Sécurité du Surfeur

0
328

Sécurisation du surf sur valdoiserugby.org

Il est facile de reconnaître un site sécurisé au petit cadenas vert suivi d’une mention à gauche dans la barre d’adresse avant l’URL du site. Nous avons modifié notre site pour vous permettre de surfer en sécurité sur le site Internet du Comité Départemental Rugby du Val d’Oise en utilisant le protocole HTTPS.

HTTPS: c’est HTTP+SSL.

Ce protocole est inclus dans pratiquement tous les navigateurs, et permet à nos visiteurs de surfer sur le web de façon sécurisée. En février 2017, le protocole de sécurité HTTPS était utilisé par environ 16,28 % de l’Internet français. Comment ça fonctionne?

Lorsque vous surfez des échanges sont effectuées entre le serveur WEB et votre ordinateur à travers divers équipements réseaux:

  • Votre routeur ou box
  • Les routeurs du fournisseurs d’accès
  • Des routeurs intermédiaire
  • Les routeurs et autres équipements réseaux de l’hébergeur où se situe le site WEB

Les données échangées ne sont pas chiffrées, c’est à dire, qu’elles sont échangées en clair entre votre ordinateur et le serveur WEB d’un site non sécurisé. Ainsi, une attaquant peut éventuellement se mettre entre votre ordinateur et le serveur WEB ou usurper ce dernier pour récupérer les données qui transitent (attaques de type Man in the Middle). Ceci pose des problèmes puisque vous pouvez échanger des données sensibles avec le site en question : mot de passe, informations bancaires, etc…

C’est là que les sites HTTPs ont leur utilité, car :

  1. Ils permettent un échange de données chiffrées entre votre navigateur WEB et le serveur WEB.
  2. La seconde utilité est que les sites HTTPs permettent de vérifier l’identité du site et éviter l’usurpation d’identité. Cette vérification de l’identité se fait à travers un certificat électronique délivré par une autorité de certification.

Il y a trois types de certificat avec plus ou moins d’avantages et de fonctionnalités suivant le prix qui varie essentiellement selon 3 grandes catégories :

  • Les certificats DV (Domain Validation ou validation du domaine), parfaits pour chiffrer toutes les communications, mais n’offrent aucune preuve de l’identité du propriétaire site. C’est le cas de notre certificat SSL fourni par notre hébergeur OVH.
  • Les certificats OV (Organisation Validation ou validation de l’organisation) chiffrent toutes vos communications, et affichent le nom du propriétaire site dans les détails du certificat SSL, consultable sur tous les navigateurs.
  • Les certificats EV (Extended Validation ou validation étendue), affichent directement le nom du propriétaire du site dans la barre de recherche de tous les navigateurs.

Photo : Mike, Licence Creative Commons (CC BY-SA 2.0)