Salut 👋à tous et bienvenue dans ce nouveau point sécu avec Julio.
Aujourd’hui, on va voir ce que c’est le HTTPS et le SFTP et surtout, pourquoi c’est important.
Allez c’est parti !
Alors, du coup Julio explique-nous un petit peu ce que c’est que ces acronymes.
Sommaire
Un peu de théorie
- Le HTTP c’est le « Protocole de transfert d’hypertexte », c’est-à -dire tout ce que vous faites sur Internet habituellement. Vous connaissez http://, donc c’est du transfert de texte, de contenu.
- Le FTP lui c’est le « Protocole de transfert de fichiers » donc là , c’est quand vous êtes sur votre serveur, et là vous pouvez jouer avec vos fichiers.
La différence flagrante entre HTTP et HTTPS c’est donc le « S » qui veut dire « sécurisé ».
Quand vous faites un appel à un site Web en HTTP, vous envoyez une requête vers un serveur, qui va vous renvoyer les données.
C’est-à -dire que ça passe entre des ordinateurs, on est d’accord, les serveurs, ça reste des ordinateurs.
Entre vous et le serveur…
Alex : Le client et le serveur…
Julio : Et le client, il y a énormément de points, on n’est pas directement connecté à un ordinateur, on passe par plein de routes en fait.
Si quelqu’un, sur cette route, est capable d’écouter, c’est le mot qu’on utilise : on “Ă©coute” les requĂŞtes, il va pouvoir voir la requĂŞte que vous avez demandĂ©e, il va pouvoir voir votre rĂ©ponse.
On va dire, “c’est pas très grave de toute façon, lĂ oĂą je vais, il peut y aller aussi”.
Alors, oui c’est bien ! Mais qu’est ce qui se passe si sur une page vous vous connectez, vous mettez le login, le mot de passe, en HTTP et là vous demandez à vous connecter.
Vous allez envoyer en clair votre requĂŞte, et le serveur vous renverra vos informations aussi en clair.
Instantanément c’est problématique.
Le HTTP ou le HTTPS ça se lit
Si je fais une image très simple : vous envoyez une lettre par la poste, mais la lettre, vous la mettez sans enveloppe, tout le monde peut lire.
Quand vous envoyez une lettre, vous ne la mettez pas dans la boĂ®te aux lettres de la personne, non non, vous la mettez dans une boĂ®te, qui sera prise par une personne, qui la mettra dans une boĂ®te, qui sera triĂ©e…
En fait, il y a plein de monde qui va toucher cette lettre ! Et là , ça veut dire que vous autorisez chaque personne à lire la lettre.
Est-ce que vous avez envie de ça ? Pas forcément. Des fois ça ne vous gêne pas, des fois ça vous gênera, et ben c’est un peu le même système.
Le HTTPS, c’est la façon d’être certain que ce qui est envoyé et ce qui est reçu ne peut pas être lu par une autre personne.
Donc, les données sont cryptées de façon à ce que l’on ne puisse pas décrypter si on n’est pas la personne qui attend la requête.
Le FTP ou le SFTP ça s’Ă©coute
Le FTP en fait, on va faire la mĂŞme chose.
Quand vous êtes sur votre serveur, vous envoyez un fichier ou vous téléchargez un fichier, on pourrait penser qu’on est directement connecté à l’ordinateur, mais il y a quand même des routes qui passent.
On est quand même sur Internet, on peut quand même réussir à écouter les requêtes.
C’est exactement pareil, les fichiers que vous envoyez, par exemple le wp-config… vous l’envoyez, vous le tĂ©lĂ©chargez pour voir ce qu’il y a dedans, si quelqu’un est au milieu, il est capable d’écouter ça, il est capable de voir ce qui avait dans votre fichier.
Mais vous, vous ne savez pas qu’il a été écouté. C’est là où est le danger, c’est que c’est totalement transparent et vous, vous n’allez rien voir du tout.
Donc là , ça devient super gênant quand ça contient des mots de passe.
Les meilleurs choix
Il y a aussi la même chose pour les sites marchands, je prends souvent l’exemple des sites marchands : une personne va mettre ses informations de carte bleue, si le site n’est pas en https, n’achetez pas par exemple.
Vous connaissez le petit cadenas au dĂ©but de l’URL…
Alex : Les gens sont assez sensibilisĂ©s Ă cela…
Julio : Pour les sites marchands c’est vrai, mais je suis quasiment certain que quand on se connecte sur un site WordPress qui n’est pas en https, on n’est pas trop gĂŞnĂ© et pourtant, on devrait l’être…
Parce qu’on donne son login et son mot de passe, donc ça devient un peu moins gênant si on utilise une double authentification, on en a parlé dans une vidéo précédente.
Mais si on ne l’utilise pas, lĂ c’est gĂŞnant. C’est pour ça aussi que la double authentification est utile – d’ailleurs on aurait pu en parler c’est vrai – mais là ça fait bien le pont avec le HTTPS, c’est que : si quelqu’un arrive Ă lire votre login et votre mot de passe, il ne pourra pas s’authentifier Ă cause de cette double authentification que la personne n’aura pas en main, par exemple votre mobile ou votre adresse mail.
Alex : Du coup on en a parlĂ© dans une prĂ©cĂ©dente vidĂ©o. Il n’y a qu’Ă se reporter Ă cette fameuse vidĂ©o.
Julio : Quand vous avez la possibilitĂ© d’ĂŞtre en HTTPS, faites-le… Sachez aussi que c’est la mĂŞme chose que ce que l’on appelle le SSL, votre hĂ©bergeur peut-ĂŞtre vous le propose, peut ĂŞtre que vous l’avez ignorĂ©…
Essayez de vous renseigner si votre hĂ©bergeur le propose, des fois c’est une simple case Ă cocher pour passer en SSL, HTTPS.
Si vous avez un logiciel FTP, il y a de très fortes chances qu’il vous propose aussi du SFTP, alors ça ne fonctionne que si l’hĂ©bergeur en face, le serveur, accepte aussi SFTP, il y a une histoire de « ports ».
C’est comme un numĂ©ro de maison, le FTP c’est port 21, le SFTP c’est le 22, si le serveur n’a pas de port 22, il ne pourra pas avoir la connexion. Donc il faut se renseigner aussi lĂ -dessus.
Si votre hĂ©bergeur ne le propose pas, j’ai presque envie de dire que c’est dommage, parce qu’il devrait aussi vous aider Ă vous sĂ©curiser.
Les plus utilisĂ©s restent HTTP et FTP aujourd’hui, ce qui je pense dans l’avenir va commencer Ă poser des problèmes de sĂ©curitĂ©, c’est notamment pour ça que Google maintenant commence Ă dire : attention, si ce n’est pas en HTTPS, s’il y a un login, pour moi c’est une page qui n’est pas sĂ©curisĂ©e et il a raison finalement.
Alex : Actuellement je crois que ça s’affiche peut-ĂŞtre, il y a une petite notice d’information grise, mais Ă l’avenir ça sera peut-ĂŞtre du rouge et du rouge ça fait toujours peur.
Julio : Si c’est rouge, il va dire « ne faites pas ça les gars c’est pas bien ! »
Alex : C’est ça !
Julio : De pire en pire, ça, c’est quelque chose auquel il faut faire attention et je pense qu’on va pouvoir enchaĂ®ner aussi encore de nouveau sur un cliffhanger d’une nouvelle vidĂ©o…
Alex : Vas-y…
Je vous laisse imaginer si vous vous connectez en HTTP sur des WIFI gratuits, alors lĂ , c’est bonheur pour les pirates.
Alex : On n’en dit pas plus…
Julio : On n’en dit pas plus.
HĂ©bergez votre site chez o2switch
Faites comme WPMarmite, choisissez o2switch. Non seulement les performances sont au rendez-vous mais le support est exceptionnel.
Pour conclure…
Alex : Rappelez-vous bien : HTTPS, de toute façon il y a aussi un tuto sur WPMarmite : wpmarmite.com/wordpress-https
Julio : Il connaĂ®t par cĹ“ur – Ă force – j’ai vĂ©rifiĂ©, il n’a pas regardĂ©.
Alex : Du coup allez voir ça, il y a le tuto sur o2Switch pour voir comment faire et après si c’est un autre hĂ©bergeur, contactez le support pour en savoir plus ou la doc.
Et surtout voilĂ , pour le SFTP, essayez de le mettre en place sur votre client FTP, que ce soit FILEZILA, CODA ou TRANSMIT.
N’oubliez pas de vous abonner Ă la chaĂ®ne YouTube de WPMarmite pour recevoir les futurs « points sĂ©cu », mettez un petit « pouce bleu » un petit pouce en l’air pour montrer que vous avez aimĂ© et allez faire un tour sur secupress.me et installez-le pour mettre votre site Ă l’abri, en tout cas le plus possible.
OK à très bientôt
Salut !
Ciao đź‘‹
Recevez gratuitement les prochains articles et accédez à des ressources exclusives. Plus de 20000 personnes l'ont fait, pourquoi pas vous ?
La dernière fournée d'articles
Tous les articlesComment optimiser un site WordPress pour les Core Web Vitals ?
Dans le monde du SEO et de la crĂ©ation web en gĂ©nĂ©ral, c’est un terme dont on entend presque tout le temps parler. Ah, les fameux Core Web Vitals… Le genre de truc toujours Ă la mode depuis leur sortie…
Spectra : plongée dans ce constructeur de page intégré à l’éditeur de WordPress
Sortir de l’interface native de WordPress ? Jamais de la vie. Proposer une kyrielle de widgets ? MĂŞme pas en rĂŞve. Avec lui, la star, ce sont les blocs. CrĂ©er votre prochain site WordPress sans quitter l’éditeur par dĂ©faut (Gutenberg),…
WPMarmite News fĂŞte sa 100e Ă©dition (avec un concours) !
Aujourd’hui est un jour un peu spĂ©cial pour WPMarmite. Nous fĂŞtons la 100e Ă©dition de WPMarmite News, notre newsletter de veille WordPress ! 🥳 Si vous ĂŞtes un abonnĂ© de longue date, vous vous en rappelez peut-ĂŞtre : l’aventure avait…