Pourquoi le “s” de https change tout quand vous naviguez sur Internet

Une petite lettre, une sacrée différence

Il vous est sûrement déjà arrivé de taper l’adresse d’un site et de voir s’afficher au début : https:// au lieu de l’habituel http://. Parfois, il y a même un petit cadenas à côté. On s’y habitue, mais sait-on vraiment ce que ça change pour nous, de voir ce “s” de plus ?

Aujourd’hui, on va passer ce fameux “https” à la loupe, sans jargon ni grimaces. Juste les points essentiels, pour que vous sa-chiez, une bonne fois pour toutes, ce que donne cette adresse plus “sécurisée”, ce qu’elle protège… et aussi ce qu’elle ne protège pas !

Qu’est-ce que ça veut dire, concrètement, “https” ?

HTTP, c’est l’abréviation anglaise de “HyperText Transfer Protocol”. On pourrait le traduire par “protocole de transfert de pages Web”. C’est la façon dont un site Internet dialogue avec votre ordinateur, quand vous cliquez pour ouvrir une page.

Mais il manquait un élément essentiel à cette recette : la sécurité. Car tout ce que vous envoyiez via http (sans le “s”), même si c’était votre mot de passe ou le numéro de votre carte bancaire, voyageait presque “à découvert”, un peu comme si vous postiez une carte postale que n’importe qui pourrait lire en route.

C’est là qu’intervient le “s”, qui veut dire “secure” (sécurisé). Quand vous tombez sur https://, cela veut dire :

• La communication entre votre appareil et le site passe par un tunnel sécurisé ;
• Les informations que vous envoyez (mots de passe, numéros, messages…) sont illisibles pour les curieux qui essaieraient d’écouter la conversation ;
• Vous pouvez vérifier que le site est bien celui que vous pensez visiter, grâce à ce fameux cadenas.

Comment le https protège vos données ?

La vraie révolution du https, c’est le chiffrement. Imaginez écrire une lettre dans une langue inconnue de tous, même si elle tombe entre de mauvaises mains, personne ne pourra la lire. C’est ce qu’on appelle “chiffrer” les infos : elles deviennent incompréhensibles à moins d’avoir la clé.

• Chiffrement des données : Vos informations (identifiants, messages, infos bancaires…) sont brouillées entre votre ordinateur et le site. Même si quelqu’un intercepte le tout, il ne lira que des lignes indéchiffrables.
• Authentification : Le cadenas qui s’affiche dans la barre d’adresse n’est pas qu’un gadget. Il prouve que le site a un “certificat” : une sorte de carte d’identité émise par une autorité de confiance. C’est ce qui vous garantit que vous êtes bien sur le bon site, et pas sur une copie frauduleuse.
• Intégrité : HTTPS empêche que le contenu du site soit modifié à votre insu lors du transfert. Personne ne peut intercaler un faux message ou une fausse page entre vous et le vrai site.

D’après Let’s Encrypt, en 2024, environ 93% des pages web chargées dans le monde via le navigateur Chrome utilisent désormais le https, contre moins de 60% en 2016. Autrement dit, la sécurité s’est généralisée à grande vitesse.

Pourquoi tout le monde passe au https aujourd’hui ?

Pendant des années, seuls les sites de banques ou de paiement utilisaient https. Mais plusieurs tendances ont tout accéléré :

• Explosion des achats et démarches en ligne : Les échanges de données sensibles sont devenus quotidiens (achats, impôts, santé, administration).
• Pression des navigateurs : Depuis 2017, Chrome et Firefox affichent un avertissement “Non sécurisé” sur les sites qui restent en http, ce qui fait fuir les visiteurs (source : Mozilla).
• Référencement Google : En 2014, Google a officiellement annoncé qu’il favorise les sites en https dans ses résultats de recherche (Google Search Central Blog). Les propriétaires de sites n’ont plus le choix s’ils veulent apparaître dans les meilleurs résultats.
• Nouvelles lois : Avec le RGPD et d’autres textes sur la protection des données, utiliser le http pour un site où l’on demande des informations personnelles est quasiment inconcevable aujourd’hui en Europe.

Ce que le “s” ne protège pas toujours

Attention, https ne fait pas de miracles ! Le cadenas protège la “route” entre chez vous et le site, mais il ne garantit pas que le site lui-même soit honnête ou bienveillant.

• Un hameçonnage peut être en https : Les escrocs peuvent facilement obtenir un certificat https. Beaucoup de faux sites bancaires affichent aujourd’hui le fameux cadenas pour tromper les visiteurs (source : ZDNet, 2023).
• Vos données restent visibles sur certains réseaux : Si votre appareil est infecté par un virus, ou sur un réseau Wi-Fi public compromis, quelqu’un peut malgré tout intercepter ce que vous tapez, avant même que ce soit chiffré.
• Le cadenas n’est pas un label de qualité : Cela ne veut pas forcément dire que le site est sérieux, ou que l’on peut y faire confiance les yeux fermés. Cela indique seulement que la connexion est “fermée à clé”.

Plusieurs études de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) mettent en garde contre cette “fausse sensation de sécurité” : en 2022, près de 84 % des tentatives de phishing identifiées en France utilisaient des adresses en https !

Comment vérifier que la connexion est vraiment sécurisée ?

Pour faire confiance à un site, regardez plusieurs indices :

1. Le cadenas : Il doit s’afficher à gauche de l’adresse, sur la plupart des navigateurs.
2. L’adresse du site : Assurez-vous qu’il s’agit bien du bon nom (par exemple impots.gouv.fr et pas une version “ponctuée” comme impots-g0uv.fr avec un zéro à la place du “o”).
3. Le certificat : Cliquez sur le cadenas, vous verrez à quel organisme le certificat a été délivré. Certaines grandes banques ou administrations ont un certificat avec leur nom affiché en clair.

Un conseil : si un site vous demande des informations sensibles (mot de passe, coordonnées bancaires, numéro de Sécurité sociale), n’envoyez jamais rien s’il n’y a pas le cadenas, ou si l’adresse ne commence pas par https.

Pourquoi “https” est-il si dur à pirater ?

Derrière ce petit “s”, il y a une technique toute bête, mais redoutablement efficace : le chiffrement SSL/TLS (pour “Secure Socket Layer” et “Transport Layer Security”). Ce sont des protocoles utilisés pour transformer vos données en code incompréhensible lors du transport.

Les clés de chiffrement utilisées aujourd’hui sont extrêmement longues et complexes. Pour casser ce chiffrement par la force (bruteforce), même un supercalculateur mettrait plusieurs millions d’années, selon une étude de l’IEEE (2023).

Cette robustesse explique pourquoi, depuis l’adoption massive du https, les attaques d’interception de données “en route” (dites “man-in-the-middle”) sont devenues beaucoup plus rares sur les réseaux classiques. Pour les particuliers, c’est un rempart largement suffisant.

HTTPS, une sécurité devenue commune… mais à manier avec discernement

Aujourd’hui, même les petits blogs, les sites associatifs ou personnels, passent au https grâce à des organismes gratuits comme Let’s Encrypt (plus de 360 millions de certificats actifs dans le monde — Let’s Encrypt, 2024).

Naviguer sur un site https, c’est un peu comme fermer la porte de chez soi à clé : c’est le minimum, mais ce n’est pas une alarme anti-intrusion. Gardez l’œil ouvert sur le nom du site, ne transmettez rien de sensible si le cadenas n’est pas là, et gardez un doute s’il y a la moindre incohérence.

• Sur un site “public”, par exemple un blog ou un journal en ligne, le https prévient surtout qu’on ne vous envoie pas une mauvaise copie de la page ou des pubs malveillantes.
• Sur un site où l’on crée un compte ou donne des infos (Amazon, votre banque, Ameli…), https est impératif. S’il n’est pas là, fermez la page immédiatement.
• Et pour les achats en ligne, ne jamais payer sans le https, ni sur un site inconnu, même s’il affiche un cadenas. Prenez deux minutes pour vérifier l’adresse, le certificat, et cherchez si le site est bien reconnu.

Savoir repérer ce petit “s”, comprendre ce qu’il fait… c’est déjà un premier pas concret vers une navigation plus tranquille, où l’on ne confie pas ses données à n’importe qui, ni n’importe comment.

Prochaine fois que vous verrez “https” (ou que vous ne le verrez pas…), vous saurez exactement pourquoi cette minuscule différence mérite votre attention.