliquer des URL.
  5. Vérifiez que toutes vos nouvelles pages HTTPS peuvent être indexées.
  6. Pensez à activer le mécanisme HSTS – pour HTTP Strict Transport Security. Cela informera vos internautes de la transition de votre site et que leur futures connexions seront dès lors protégées.

 

N’oubliez pas pour terminer de vérifier que toutes vos actions se soient bien déroulées :

  1. Utilisez un robot d’indexation (crawler) afin de vous corriger au cas où.
  2. Utilisez une nouvelle Google Search Console afin de comparer l’indexation des pages de l’ancien protocole avec celles du nouveau.
  3. De même dans Google Analytics, adaptez‑y vos paramètres afin que l’évolution du trafic suive dorénavant les pages en HTTPS.
  4. Faites une mise à jour de toutes les extensions externes de votre CMS pour que ce dernier soit compatible avec le HTTPS.

 

On en parle ?

Arnaud Gélébart

Arnaud Gélébart

Consultant SEO et gérant de l'agence SEO Navio. Je suis chargé de la réussite de votre entreprise sur internet.

Parlons-en !

Un projet de référencement naturel ?

Contactez-nous