Site sécurisé https : cadenas vert, certificat EV SSL… comment ça marche ?

En se penchant, sur les chiffres communiqués par la Fevad, il va sans dire que le e-commerce français se porte à merveille :

• En 2015, les ventes en ligne ont progressé de 14,3%.
• En 2016, la Fevad prévoit pour le e-commerce un CA supérieur à 70 milliards d’euros.

De ce fait, un nombre considérable de transactions et paiements bancaires ont lieu en ligne et, avec eux, de plus en plus de données personnelles transitent sur le web. La sécurité du site internet doit donc se situer au coeur des préoccupations d’une entreprise.

Plusieurs niveaux de sécurisation existent. Mais, entre le protocole HTTPS, les cadenas verts, orange ou gris et la barre d’adresse du navigateur surlignée en vert, il peut être difficile de comprendre à quoi correspondent chacune de ces attestations visuelles qui rassurent les internautes à différents degrés.

 

Tour d’horizon des différentes façon de garantir un site sécurisé

 

Le protocole HTTPS

L’HyperText Transfer Protocol Secure, abrégé HTTPS, est la version sécurisée de HTTP, le protocole sur lequel les données sont envoyées entre votre navigateur et le site web auquel vous êtes connecté.

Le « S » à la fin de HTTPS signifie « Secure ». Il indique que toutes les communications entre votre navigateur et le site web sont cryptées. C’est la raison pour laquelle HTTPS est souvent utilisé pour protéger les transactions en ligne hautement confidentielles telles que les opérations bancaires et les formulaires de commande sur un e-commerce.

 

 

Comment fonctionne HTTPS ?

Les pages HTTPS utilisent le protocole sécurisé SSL (Secure Sockets Layer) pour crypter les communications. Ce protocole recourt à un système d’infrastructure à clés publiques (ICP) « asymétrique ».

Un système asymétrique utilise deux « clés » pour chiffrer les communications : une clé « publique » et une clé « privée ». Concrètement, tout ce qui est chiffré avec la clé publique ne peut être déchiffré que par la clé privée et vice-versa.

Comme son nom le suggère, la clé « privée » doit être strictement protégée, et accessible uniquement par son propriétaire. Dans le cas d’un site web, la clé privée reste sécurisée sur le serveur web. Inversement, la clé publique est destinée à être distribuée à quiconque devant pouvoir décrypter des informations cryptées avec la clé privée.

 

Qu’est-ce qu’un certificat HTTPS ?

Lorsque vous demandez une connexion HTTPS à une page web, le site envoie initialement son certificat SSL à votre navigateur. Ce certificat contient la clé publique nécessaire pour commencer la session sécurisée.

Sur la base de cet échange initial, votre navigateur et le site web lancent alors le protocole « handshake SSL ». Celui-ci implique la génération de secrets partagés pour établir une connexion unique entre l’internaute et le site web.

 

Pourquoi un certificat SSL est-il requis ?

Toutes les communications envoyées sur des requêtes HTTP classiques transitent en « clair » et peuvent être facilement interceptées et lues par une personne mal intentionnée. Le danger est évident si la « communication » a lieu sur un site e-commerce vis à vis de transaction bancaire et des codes de cartes bleues associés. Mais il subsiste sur tout type de site nécessitant une authentification. Sans HTTPS, les logins / mots de passe transitent en clair dans les échanges clients / serveurs, sans être chiffrés.

Avec une connexion HTTPS, toutes les communications sont cryptées de manière sécurisée. Ainsi, même si quelqu’un réussit à percer dans la connexion, il sera incapable de décrypter les données échangées entre l’internaute et le site web.

Notez qu’il est possible d’utiliser HTTPS uniquement pour la partie transaction de votre site e-commerce.

 

Affichage d’une connexion SSL dans le navigateur : cadenas vert

Pour utiliser SSL, un webmaster achète un certificat d’une autorité de certification et l’installe sur son serveur web. Lors de la visite du site, un navigateur web lira le certificat du serveur et utilisera ses informations clés pour configurer une connexion cryptée entre le navigateur et le serveur.

Chacun des navigateurs web modernes, Internet Explorer, Chrome et Firefox, notifient aux utilisateurs que SSL est actif grâce à l’utilisation d’icônes, de couleurs ou d’autres notifications visuelles.

Par exemple, lorsqu’un certificat SSL sécurisé est utilisé pendant une connexion HTTPS, les utilisateurs verront un cadenas dans la barre d’adresse du navigateur.

 

L’affichage ou la couleur du cadenas varieront en fonction du type de certificat SSL utilisé sur le site, mais également du navigateur web.

 

Avantages du HTTPS et du certificat SSL

• Les informations sur les clients, comme les numéros de carte de crédit, sont cryptées par HTTPS et ne peuvent pas être interceptées.
• Les visiteurs de votre site web ou e-commerce peuvent vérifier que vous êtes une entreprise enregistrée et que vous êtes propriétaire du domaine.
• Les clients sont plus enclins à faire confiance et à achever des achats de sites e-commerce grâce au cadenas qui leur assure que le paiement bancaire est bien sécurisé.

 

Les différentes certifications SSL

• Certificat SSL gratuit non approuvé : gratuit, ce certificat est auto-signé par le site web et non-pré installé sur les navigateurs web. Il implique un degré de confiance réduit, raison pour laquelle il n’est pas recommandé, bien que l’Autorité de Certification (AC) Let’s Encrypt qui délivre des certificats SSL gratuits semble une solution fiable.
• Certificat SSL approuvés: signé par une Autorité de Certification et pré installés sur les navigateurs web. Attention, même approuvés les certificats SSL ne sont pas 100% fiables puisque les AC ne sont pas tenues d’utiliser un processus spécifique pour authentifier les entités leur demandant de signer leurs certificats. Par conséquent, même les entités malveillantes peuvent obtenir une signature de leur certificat SSL par une AC.
• Certificat Extended Validation (EV) SSL : standard du e-commerce, le certificat EV SSL « nécessite une enquête plus approfondie de l’entité requérante par l’autorité de certification avant d’être délivré ». Ces certificats de validation étendus offrent les niveaux les plus élevés de confiance et d’authentification d’un site web. Ils ont été conçus pour renforcer la sécurité du commerce électronique et lutter contre les attaques d’hameçonnage (phishing).

 

6 fournisseurs leaders sur le marché des certificats SSL approuvés (non gratuit)

• Comodo
• GeoTrust
• Globalsign
• RapidSSL
• Symantec
• Thawte

 

Focus sur le certificat EV SSL : paiement bancaire sous haute sécurité

Disponible pour toutes les entités commerciales et gouvernementales, la norme EV SSL est née de la volonté des éditeurs de navigateur web et Autorités de Certifications d’assurer une sécurité optimale des transactions en ligne.

Dans cet esprit, ils créent le CA/Browser Forum, un regroupement volontaire d’Autorités de Certification et d’éditeurs de navigateurs. Ensemble, ils définissent des normes strictes que doivent respecter toutes les CA délivrant le certificat EV SSL.

Le processus EV est plus rigoureux et plus détaillé que n’importe quel autre certificat SSL et nécessitera des étapes supplémentaires qui peuvent inclure l’obtention de signatures de plusieurs personnes au sein de l’entreprise demandeuse ou encore la vérification juridique de l’existence de l’entreprise.

Avant d’obtenir la certification EV SSL, les sites sécurisés doivent ainsi passer par un processus d’authentification rigoureux, tel que définit pas le forum CA/Browser. Sa mise en place prend généralement plusieurs jours, le temps nécessaire à la validation de toutes les étapes du processus.

 

Certificat EV SSL : mode d’emploi

Le fonctionnement d’un certificat EV SSL se décortique en 4 étapes :

• La société Y décide de vouloir sécuriser les communications entre le site web et celui qui le demande.
• La société Y demande à un tiers de confiance de vérifier le propriétaire pour lui délivrer un certificat numérique.
• Après vérification du demandeur, le tiers de confiance émet un certificat attestant l’identité du site web. Ainsi, l’internaute est en mesure de savoir que PayPal est bien Paypal, et non un site web malveillant.
• Le navigateur web constate que l’entreprise Y utilise le cryptage EV SSL et interroge le certificat qui lui montre être émis par un tiers de confiance à la société Y. Le navigateur affiche alors le nom de la société à laquelle le certificat a été délivré. Si elle est la même, elle deviendra verte. En cas de non-attestation, le navigateur avertira l’internaute que le site web pourrait ne pas être le site web qu’il dit être en l’affichant en rouge.

 

Affichage d’une connexion EV SSL dans le navigateur web : barre d’adresse en vert et nom de l’entreprise

L’obtention d’un certificat SSL de validation étendue nécessite une authentification complète de l’entreprise. Ce processus garanti que la barre d’adresse verte n’est associée qu’aux sociétés les plus fiables. Les sites web utilisant un certificat EV amèneront donc les navigateurs web à modifier la barre d’adresse en vert, mais également à afficher le nom de l’organisation à laquelle le certificat a été délivré.

Cette fonctionnalité de sécurité a été spécialement mis en place pour permettre à l’internaute de vérifier que le site web sécurisé est effectivement desservie par la société à laquelle il prétend être affilié.

 

Pourquoi un certificat EV SSL ?

Le cadenas et la barre d’adresse du navigateur en vert ainsi que l’affichage du nom de l’entreprise aident les e-commerçants à accroître la confiance des consommateurs, à réduire le taux d’abandon de panier, à augmenter les taux de conversion et à générer des revenus à long terme grâce au paiement bancaire sécurisé.

 

Certificat EV SSL : pour qui ?

Ce certificat de validation étendue doit être utilisé par tous les sites web exigeants une sécurité accrue du fait d’un échange de données confidentielles. Les sites de transactions bancaires et e-commerce de grandes marques en font partie, étant souvent la cible d’attaque par hameçonnage. Il n’y a donc rien d’étonnant à voir que plusieurs grandes marques et entreprises utilisent le certificat EV SSL. Parmi elles figurent notamment Paypal ou Zalando.

Si les prix des certificats EV varient, ils ne sont généralement pas bon marché. La question mérite donc d’être posée : en avez-vous vraiment besoin ?

Ce certificat peut être utile à de petites marques procédant à des paiements en ligne, qui gagneraient à se démarquer de la concurrence en affichant une sécurité accrue. Afin de se décider, il convient de peser le manque à gagner par des paniers abandonnés dus à la méfiance des internautes, face au prix du certificat EV SSL.