Dossier

Référencement, navigateurs et RGPD :
passer son site en HTTPS devient incontournable

Sommaire :

Pourquoi passer son site en HTTPS ?

Les évolutions des navigateurs Internet et l’entrée en vigueur du RGPD le 25 mai 2018 rendent incontournable le passage de votre site internet en HTTPS :

  • Dès ce mois de juillet, la version 68 du navigateur Chrome estampillera comme « Non Sécurisés » les sites non-HTTPS
  • En octobre la version 70 de Chrome affichera une page d’avertissement de sécurité AVANT l’accès aux sites non-HTTPS
  •  Le référencement des sites HTTPS est d’ores et déjà favorisé par le moteur de recherche Google, au détriment des autres.
    À terme, les sites non HTTPS seront désindexés par les moteurs de recherche.
  •  Le Règlement Général pour la Protection des Données (RGPD) requiert de chiffrer les échanges dès lors que des données sont collectées (ce qui est le cas avec le moindre formulaire sur votre site)

Fermeté accrue pour les sites non HTTPS :

Nous vous l’annoncions dans notre newsletter du 16 avril, nous l’avons rappelé dans celle parue le 19 juin, les navigateurs vont être de plus en plus nombreux à afficher comme dangereux ou potentiellement risqués les sites ne disposant pas de certificats utilisables avec les protocoles SSL ou TLS.

Firefox a commencé en alertant les visiteurs des sites sensibles (ceux censés, en raison de leur activité, disposer de certificats de sécurité) que la visite est risquée.

Chrome estampillera les sites non HTTPS comme « Non sécurisés » dans sa version 68 prévue en juillet, et affichera de façon systématique dès le 13 septembre une alerte de sécurité AVANT l’entrée sur le site pour tous les sites web encore en HTTP.

Bien entendu vos visiteurs pourront, pour quelques temps encore, passer outre l’avertissement et aller sur votre site, mais les internautes, qui sont de plus en plus nombreux à être sensibilisés aux aspects de sécurité et de confidentialité des données, seront nombreux à faire machine arrière.

L’impact sur l’activité des professionnels sera considérable, la fréquentation des sites non sécurisés sera sérieusement touchée. Et progressivement les moteurs de recherche vont désindexer les sites non sécurisés.

HTTPS et RGPD :

Le Règlement Général pour la Protection des Données (RGPD) requiert de chiffrer les échanges dès lors que des données sont collectées.

Un simple formulaire de contact constitue une collecte de données, autant dire que pour être conforme au RGPD, le chiffrement des flux de votre site via SSL devient incontournable.

Les conseils de la CNIL pour la mise en conformité de votre site avec Le RGPD :

Les précautions élémentaires :

  • Mettre en œuvre les protocoles HTTPS et SFTP sur tous les sites web, en utilisant uniquement les versions les plus récentes et en vérifiant sa bonne mise en œuvre.
  • Utiliser la méthode de chiffrement TLS pour toutes les pages d’authentification, de formulaire ou sur lesquelles sont affichées ou transmises des données à caractère personnel non publiques.
  • Limiter les ports de communication strictement nécessaires au bon fonctionnement des applications installées. Si l’accès à un serveur web passe uniquement par HTTPS, il faut autoriser uniquement les flux réseau IP entrants sur cette machine sur le port 443 et bloquer tous les autres ports.
  • Limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées. En particulier, limiter l’utilisation des comptes administrateurs aux équipes en charge de l’informatique et ce, uniquement pour les actions d’administration qui le nécessitent.
  • Si des cookies non nécessaires au service sont utilisés, recueillir le consentement de l’internaute après information de celui-ci et avant le dépôt du cookie.
  • Limiter le nombre de composants mis en œuvre sur votre site, en effectuer une veille et les mettre à jour.

Ce qu’il ne faut pas faire :

  • Faire transiter des données à caractère personnel telles que identifiants ou mots de passe.
  • Utiliser des services non sécurisés (authentification en clair, flux en clair, etc.).
  • Utiliser les serveurs comme des postes de travail, notamment pour naviguer sur des sites web, accéder à la messagerie électronique, etc.
  • Placer les bases de données sur un serveur directement accessible depuis Internet.
  • Utiliser des comptes utilisateurs génériques (c’est-à-dire partagés entre plusieurs utilisateurs).

> Pour en savoir plus, consultez le guide complet de la CNIL sur la sécurité des données personnelles

Les recommandations de l’ANSSI

L’ANSSI a publié sur son site des recommandations spécifiques pour mettre en œuvre TLS ou pour sécuriser un site web.

En savoir plus sur le SSL :

Le principe de fonctionnement :

Comme chacun sait un site sécurisé affiche le préfixe HTTPS (pour Hypertext Transfer Protocol Secure) ou un cadenas vert. Un site non sécurisé ou dont les certificats ne seraient pas à jour vient barrer ces indicateurs de sécurité.
Un site sécurisé chiffre toutes les données qui transitent entre le navigateur de l’internaute et le serveur web.

Concrètement, c’est comme si vous expédiez à votre contact une boîte avec un cadenas ouvert.
Ce dernier met à l’intérieur de la boîte le document qu’il veut vous envoyer, puis ferme la boîte avec le cadenas.
Vous avez conservé la clé, vous pouvez ouvrir la boîte.
Personne n’a intercepté la donnée car vous êtes le seul à disposer de la clé.

Le cadenas c’est la clé publique, la clé du cadenas est la clé privée. Voici le principe de la sécurité apportée par les protocoles SSL et TLS.

 

Basé sur le SSL 3.0, le TLS a été introduit en 1999 comme la nouvelle version du SSL, dont les versions 2 et 3 sont désapprouvées par l’IETF (Internet Engineering Task Force, https://www.ietf.org/) depuis quelques années à noter également que même la version 1 de TLS est désapprouvée .

Nous devrions parler de certificat TLS, puisque le protocole SSL va progressivement être totalement abandonné, toutefois nous entendrons parler encore longtemps de l’expression « SSL/TLS », qui reste valide.