Vous avez un site internet déjà en ligne et vous souhaitez rassurer vos clients sur la sécurité de votre site ? Ou alors vous êtes en phase de création pour votre nouveau site. C’est le moment de faire un (grand) tour du côté de ces énigmes informatiques, répondant au doux nom d’HTTPS et SSL, pour voir un peu en quoi ces deux copines sont juste fondamentales pour préserver des données confidentielles. Et donner confiance aux internautes. Quand Akro Web vous protège !
Le mécanisme de la sécurité pour garantir des transactions confidentielles sur le web
HTTP, HTTPS, certificat SSL….On se croirait presque dans une séquence de cryptologie pure et dure, mais ce n’est pas le cas, quoique ! En réalité, vous côtoyez tous les jours sans le savoir ce jargon informatique, qui sont bien des codes, dès que vous vous connectez à internet. Une page ouverte, n’importe laquelle, et le système HTPP est déjà en route. Mais qu’est-ce que c’est exactement, et surtout quelle influence cela peut-il avoir sur les sites internet ?
La question mérite d’être posée et étudiée, notamment si votre activité d’entrepreneur vous impose de recueillir des données dites personnelles sur vos utilisateurs. Et au passage, pour ceux qui ne travaillent pas via le web, et bien c’est l’occasion d’en apprendre un peu plus sur ce gouffre du web, qui nous réserve toujours de belles surprises. Commençons par le début, histoire de ne pas s’emmêler les pinceaux au sujet de tous ces sigles, tout en découvrant dans le même temps cette prestation de l’agence Akro Web, à votre service.
Via HTTP : vos informations de connexions visibles par le hacker
Le HTPP. Lui, il apparaît dans chaque barre d’entrée de votre navigateur précédant l’adresse officielle du site. C’est tout simplement un protocole mis en place pour recevoir ou envoyer des informations, sans aucun cryptage. En somme : tous vos échanges sont visibles, que ce soient des informations de connexion comme votre nom d’utilisateur ou votre mot de passe, ou même carrément votre numéro de carte bancaire. C’est à peu près comme si vous laissiez votre maison ouverte en indiquant où se trouvent vos données les plus confidentielles. Entre votre ordinateur et le serveur auquel vous vous connectez, aucun filet, aucune sécurité, avec donc un fort et réel risque de piratage et de vol de données. Les fameux hackers, qui n’en finissent pas de se professionnaliser à chaque fois un peu plus. On appelle ça aussi « sniffer le réseau », ce qui en effet peut se comprendre puisque le hacker est directement connecté à la box de l’utilisateur. Bref, on l’a dit, le HTPP, c’est une grande porte ouverte que Google s’est assez récemment empressé de refermer d’un grand clac, pour faire apparaître son homologue ++ : le HTTPS. S=Secure. Ça pose. Et ça rassure.
Le + d’Akro Web : le HTTPS et son petit cadenas, un bon repère pour vérifier la sécurité d’un site
Et surtout ça marche. Avec ce système, la connexion est désormais chiffrée, combinée à l’un des certificats SSL que nous verrons plus tard. Une connexion chiffrée, cela signifie qu’entre votre ordinateur et le hacker, il y a désormais comme un brouillard. Il peut voir les informations passer, et précisons également que le HTTPS ne vous rend pas anonyme, l’adresse IP est toujours visible, mais il n’a pas la clé de décryptage, permettant justement de déchiffrer ces données.
Seuls, le serveur d’internet et vous-même avez accès à ces autorisations. Car la formule HTTPS est donc une garantie de sécurité de connexion optimisée, afin de limiter considérablement le vol des données lors de leurs transferts. Plutôt pas mal à savoir quand la plupart d’entre nous font des opérations bancaires via son ordinateur, non ?
Alors comment reconnaître un site internet qui dispose de ce système de protection… C’est très simple : dans la barre d’adresse doit donc apparaître le sigle HTTPS, suivi de la petite image du cadenas que vous connaissez peut-être déjà. Car,seul, le HTTPS ne suffit pas, pour déterminer le sérieux d’un site… Alors comme à la baignade : en vert et fermé, c’est tout bon, rayé ou ouvert, posez-vous des questions avant de carrément quitter le site, surtout si vous avez l’intention d’acheter un produit. C’est très important à vérifier, car à la moindre transaction, n’importe qui est alors susceptible de choper vos données au passage. Vous pouvez même cliquer sur ce petit cadenas si ça vous chante, histoire de voir des informations liées au site même.
Le vif du sujet : petit détour du côté des trois certificats principaux proposés par Akro Web
Le certificat SSL : la souche fondamentale pour protéger votre site
Enfin, une dernière information à savoir pour bien comprendre tout le rouage sécurité du web : Qui dirige vraiment le HTTPS et le cadenas ? C’est donc ce fameux certificat SSL, qui se décline selon 3 formes possibles.
Un certificat SSL, c’est tout bonnement un fichier de données, lié à une clé cryptographique. On y revient. C’est lui qui active ce fameux protocole HTTPS et ce cadenas, afin de protéger systématiquement tout échange web. Et bien sûr, notamment les transactions bancaires. Pour être vraiment fiable, le certificat SSL doit appartenir à un certificat racine.
Dans le cas inverse, l’internaute, en visite sur la page, reçoit de toute façon un message d’alerte, indiquant au lecteur que le site n’est pas sécurisé. Même si le HTTPS apparaît bien, même si le cadenas est vert et fermé, même si… Ceci dit, la plupart des sites web qui veulent une connexion sécuritaire maximum pour leurs clients, ont forcément un certificat dit racine, lié au certificat SSL. Dans le cas inverse, l’effet boomerang serait de toute façon immédiat puisque le client ne validerait alors jamais sa commande.
Plusieurs choix de certificats SSL possibles, selon la nature de votre activité
Ce fameux certificat SSL est donc obligatoirement délivré par une autorité de certification, telle une vraie carte d’identité numérique. Par exemple, Let’s Encrypt, le certificat à Validation de Domaine que met en place l’agence Akro Web, via son hébergeur Planethoster.
Dans le cas où, un jour, vous seriez amené à devoir choisir votre propre protocole de sécurité, sachez donc qu’il en existe trois principaux :
- Le certificat à Validation de Domaine (DV) : celui-ci fait partie des certificats les plus basiques, c’est donc le moins cher et le plus simple. Son avantage est qu’il est émis en moins de quelques minutes, et est simplement validé avec le nom de domaine. Le site internet est bel et bien sécurisé et bénéficie du HTTPS, en revanche aucune autorité n’a vérifié la réelle identité du propriétaire, avec ce type de certificat. Exit ce choix évidemment pour tous les sites e-commerce, mais convient par contre aux sites voulant être sécurisés, sans pour autant faire de transferts confidentiels. Finalement : une forme de mise en confiance avec les internautes lecteurs
- Le certificat à Validation de l’Organisation (OV) : on passe à la vitesse supérieure avec l’OV, qui lui par contre réclame automatiquement des preuves au propriétaire du site. Extrait de Kbis, ou autres documents papiers valident ainsi l’identité, ainsi que le nom de domaine. Dans ce cas, l’OV est souvent choisi par ceux qui demandent des informations personnelles aux utilisateurs.
- Le certificat à Validation Etendue (EV) : la gamme de luxe, du moins le haut-de-gamme, notamment pour tous ceux et celles qui travaillent essentiellement sur des ventes en ligne. C’est même presque une obligation morale, pour protéger les utilisateurs. Avec EV, la sécurité est maximale, toutes les données échangées sont alors hyper-sécurisées. Dans ce cas, tout est vérifié par l’autorité de certification avant d’accorder le SSL : l’existence légale du propriétaire, son entreprise, son adresse etc. Et le tout est ré-vérifié de nouveau chaque année…. Le must en terme de sécurité
Bien évidemment, si vous êtes propriétaire d’un site qui ne nécessite pas des envois de données bancaires, pas la peine non plus d’aller jusque-là pour le dernier certificat. D’ailleurs, la plupart des sites s’en tiennent à une bonne sécurité, comme le fameux Let’s Encrypt récemment validé par Akro Web, car plus ne leur serait pas utile.
Voilà pour ce qui est grosso modo la protection d’un site internet, entre le HTTPS, le cadenas, et le certificat SSL. Les trois mousquetaires qui sécurisent vraiment vos clients, car l’idée est également de rassurer. Et pas qu’un peu. Même sans connaître forcément les tenants et les aboutissants d’un piratage, nous sommes tous plus ou moins informés que c’est parfois l’autoroute pour les hackers, et c’est depuis peu que les internautes se sont mis à acheter sur le web. Mais pour cela il a fallu développer des stratégies (qui marchent), rassurer et garantir cette protection. Et c’est la raison pour laquelle l’agence Akro Web intègre désormais cette prestation, dans le cadre de ses missions créations de sites internet. Un point d’ancrage essentiel.
Quand sécuriser son site rapporte des points pour son référencement
Pour Google, évidemment, c’est le nerf de la guerre. Le b.a-ba. Puisqu’il fait la chasse aux voleurs et aux pirates, et pas qu’un peu. Alors si vers 2014 il commençait à récompenser les sites qui migraient de HTTP en HTTPS, depuis Janvier 2017 il signale maintenant automatiquement un site qui n’est pas sécurisé. Via son navigateur Chrome. Mais pas seulement !
Google s’est également mis à distribuer des bons points, aux bons élèves… Et c’est comment, l’effet cadeau, chez Google? C’est une garantie de référencement supplémentaire pour vos pages web. En somme : vous grimpez dans le moteur de recherche.
Un bonus SEO, alors pas forcément spectaculaire non plus, il ne faut pas s’attendre à des miracles si vous décidez de passer en HTTPS ou de prendre un certificat bouclier ++, mais… A terme, et même à long terme, oui ça peut donner ses fruits. Et notamment pour les très gros sites, qui génèrent un trafic important.
L’impact psychologique et réel sur vos clients
Chez Akro Web : un certificat SSL Let’s Encrypt assuré par l’hébergeur Planethoster
Alors bien sûr, pour beaucoup d’entrepreneurs, il ne s’agit finalement pas vraiment de construire un rempart si haut et fort en optant pour l’EV, par exemple.
Comme nous le disions plus haut, bien souvent un simple certificat peut suffire, et c’est bien ce que vous propose Akro Web, webmaster freelance au Pays Basque, pour protéger les informations basiques sur votre site. En fait, plus vous donnerez de confiance à l’internaute, plus il sera rassuré et plus il consultera votre page.
Tout le monde craint plus ou moins le piratage, et il est plutôt recommandé de calmer les ardeurs en montrant patte blanche, pour partir ainsi sur une histoire de confiance avec les utilisateurs.
Lorsqu’on voit « site non recommandé », ou en recevant un message d’alerte, reconnaissons que cela ne met pas dans de superbes dispositions pour poursuivre…
Alors n’hésitez pas : si vous êtes au lancement d’un projet web, pensez-y maintenant, au HTTPS. Cela vous évitera, de plus, le côté fastidieux et complexe d’une migration de votre site, avec au passage le changement du nom de domaine. Bref, que du bonheur en perspective, en confiant directement la sécurité de votre site à Akro Web !
NB : Contact avec Akro Web pour toute demande de renseignement au sujet du certificat SSL/DV, que l’agence propose via son hébergeur Planethoster.
