Fiche de cours

Décrire de manière détaillée le protocole HTTPS

Lycée > Terminale > NSI > Décrire de manière détaillée le protocole HTTPS

Fiche de cours
Quiz et exercices
Vidéos et podcasts

Objectifs

Comprendre l'intérêt de l’authentification grâce à un certificat pour se protéger de l’attaque de l’homme du milieu.
Comprendre l’établissement d’une liaison TLS pour sécuriser une communication HTTPS.

Points clés

Une communication HTTP est facile à intercepter, ce qui en fait une cible facile pour les attaques de l’homme du milieu : il s’agit d’une attaque dont l’objectif est d’intercepter, de lire ou de manipuler les communications entre deux parties, sans que ces parties ne se doutent que leur canal de communication a été compromis.
Pour sécuriser une communication, il est préférable d’utiliser le protocole de transfert sécurisé HTTPS qui utilise le protocole de chiffrage TLS.
Le protocole TLS permet :
- l'authentification du serveur avec les certificats signés par une autorité de certification ;
- la confidentialité du message avec un chiffrement symétrique ;
- l'intégrité du message avec un code d’authentification de message ;
- l'échange d'une clé de session avec un chiffrement asymétrique de type RSA ou Diffie-Hellman.

Pour bien comprendre

Comprendre l’intérêt du protocole HTTPS. (NSI 1^re)
Comprendre les requêtes HTTP et la réponse serveur. (NSI 1^re)
Comprendre les protocoles de la couche transport. (NSI 1^re)
Comprendre les chiffrements symétrique et asymétrique.

Le protocole HTTP permet une communication client/serveur en clair, c’est-à-dire que les données et les documents sont accessibles facilement par une tierce personne.

Il est cependant préférable d’utiliser un protocole sécurisé du type HTTPS afin de protéger les données et documents.

Le protocole HTTPS se base sur le protocole de chiffrement TLS pour notamment assurer l’authentification.

1. La nécessité d'authentification

a. Attaque de l’homme du milieu

Lors d’une communication, on peut récupérer des données et des clés en utilisant la technique dite de l’attaque de l'homme du milieu.

L’attaque de l’homme du milieu (man-in-the-middle attack en anglais), est une attaque dont l’objectif est d’intercepter, de lire ou de manipuler les communications entre deux parties, sans que ces parties ne se doutent que leur canal de communication a été compromis.

Remarque
Il peut notamment s’agir d’une attaque entre deux personnes, ou entre une personne et une ressource.

Cette attaque est notamment possible dans une communication qui utilise le protocole HTTP car l’échange est réalisé sans authentification.

Cette attaque est également facilement réalisable dans une communication qui utilise l’algorithme d’échange de clés Diffie-Hellman, lorsque l'échange est réalisé sans authentification.

Attaque de l’homme du milieu
lors d’un échange de clés Diffie-Hellman

Si l'échange a lieu sans une authentification, cette attaque est d’une efficacité redoutable.

Chiffrer une communication ne sert donc à rien s’il n’y a pas un moyen d’authentifier chaque participant.

b. Certificats

Sur le web, l’authentification est assurée par des certificats délivrés par des tiers de confiance.

Rappel
Un certificat d’authentification permet à la fois d’identifier de manière sure le serveur et le client, mais aussi de rendre la transmission illisible sans la possession de ces certificats.

Exemple de la vie courante
Pour prouver son identité, on utilise une carte d’identité qui a été délivrée par un tiers de confiance : une préfecture. La carte d’identité peut être comparée à un certificat.

Principe d’authentification via un certificat

Avant de procéder à un quelconque échange de clés, on procède d’abord à une authentification : Bob veut authentifier sa communication avec Alice pour être certain de communiquer avec Alice. Il va donc lui demander un certificat qui a été émis par un tiers de confiance nommé « Tiers ».

Voici le principe de l’authentification via un certificat.

Alice doit créer un certificat, elle envoie sa clé publique à Tiers.
Celui-ci chiffre alors la clé publique d’Alice avec sa clé privée .
Soit c = , qui est un certificat.
Lorsque Bob souhaite communiquer avec Alice, celle-ci lui fournit alors sa clé publique et son certificat c.
Bob récupère la clé publique du Tiers .
Bob calcule alors (c) qui doit être égal à
(car doit donner ).
Si c’est le cas, on peut alors commencer une communication sécurisée avec l’échange de clés Diffie-Hellman.

Format du certificat X.509

Les tiers de confiance émettent des certificats qui répondent à certains formats. L’Union internationale des télécommunications (UIT) a choisi la norme X.509 pour spécifier les formats des certificats à clé publique.

D’après cette norme, un certificat à clé publique doit contenir :

la version du certificat ;
le numéro de série du certificat ;
l’algorithme de signature du certificat ;
le nom de l’émetteur du certificat (autorité de certification) ;
une date de début et une date de fin de validité du certificat ;
l'objet d’utilisation du certificat ;
des informations sur la clé publique
(algorithme de chiffrement et la clé publique) ;
la signature de l’émetteur du certificat ;
l’identifiant unique du signataire (optionnel).

Exemple de certificat du site www.education.gouv.fr

2. Le protocole HTTPS

a. Protocoles HTTP et HTTPS

Le protocole HTTP (HyperText Transfer Protocol) est un protocole utilisé pour envoyer des documents sur le web. Les données transférées sont des fichiers HTML, des fichiers d’images, des vidéos, etc.

Le protocole HTTP permet de décoder le contenu d’une trame et donc de retrouver des informations échangées entre deux entités (nom d’utilisateurs, mots de passe, etc.).

Il a fallu rajouter un protocole de chiffrage car le protocole HTTP a un défaut majeur : les paquets d’informations échangés peuvent être facilement interceptés et lus avec un logiciel libre.

Le protocole HTTPS (HyperText Transfer Protocol Secure) est un protocole de transfert sécurisé, c’est l’abréviation de HTTP avec TLS. Ce protocole permet d’authentifier et de chiffrer les données, grâce au protocole de chiffrage TLS (Transport Layer Security), qui se base sur l’installation de certificats.

b. Protocole TLS

Principe

Le protocole TLS (Transport Layer Security) est un protocole cryptographique couramment utilisé.

Le protocole TLS permet de garantir :

l'authentification du serveur avec les certificats signés par une autorité de certification ;
la confidentialité du message avec un chiffrement symétrique ;
l'intégrité du message avec un code d’authentification de message ;
l'échange d'une clé de session avec un chiffrement asymétrique de type RSA ou Diffie-Hellman.

Remarque
Ce protocole se passe entre les protocoles TCP et HTTP : si on veut schématiser, on aurait IP, puis TCP, puis TLS et enfin HTTP.

Établissement de la liaison TLS

Avant de commencer la communication, le serveur utilise un certificat délivré par un tiers de confiance. Le client fait confiance à ce tiers de confiance.

Le client initie la connexion avec une requête « Hello » en clair avec ce qu’il peut utiliser comme algorithmes de cryptographie.
Le serveur répond « Hello » avec son certificat X.509 qui contient sa clé publique signée par le tiers de confiance.
Le client vérifie la signature du certificat avec la clé publique du tiers de confiance, il vérifie aussi la date de validité. Si l’une des informations n’est pas bonne, le navigateur affichera un message d’erreur.
Si tout est bon, le certificat est validé, le client peut échanger une clé de chiffrement symétrique en utilisant par exemple un algorithme de chiffrement asymétrique de type Diffie-Hellman ou RSA.
Cette clé se nomme la clé de session.
Le client et le serveur peuvent échanger des données chiffrées via le protocole HTTPS.

Évalue ce cours !

Note 3 / 5. Nombre de vote(s) : 2

Des quiz et exercices pour mieux assimiler sa leçon

La plateforme de soutien scolaire en ligne myMaxicours propose des quiz et exercices en accompagnement de chaque fiche de cours. Les exercices permettent de vérifier si la leçon est bien comprise ou s’il reste encore des notions à revoir.

S’abonner

Des exercices variés pour ne pas s’ennuyer

Les exercices se déclinent sous toutes leurs formes sur myMaxicours ! Selon la matière et la classe étudiées, retrouvez des dictées, des mots à relier ou encore des phrases à compléter, mais aussi des textes à trous et bien d’autres formats !

Dans les classes de primaire, l’accent est mis sur des exercices illustrés très ludiques pour motiver les plus jeunes.

S’abonner

Des quiz pour une évaluation en direct

Les quiz et exercices permettent d’avoir un retour immédiat sur la bonne compréhension du cours. Une fois toutes les réponses communiquées, le résultat s’affiche à l’écran et permet à l’élève de se situer immédiatement.

myMaxicours offre des solutions efficaces de révision grâce aux fiches de cours et aux exercices associés. L’élève se rassure pour le prochain examen en testant ses connaissances au préalable.

S’abonner

Des vidéos et des podcasts pour apprendre différemment

Certains élèves ont une mémoire visuelle quand d’autres ont plutôt une mémoire auditive. myMaxicours s’adapte à tous les enfants et adolescents pour leur proposer un apprentissage serein et efficace.

Découvrez de nombreuses vidéos et podcasts en complément des fiches de cours et des exercices pour une année scolaire au top !

S’abonner

Des podcasts pour les révisions

La plateforme de soutien scolaire en ligne myMaxicours propose des podcasts de révision pour toutes les classes à examen : troisième, première et terminale.

Les ados peuvent écouter les différents cours afin de mieux les mémoriser en préparation de leurs examens. Des fiches de cours de différentes matières sont disponibles en podcasts ainsi qu’une préparation au grand oral avec de nombreux conseils pratiques.

S’abonner

Des vidéos de cours pour comprendre en image

Des vidéos de cours illustrent les notions principales à retenir et complètent les fiches de cours. De quoi réviser sa prochaine évaluation ou son prochain examen en toute confiance !

S’abonner

Profs en ligne

Découvrez le soutien scolaire en ligne avec myMaxicours

Plongez dans l'univers de myMaxicours et découvrez une approche innovante du soutien scolaire en ligne, conçue pour captiver et éduquer les élèves de CP à la terminale. Notre plateforme se distingue par une riche sélection de contenus interactifs et ludiques, élaborés pour stimuler la concentration et la motivation à travers des parcours d'apprentissage adaptés à chaque tranche d'âge. Chez myMaxicours, nous croyons en une éducation où chaque élève trouve sa place, progresse à son rythme et développe sa confiance en soi dans un environnement bienveillant.

Profitez d'un accès direct à nos Profs en ligne pour une assistance personnalisée, ou explorez nos exercices et corrigés pour renforcer vos connaissances. Notre assistance scolaire en ligne est conçue pour vous accompagner à chaque étape de votre parcours éducatif, tandis que nos vidéos et fiches de cours offrent des explications claires et concises sur une multitude de sujets. Avec myMaxicours, avancez sereinement sur le chemin de la réussite scolaire, armé des meilleurs outils et du soutien de professionnels dédiés à votre épanouissement académique.

EXERCE-TOI EN T'ABONNANT