Le rôle désormais décisif du recours aux certificats SSL/TLS pour les sites de vente en ligne

L’entrée en vigueur des dispositions du règlement (UE) n°2016/679 – le désormais célèbre RGPD – le 25 mai prochain nécessite de réviser les sites de vente en ligne et leurs procédures de paiement.

Les titulaires de sites ont l’obligation de prévenir ou minimiser toute perte ou destruction de données, tout accès non autorisé et toute modification ou divulgation des données. Certes, il est impossible de garantir une sécurité absolue aux utilisateurs des « boutiques en ligne », mais les titulaires de sites doivent prendre toutes les mesures raisonnables, techniques et organisationnelles qui s’offrent à eux, pour sécuriser leurs sites et en particulier, les paiements en ligne.

À cette fin, la CNIL recommande de recourir à l’usage des certificats SSL/TLS.

Le protocole Secure Sockets Layer ou SSL, auquel a succédé le TLS ou Transport Layer Security ont pour objectif de sécuriser la connexion Internet et protéger les données sensibles transmises entre deux systèmes. Ces deux systèmes peuvent être, comme c’est le cas ici, un site marchand et un navigateur/client. Lors de l’échange, le certificat SSL/TLS permet de chiffrer le trafic réseau et empêche ainsi la lecture ou la modification des informations transférées et garantit l’identité du détenteur du certificat.

Lorsqu’un site web est protégé par un certificat SSL/TLS, la mention « HTTPS » qui signifie « Hyper Text Transfer Protocol Secure » et figure en tête de l’URL (adresse web) avertit l’internaute que le propriétaire du site internet a pris des mesures pour protéger les données qui y transitent et confirme son statut de site sécurisé. Cette mention est généralement assortie d’une icône représentant un cadenas de couleur verte.

Si le recours aux certificats SSL/TLS fait pour l’instant l’objet de simples recommandations de la part de la CNIL, il faut noter que GOOGLE favorise les sites sécurisés depuis 2014 en les faisant bénéficier de classements web améliorés.

Or, en sus de l’avantage que peut procurer un meilleur ranking face aux sites concurrents, GOOGLE CHROME prévoit de pénaliser les sites non sécurisés à compter de juillet prochain en faisant apparaître la mention « NOT SECURE » dans la barre d’adresse desdits sites. Avis aux exploitants ! [1].

[1] E. Schechter, « A secure web is here to stay », blog post du 8 février 2018, https://security.googleblog.com/