Questions fréquentes sur le protocole HTTPS

Le HTTPS chez Google

Qu'est-ce que le chiffrement ?

Le chiffrement est une méthode moderne de protection des informations électroniques, tout comme l'étaient autrefois les coffres-forts et les cadenas pour les données au format papier. Le chiffrement est une application technologique de la cryptographie : les informations sont codées, c'est-à-dire converties dans un format inintelligible. Elles ne peuvent ensuite être décodées, c'est-à-dire traduites dans un format lisible, qu'à l'aide d'une clé. Par exemple, dans le cas du chiffrement d'un appareil, il est possible de déverrouiller l'accès aux données à l'aide d'un code, ou à l'aide d'un algorithme complexe recevant des instructions claires de la part d'un programme ou d'un appareil. Le chiffrement et ses opérations de codage et de décodage reposent sur les mathématiques.

Qu'est-ce que le HTTPS ?

Le protocole HTTP (HyperText Transfer Protocol, protocole de transfert hypertexte) est un moyen technique par lequel un navigateur se connecte à un site Web. Le HTTPS est une connexion HTTP chiffrée, ce qui la rend plus sûre. Vous pouvez déterminer que votre connexion à un site Web est sécurisée si vous voyez le sigle HTTPS plutôt que HTTP dans l'URL. La plupart des navigateurs affichent également une icône indiquant que la connexion est sécurisée (par exemple, Chrome affiche un cadenas vert).

Pourquoi devrais-je utiliser le HTTPS ?

Il est conseillé de protéger son site Web à l'aide du protocole HTTPS, même si le site en question ne traite pas de communications sensibles. Le HTTPS protège l'intégrité de votre site Web, et assure la confidentialité et la sécurité de vos utilisateurs. De plus, certaines nouvelles fonctionnalités très puissantes sont réservées aux sites Web offrant une connexion HTTPS.

Quel est l'objectif de Google concernant le HTTPS ?

Nous pensons qu'un chiffrement solide est essentiel à la sécurité de tous les internautes. C'est pourquoi nous nous efforçons de mettre en œuvre un tel chiffrement sur l'ensemble de nos produits et services. La page "Le HTTPS chez Google" relate nos progrès en temps réel.

Pourquoi le chiffrement est-il important ?

Nos communications transitent sur un système de réseaux complexe pour aller d'un point A à un point B. Tout au long de leur parcours, elles sont susceptibles d'être interceptées par des personnes à qui elles ne sont pas destinées, et qui savent comment manipuler les réseaux. De même, nous utilisons aujourd'hui des appareils mobiles qui sont bien plus que de simples téléphones : ils contiennent nos photos, les enregistrements de nos communications, nos e-mails et des données privées enregistrées dans des applications auxquelles nos comptes restent connectés en permanence, car c'est plus pratique. La perte ou le vol d'un tel appareil nous rend vulnérables, car des personnes mal intentionnées peuvent s'en servir pour accéder à nos informations privées et les utiliser pour usurper notre identité, réaliser une fraude financière ou encore nous nuire personnellement.

Le chiffrement offre une protection contre ce type de scénarios. Les communications chiffrées qui transitent sur le Web peuvent être interceptées, mais leur contenu est inintelligible. C'est ce que l'on appelle le "texte chiffré". Les messages non chiffrés transitent quant à eux en "texte brut". Dans le cas du chiffrement d'un appareil, les voleurs potentiels ne peuvent pas accéder au contenu du téléphone sans le code permettant de déchiffrer les données. Ils peuvent seulement effacer l'intégralité de ce contenu. Le fait de perdre des données est certes contrariant, mais c'est mieux que de perdre le contrôle de votre identité.

Quels sont les types de chiffrement disponibles ?

Chiffrement des données en transit : ce type de chiffrement permet de protéger un flux d'informations depuis l'utilisateur jusqu'à un serveur tiers. Par exemple, lorsque vous saisissez votre numéro de carte bancaire dans une boutique en ligne, une connexion sécurisée protège ces informations contre toute interception de la part d'un tiers pendant leur transmission. Il n'y a que vous et le serveur auquel vous vous connectez qui pouvez déchiffrer ces informations.

Chiffrement de bout en bout : l'émetteur et les destinataires sont les seuls à détenir les clés nécessaires pour chiffrer et déchiffrer les messages. Le fournisseur de services qui contrôle le système via lequel les utilisateurs communiquent n'a aucun moyen d'accéder au contenu des messages.

Chiffrement au repos : ce type de chiffrement permet de protéger les informations lorsqu'elles ne sont pas en transit. Par exemple, le disque dur de votre ordinateur peut utiliser le chiffrement au repos pour éviter que quelqu'un d'autre n'accède à vos fichiers en cas de vol de l'appareil.

Quels protocoles sont pris en compte dans ces graphiques ?

Ces graphiques représentent les requêtes effectuées sur HTTP, HTTP/2, HTTPS, SPDY et QUIC.

Quels protocoles sont considérés comme chiffrés ?

Les requêtes effectuées sur HTTPS, SPDY et QUIC sont considérées comme chiffrées, car ces protocoles incorporent par défaut la technologie TLS. Nous avons également inclus le protocole HTTP/2, car nous n'acceptons pas les connexions HTTP/2 non chiffrées au sein de Google.

Où puis-je trouver des informations concernant les autres protocoles ?

Nous sommes en train de publier des informations sur l'utilisation de la technologie TLS dans les protocoles de messagerie Gmail. Les autres protocoles non répertoriés ci-dessus ne font actuellement pas partie de ce rapport.

Disposez-vous de données précises antérieures à décembre 2013 ?

Malheureusement non. Nos sources de données antérieures à décembre 2013 ne sont pas suffisamment précises pour rendre compte avec exactitude des progrès réalisés dans l'adoption du HTTPS.

Comment sont obtenues les données sur l'utilisation du protocole HTTPS ?

Les données sont fournies par les utilisateurs de Chrome qui choisissent de partager des statistiques d'utilisation. La catégorisation par pays/région est basée sur l'adresse IP associée au navigateur des utilisateurs.

Pourquoi ces 10 pays/régions ont-ils été choisis pour les statistiques d'utilisation du protocole HTTPS ?

Pour effectuer une comparaison de l'utilisation du protocole HTTPS dans le monde entier, nous avons sélectionné 10 pays/régions comptant un grand nombre d'utilisateurs de Chrome dans différentes zones géographiques.

Le HTTPS sur les sites Web populaires [archivé]

Que voulez-vous dire par "HTTPS utilisé sur le site" ?

Nous considérons qu'un site est compatible avec le HTTPS si Googlebot parvient à accéder sans problème au domaine https://domaine et s'il n'est pas redirigé via une connexion HTTP.

Que signifie "Configuration intégrant la norme TLS moderne" ?

Depuis février 2016, nous estimons qu'un site propose une connexion HTTPS moderne s'il fait appel à TLS version 1.2 avec une suite de chiffrement utilisant un mode opératoire AEAD :

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

Que voulez-vous dire par "HTTPS par défaut" ?

"HTTPS par défaut" signifie que le site redirige les requêtes HTTP vers une URL HTTPS. Notez qu'un site peut procéder ainsi tout en refusant les requêtes HTTPS sur le domaine (par exemple, http://domaine redirige l'utilisateur vers https://sousdomaine.domaine, alors que https://domaine ne permet pas d'établir la connexion).

Il est également important de noter que même si l'on considère qu'un site utilise le protocole HTTPS par défaut, cela ne garantit pas que l'intégralité du trafic de chaque page sera transmise via HTTPS. Une notification s'affiche dans Chrome concernant l'état HTTPS de chaque page que vous consultez. Si vous utilisez un autre navigateur, nous vous conseillons de vous familiariser avec la façon dont les différents états HTTPS y sont signalés.

D'où ces données proviennent-elles ?

Nous avons utilisé à la fois des données publiques (comme celles du site Alexa qui répertorie les sites les plus populaires) et des données Google. Ces données couvrent une période de quelques mois et ont été collectées début 2016. Elles nous ont servi de base pour dresser cette liste.

Les sites présentés dans cette liste sont-ils classés par niveau de popularité ?

Non. La liste contient les 100 sites les plus populaires, à l'exception de ceux de Google. Ils sont classés par ordre alphabétique, et nous les avons répartis en trois catégories en fonction de leur état HTTPS.

Je suis propriétaire de site Web. Mon site est sur la liste, et j'ai besoin d'assistance pour passer au HTTPS. Pouvez-vous m'aider ?

Nous proposons une assistance limitée aux sites de cette liste qui souhaitent passer au HTTPS. Pour en savoir plus, veuillez consulter votre adresse e-mail security@domaine, ou nous contacter à l'adresse security@google.com.