Sécurité: comprendre les problèmes de sécurité

Kayce Basques

Utilisez le panneau Sécurité des outils pour les développeurs Chrome afin de vous assurer que HTTPS est correctement implémenté sur une page. Consultez Pourquoi le HTTPS est important pour découvrir pourquoi chaque site Web doit être protégé par HTTPS, même les sites qui ne traitent pas de données utilisateur sensibles.

Ouvrir le panneau de sécurité

Le panneau Sécurité est l'emplacement principal des outils de développement. Il permet d'inspecter la sécurité d'une page.

  1. Ouvrez les outils de développement.

  2. Cliquez sur l'onglet Sécurité pour ouvrir le panneau Sécurité.

    Panneau de sécurité

    Figure 1 : Panneau de sécurité

Problèmes courants

Origines principales non sécurisées

Lorsque l'origine principale d'une page n'est pas sécurisée, la Présentation des fonctionnalités de sécurité indique Cette page n'est pas sécurisée.

Une page non sécurisée

Figure 2 : Une page non sécurisée

Ce problème se produit lorsque l'URL consultée a été demandée via HTTP. Pour le sécuriser, vous devez le demander via HTTPS. Par exemple, si vous regardez l'URL dans votre barre d'adresse, elle ressemble probablement à http://example.com. Pour plus de sécurité, l'URL doit être https://example.com.

Si HTTPS est déjà configuré sur votre serveur, il vous suffit de configurer votre serveur pour qu'il redirige toutes les requêtes HTTP vers HTTPS.

Si HTTPS n'est pas configuré sur votre serveur, Let's Encrypt offre un moyen sans frais et relativement simple de démarrer le processus. Vous pouvez également envisager d'héberger votre site sur un CDN. La plupart des principaux CDN hébergent des sites sur HTTPS par défaut.

Conseil : L'audit Rediriger le trafic HTTP vers HTTPS dans Lighthouse peut vous aider à automatiser le processus permettant de s'assurer que toutes les requêtes HTTP sont redirigées vers HTTPS.

Contenu mixte

Contenu mixte signifie que l'origine principale d'une page est sécurisée, mais que la page a demandé des ressources provenant d'origines non sécurisées. Les pages à contenu mixte ne sont que partiellement protégées, car le contenu HTTP est accessible aux logiciels de détection et vulnérable aux attaques MITM ("man in the middle").

Contenu mixte

Image 3. Contenu mixte

Dans la Figure 3 ci-dessus, le fait de cliquer sur View 1 request in Network panel (Afficher 1 requête dans le panneau "Network") ouvre le panneau Network (Réseau) et applique le filtre mixed-content:displayed afin que le Network Log (Journal réseau) n'affiche que les ressources non sécurisées.

Ressources mixtes dans le journal réseau

Figure 4. Ressources mixtes dans le journal réseau

Voir les détails

Afficher le certificat d'origine principal

Dans la section Présentation de la sécurité, cliquez sur Afficher le certificat pour inspecter rapidement le certificat de l'origine principale.

Un certificat d'origine principal

Figure 5. Un certificat d'origine principal

Afficher les détails de l'origine

Cliquez sur l'une des entrées du menu de navigation de gauche pour afficher les informations sur l'origine. Sur cette page, vous pouvez consulter des informations sur les connexions et les certificats. Les informations sur la transparence des certificats sont également affichées lorsqu'elles sont disponibles.

Détails de l'origine principale

Figure 6. Détails de l'origine principale