Vous allez voir dans cet article l'utilité, la nécessité, de mettre en place un certificat SSL sur votre site Internet. On va voir en quoi cela a un impact direct sur la sécurité de vos internautes plus que celle de votre site Internet et surtout ce qui fait mouche auprès des directions : "comment cela améliorera votre image". Vous verrez aussi que les certificats SSL ont connu une révolution depuis quelque temps avec l'arrive de Let's Encrypt. Et pour finir un petit rappel sur ce que n'est pas un certificat SSL.
0 - Un certifi quoi ?
Avant toutes choses un certificat SSL c'est quoi ? Pour vulgariser, c'est un élément qui est donné par des autorités reconnues de confiance par les navigateurs (Chrome, Firefox, Edge, IE, etc.), qui va permettre au site Internet de communiqué avec le visiteur du site de manière chiffrée. Ainsi, si une personne essaye d'écouter ou de modifier ce qui est dit entre vous et le site Internet cela ne sera pas possible pour lui.
Il est vital d'acquérir un certificat auprès d'autorité reconnu sinon votre navigateur va lever une alerte comme celle-ci :
Si vous voyez cette alerte cela signifie que le certificat n'a pas été donné par une autorité reconnue et de confiance ou qu'il a expiré. Dans les deux cas il y a un souci, l'un des risques et qu'un pirate soit à l'origine du certificat et qu'il l'utilise pour écouter ce qu'il se passe entre vous et le site Internet. Donc un bon conseil si vous avez ça comme message fermé la fenêtre et soyez vigilant car il est possible qu'un pirate écoute sur le réseau ou vous êtes connecté. Ce qui arrive très souvent sur des réseaux Wi-Fi gratuit en libre service dans les hôtels, gares, restaurant etc.
1 - Votre site Internet est-il concerné ?
Je vous entends déjà dire : "Nous un certificat SSL ? Pff, pas besoin ce n'est qu'un site vitrine sans données importantes" oui, mais ce n'est pas vraiment ce que vous devriez dire et voici pourquoi. En effet un pirate pourrait intercepter les données des formulaires saisies directement sur votre site Internet pour les modifier ou les utiliser pour lui. Deux exemples, le premier c'est que si vous avez une interface d'administration au site Internet le pirate pourra voir le mot de passe de connexion et donc aller se connecter dès qu'il le voudra.
Le second, un attaquant pourra voir les demandes de devis et de contact très simplement et ainsi les modifier si nécessaire pour modifier la demande en vous faisant perdre en crédibilité car vous répondriez à côté de la plaque ou en changeant les coordonnées de contact de l'internaute vous rendant toute réponse impossible.
Attention toutefois pour réaliser ces deux manipulations le pirate doit avoir préalablement réalisé une attaque "Man in the Middle" [1] ce qui vous restera rare ou très ciblé contre vous. Mais si vous avez un extranet [2], que vous appelez surement intranet [3] d'ailleurs, vous êtes considérablement vulnérable au Man in the Middle, car là il y a un intérêt important pour les attaquants de mettre la main sur vos accès et pouvoir intercepter toutes les informations que vous consultez via votre extranet.
2 - Améliorer votre image auprès des internautes
C'est l'argument fort qui a permis et va permettre d'accélérer la mise en place de certificat SSL sur une bonne majorité des sites Internet. Car bien souvent les décideurs ne voient pas la nécessité d'avoir un certificat SSL sur un site vitrine ou un extranet, pour l'extranet on a déjà vue au-dessus le pourquoi c'est nécessaire. Donc si votre décideur ou client rechigne un peu pour la mise en place d'un certificat SSL voici 3 arguments imbattable !
1 : C'est gratuit !
En effet depuis l'arrivé de Let's Encrypt sur le marché vous pouvez bénéficier d'un certificat SSL gratuit et de qualité qui est reconnu par les navigateurs. Seul reste à votre charger le coût en temps de l'installation ou la micro-facture de la personne qui héberge votre site Internet, ça prend moins de 15 minutes à installer quand on a pas l'habitude.
2 : Google aime les sites en HTTPS
Depuis plus de deux ans Google affirme privilégié dans les résultats de son moteur les sites Internet qui utilise un certificat SSL, si ça c'est pas un argument de choix pour votre direction ! Bon par contre ne le dite pas trop fort, mais pour le moment on en mesure très peu les bénéfices.
3 : Chrome, Firefox et Edge alertes sur des sites qui ne sont pas en HTTPS
Depuis début 2017 Chrome et ces copains ont décidé d'afficher des messages d'erreurs quand un utilisateur va saisir un mot de passe sur un site qui n'est pas en HTTPS. Firefox a décidé de le faire de manière un peu plus visible de son côté en ajoutant l'alerte quel que soit le type de formulaire saisie.
Fig. 1 : ci-dessus une capture de Firefox qui vous informe des risques
Du coup vous comprenez que si un internaute vient déposer une demande de devis sur votre site Internet ou remplir un simple formulaire de contact ce genre de message risque de le refroidir rapidement.
Fig. 2 : exemple d'avertissement dans la barre d'adresse, en rouge le certificat n'est pas valide
3 - SSL ne veut pas dire site sans failles
En effet il ne faut pas confondre sécurité des échanges, la vôtre ou celle de vos internautes et sécurité du site Internet. La mise en place d'un certificat SSL ne corrige et n’immunise pas les sites Internet contre les failles qui le concerne, pas plus qu'il ne ralentira les attaques d'un pirate souhaitant prendre le contrôle de votre site Internet.
Donc si vous savez que votre site Internet comprends des failles importantes un certificat SSL c'est bien, mais ne corrigera pas les soucis.
Conclusion
Vous l'aurez compris un certificat SSL aura de nombreux avantages pour votre site Internet, en plus d'augmenter la sécurité des utilisateurs du site Internet. Il vous permettra de surcroît d'améliorer la notoriété de votre site Internet et donc de votre entreprise.
Il n'est pas à exclure que d'ici un an ou deux Google pénalise fortement les sites Internet qui n'auront pas de certificat SSL en commençant par les sites de ventes en ligne et ce ne serait que justice. Pour rappel le chiffrement est la base de la sécurité de nos échanges il ne faut donc pas le négliger.
Pour aller plus loin je vous recommande de lire rapidement la page suivante courte et bien fichu : https://faut-il-https-sur-mon-site.fr/
Si vous avez aimé cet article n'hésitez pas à le partager ou me faire vos commentaires via Twitter ou le formulaire de contact du blog.
Définitions :
[1] : Man in The Middle (Wikipedia)
[2] : Extranet (Wikipedia)
[3] : Intranet (Wikipedia)
Crédits photo : Designed by Freepik
