Salut 👋à tous et bienvenue dans ce nouveau point sécu avec Julio.
Aujourd’hui, on va voir ce que c’est le HTTPS et le SFTP et surtout, pourquoi c’est important.
Allez c’est parti !
Alors, du coup Julio explique-nous un petit peu ce que c’est que ces acronymes.
Sommaire
Un peu de théorie
- Le HTTP c’est le « Protocole de transfert d’hypertexte », c’est-à-dire tout ce que vous faites sur Internet habituellement. Vous connaissez http://, donc c’est du transfert de texte, de contenu.
- Le FTP lui c’est le « Protocole de transfert de fichiers » donc là, c’est quand vous êtes sur votre serveur, et là vous pouvez jouer avec vos fichiers.
La différence flagrante entre HTTP et HTTPS c’est donc le « S » qui veut dire « sécurisé ».
Quand vous faites un appel à un site Web en HTTP, vous envoyez une requête vers un serveur, qui va vous renvoyer les données.
C’est-à-dire que ça passe entre des ordinateurs, on est d’accord, les serveurs, ça reste des ordinateurs.
Entre vous et le serveur…
Alex : Le client et le serveur…
Julio : Et le client, il y a énormément de points, on n’est pas directement connecté à un ordinateur, on passe par plein de routes en fait.
Si quelqu’un, sur cette route, est capable d’écouter, c’est le mot qu’on utilise : on “écoute” les requêtes, il va pouvoir voir la requête que vous avez demandée, il va pouvoir voir votre réponse.
On va dire, “c’est pas très grave de toute façon, là où je vais, il peut y aller aussi”.
Alors, oui c’est bien ! Mais qu’est ce qui se passe si sur une page vous vous connectez, vous mettez le login, le mot de passe, en HTTP et là vous demandez à vous connecter.
Vous allez envoyer en clair votre requête, et le serveur vous renverra vos informations aussi en clair.
Instantanément c’est problématique.
Le HTTP ou le HTTPS ça se lit
Si je fais une image très simple : vous envoyez une lettre par la poste, mais la lettre, vous la mettez sans enveloppe, tout le monde peut lire.
Quand vous envoyez une lettre, vous ne la mettez pas dans la boîte aux lettres de la personne, non non, vous la mettez dans une boîte, qui sera prise par une personne, qui la mettra dans une boîte, qui sera triée…
En fait, il y a plein de monde qui va toucher cette lettre ! Et là, ça veut dire que vous autorisez chaque personne à lire la lettre.
Est-ce que vous avez envie de ça ? Pas forcément. Des fois ça ne vous gêne pas, des fois ça vous gênera, et ben c’est un peu le même système.
Le HTTPS, c’est la façon d’être certain que ce qui est envoyé et ce qui est reçu ne peut pas être lu par une autre personne.
Donc, les données sont cryptées de façon à ce que l’on ne puisse pas décrypter si on n’est pas la personne qui attend la requête.
Le FTP ou le SFTP ça s’écoute
Le FTP en fait, on va faire la même chose.
Quand vous êtes sur votre serveur, vous envoyez un fichier ou vous téléchargez un fichier, on pourrait penser qu’on est directement connecté à l’ordinateur, mais il y a quand même des routes qui passent.
On est quand même sur Internet, on peut quand même réussir à écouter les requêtes.
C’est exactement pareil, les fichiers que vous envoyez, par exemple le wp-config… vous l’envoyez, vous le téléchargez pour voir ce qu’il y a dedans, si quelqu’un est au milieu, il est capable d’écouter ça, il est capable de voir ce qui avait dans votre fichier.
Mais vous, vous ne savez pas qu’il a été écouté. C’est là où est le danger, c’est que c’est totalement transparent et vous, vous n’allez rien voir du tout.
Donc là, ça devient super gênant quand ça contient des mots de passe.
Les meilleurs choix
Il y a aussi la même chose pour les sites marchands, je prends souvent l’exemple des sites marchands : une personne va mettre ses informations de carte bleue, si le site n’est pas en https, n’achetez pas par exemple.
Vous connaissez le petit cadenas au début de l’URL…
Alex : Les gens sont assez sensibilisés à cela…
Julio : Pour les sites marchands c’est vrai, mais je suis quasiment certain que quand on se connecte sur un site WordPress qui n’est pas en https, on n’est pas trop gêné et pourtant, on devrait l’être…
Parce qu’on donne son login et son mot de passe, donc ça devient un peu moins gênant si on utilise une double authentification, on en a parlé dans une vidéo précédente.
Mais si on ne l’utilise pas, là c’est gênant. C’est pour ça aussi que la double authentification est utile – d’ailleurs on aurait pu en parler c’est vrai – mais là ça fait bien le pont avec le HTTPS, c’est que : si quelqu’un arrive à lire votre login et votre mot de passe, il ne pourra pas s’authentifier à cause de cette double authentification que la personne n’aura pas en main, par exemple votre mobile ou votre adresse mail.
Alex : Du coup on en a parlé dans une précédente vidéo. Il n’y a qu’à se reporter à cette fameuse vidéo.
Julio : Quand vous avez la possibilité d’être en HTTPS, faites-le… Sachez aussi que c’est la même chose que ce que l’on appelle le SSL, votre hébergeur peut-être vous le propose, peut être que vous l’avez ignoré…
Essayez de vous renseigner si votre hébergeur le propose, des fois c’est une simple case à cocher pour passer en SSL, HTTPS.
Si vous avez un logiciel FTP, il y a de très fortes chances qu’il vous propose aussi du SFTP, alors ça ne fonctionne que si l’hébergeur en face, le serveur, accepte aussi SFTP, il y a une histoire de « ports ».
C’est comme un numéro de maison, le FTP c’est port 21, le SFTP c’est le 22, si le serveur n’a pas de port 22, il ne pourra pas avoir la connexion. Donc il faut se renseigner aussi là-dessus.
Si votre hébergeur ne le propose pas, j’ai presque envie de dire que c’est dommage, parce qu’il devrait aussi vous aider à vous sécuriser.
Les plus utilisés restent HTTP et FTP aujourd’hui, ce qui je pense dans l’avenir va commencer à poser des problèmes de sécurité, c’est notamment pour ça que Google maintenant commence à dire : attention, si ce n’est pas en HTTPS, s’il y a un login, pour moi c’est une page qui n’est pas sécurisée et il a raison finalement.
Alex : Actuellement je crois que ça s’affiche peut-être, il y a une petite notice d’information grise, mais à l’avenir ça sera peut-être du rouge et du rouge ça fait toujours peur.
Julio : Si c’est rouge, il va dire « ne faites pas ça les gars c’est pas bien ! »
Alex : C’est ça !
Julio : De pire en pire, ça, c’est quelque chose auquel il faut faire attention et je pense qu’on va pouvoir enchaîner aussi encore de nouveau sur un cliffhanger d’une nouvelle vidéo…
Alex : Vas-y…
Je vous laisse imaginer si vous vous connectez en HTTP sur des WIFI gratuits, alors là, c’est bonheur pour les pirates.
Alex : On n’en dit pas plus…
Julio : On n’en dit pas plus.
Hébergez votre site chez o2switch
Faites comme WPMarmite, choisissez o2switch. Non seulement les performances sont au rendez-vous mais le support est exceptionnel.
Pour conclure…
Alex : Rappelez-vous bien : HTTPS, de toute façon il y a aussi un tuto sur WPMarmite : wpmarmite.com/wordpress-https
Julio : Il connaît par cœur – à force – j’ai vérifié, il n’a pas regardé.
Alex : Du coup allez voir ça, il y a le tuto sur o2Switch pour voir comment faire et après si c’est un autre hébergeur, contactez le support pour en savoir plus ou la doc.
Et surtout voilà, pour le SFTP, essayez de le mettre en place sur votre client FTP, que ce soit FILEZILA, CODA ou TRANSMIT.
N’oubliez pas de vous abonner à la chaîne YouTube de WPMarmite pour recevoir les futurs « points sécu », mettez un petit « pouce bleu » un petit pouce en l’air pour montrer que vous avez aimé et allez faire un tour sur secupress.me et installez-le pour mettre votre site à l’abri, en tout cas le plus possible.
OK à très bientôt
Salut !
Ciao 👋