Vidéo : 🛡 Point SECU #20 : Pourquoi le HTTPS et le SFTP sont importants pour votre sécurité ?



Salut 👋à tous et bienvenue dans ce nouveau point sécu avec Julio.

Et… aujourd’hui, on va voir ce que c’est le HTTPS et le SFTP et surtout, pourquoi c’est important.

Allez c’est parti !

Alors, du coup Julio explique-nous un petit peu ce que c’est que ces acronymes.

Julio : Alors : HTTPS, le « S » comme très souvent dans ce qui est Web, ça veut dire Secure ou Sécurité

Un peu de théorie

  • Le HTTP c’est le « Protocole de transfert d’hypertexte », c’est-à-dire tout ce que vous faites sur Internet habituellement. Vous connaissez http://, donc c’est du transfert de texte, de contenu.
  • Le FTP lui c’est le « Protocole de transfert de fichiers » donc là, c’est quand vous êtes sur votre serveur, et là vous pouvez jouer avec vos fichiers.

La différence flagrante entre HTTP et HTTPS c’est donc le « S » qui veut dire « sécurisé ».

Quand vous faites un appel à un site Web en HTTP, vous envoyez une requête vers un serveur, qui va vous renvoyer les données.

C’est-à-dire que ça passe entre des ordinateurs, on est d’accord, les serveurs, ça reste des ordinateurs.

Entre vous et le serveur…

Alex : Le client et le serveur…

Julio : Et le client, il y a énormément de points, on n’est pas directement connecté à un ordinateur, on passe par plein de routes en fait.

Si quelqu’un, sur cette route, est capable on va dire, d’écouter, c’est le mot qu’on utilise : on « écoute » les requêtes…

… il va pouvoir voir la requête que vous avez demandée, il va pouvoir voir votre réponse.

On va dire, « c’est pas très grave de toute façon, là où je vais, il peut y aller aussi ».

Alors, oui c’est bien ! Mais qu’est ce qui se passe si sur une page vous vous connectez, vous mettez le login, le mot de passe, en HTTP et là vous demandez à vous connecter.

Vous allez envoyer en clair votre requête, et le serveur vous renverra vos informations aussi en clair.

Instantanément c’est problématique.

1. Le HTTP ou le HTTPS ça se lit

Si je fais une image très simple : vous envoyez une lettre par la poste, mais la lettre, vous la mettez sans enveloppe, tout le monde peut lire.

Quand vous envoyez une lettre, vous ne la mettez pas dans la boîte aux lettres de la personne, non non, vous la mettez dans une boîte, qui sera prise par une personne, qui la mettra dans un boîte, qui sera triée…

https pour un message à la mer

En fait, il y a plein de monde qui va toucher cette lettre !

Et là, ça veut dire que vous autorisez chaque personne à lire la lettre.

Est-ce que vous avez envie de ça ?

Pas forcément, des fois ça vous gêne pas, des fois ça vous gênera, et ben c’est un peu le même système.

Le HTTPS, c’est la façon d’être certain que ce qui est envoyé et ce qui est reçu ne peut pas être lu par une autre personne.

Donc, les données sont cryptées de façon à ce que l’on ne puisse pas décrypter si on n’est pas la personne qui attend en fait la requête.

2. Le FTP ou le SFTP ça s’écoute

Le FTP en fait, on va faire la même chose.

Quand vous êtes sur votre serveur, vous envoyez un fichier ou vous téléchargez un fichier, on pourrait penser qu’on est directement connecté à l’ordinateur, mais il y a quand même des routes qui passent.

On est quand même sur Internet, on peut quand même réussir à écouter les requêtes.

C’est exactement pareil, les fichiers que vous envoyez, par exemple le wp-config… vous l’envoyez, vous le téléchargez pour voir ce qu’il y a dedans, si quelqu’un est au milieu, il est capable d’écouter ça, il est capable de voir ce qui avait dans votre fichier.

Mais vous, vous ne savez pas qu’il a été écouté. C’est là où est le danger, c’est que c’est totalement transparent et vous, vous n’allez rien voir du tout.

Donc là, ça devient super gênant quand ça contient des mots de passe.

3. Les meilleurs choix

Il y a aussi la même chose pour les sites marchands, je prends souvent l’exemple des sites marchands : une personne va mettre ses informations de carte bleue, si le site n’est pas en https, n’achetez pas par exemple.

Vous connaissez le petit cadenas au début de l’URL…

Alex : Les gens sont assez sensibilisés à cela…

Julio : Pour les sites marchands c’est vrai, mais je suis quasiment certain que quand on se connecte sur un site WordPress qui n’est pas en https, on n’est pas trop gêné et pourtant, on devrait l’être…

Parce qu’on donne son login et son mot de passe, donc ça devient un peu moins gênant si on utilise une double authentification, on en a parlé dans une vidéo précédente.

Mais si on ne l’utilise pas, là c’est gênant. C’est pour ça aussi que la double authentification est utile – d’ailleurs on aurait pu en parler c’est vrai – mais là ça fait bien le pont avec le HTTPS, c’est que : si quelqu’un arrive à lire votre login et votre mot de passe, il ne pourra pas s’authentifier à cause de cette double authentification que la personne n’aura pas en main, par exemple votre mobile ou votre adresse mail.

Alex : Du coup on en a parlé dans une précédente vidéo. Il n’y a qu’à se reporter à cette fameuse vidéo.

Vous trouverez sûrement le lien en dessous ou sur le côté juste ici !

Julio : Quand vous avez la possibilité d’être en HTTPS, faites-le… Sachez aussi que c’est la même chose que ce que l’on appelle le SSL, votre hébergeur peut-être vous le propose, peut être que vous l’avez ignoré…

Essayez de vous renseigner si votre hébergeur le propose, des fois c’est une simple case à cocher pour passer en SSL, HTTPS.

Si vous avez un logiciel FTP, il y a de très fortes chances qu’il vous propose aussi du SFTP, alors ça ne fonctionne que si l’hébergeur en face, le serveur, accepte aussi SFTP, il y a une histoire de « ports ».

C’est comme un numéro de maison, le FTP c’est port 21, le SFTP c’est le 22, si le serveur n’a pas de port 22, il ne pourra pas avoir la connexion. Donc il faut se renseigner aussi là-dessus.

Si votre hébergeur ne le propose pas, j’ai presque envie de dire que c’est dommage, parce qu’il devrait aussi vous aider à vous sécuriser.

Les plus utilisés restent HTTP et FTP aujourd’hui, ce qui je pense dans l’avenir va commencer à poser des problèmes de sécurité, c’est notamment pour ça que Google maintenant commence à dire : attention, si ce n’est pas en HTTPS, s’il y a un login, pour moi c’est une page qui n’est pas sécurisée et il a raison finalement.

Alex : Actuellement je crois que ça s’affiche peut-être, il y a une petite notice d’information grise, mais à l’avenir ça sera peut-être du rouge et du rouge ça fait toujours peur.

Julio : Si c’est rouge, il va dire « ne faites pas ça les gars c’est pas bien ! »

Alex : C’est ça !

Julio : De pire en pire, ça, c’est quelque chose auquel il faut faire attention et je pense qu’on va pouvoir enchaîner aussi encore de nouveau sur un cliffhanger d’une nouvelle vidéo…

Alex : Vas-y…

Je vous laisse imaginer si vous vous connectez en HTTP sur des WIFI gratuits, alors là, c’est bonheur pour les pirates.

Alex : On n’en dit pas plus…

Julio : On n’en dit pas plus.

Alex : Rappelez-vous bien : HTTPS, de toute façon il y a aussi un tuto sur la Marmite, je crois que l’URL c’est wpmarmite.com/wordpress-https

Julio : Il connaît par cÅ“ur – à force – j’ai vérifié, il n’a pas regardé.

Alex : Du coup allez voir ça, il y a le tuto sur o2Switch pour voir comment faire et après si c’est un autre hébergeur, contactez le support pour en savoir plus ou la doc.

Et surtout voilà, pour le SFTP, essayez de le mettre en place sur votre client FTP, que ce soit FILEZILA, CODA ou TRANSMIT.

N’oubliez pas de vous abonner à la chaîne YouTube de la Marmite pour recevoir les futurs « points sécu », mettez un petit « pouce bleu » un petit pouce en l’air pour montrer que vous avez aimé et allez faire un tour sur secupress.me et installez-le pour mettre votre site à l’abri, en tout cas le plus possible.

OK à très bientôt

Salut !

Ciao 👋



Si vous avez apprécié cet article, inscrivez-vous à la newsletter

Recevez gratuitement les prochains articles et accédez à des ressources exclusives. Plus de 20 000 personnes l'ont fait, pourquoi pas vous ?

C'est parti, je m'inscris !

Partagez
Tweetez
Partagez
dolor id, Donec id ut quis