Defaults.Exposed › Corrections › HTTPS et redirection forcée vers le sécurisé

Comment corriger HTTPS et redirection forcée vers le sécurisé

Le HTTPS, c'est le cadenas dans la barre du navigateur — il chiffre tout ce qui circule entre votre site web et vos clients pour que cela ne puisse être ni lu ni altéré en transit. La redirection forcée vers le sécurisé garantit que les visiteurs atterrissent automatiquement sur cette version chiffrée, même quand ils tapent votre adresse sans « https:// ». Ensemble, c'est la chose la plus élémentaire dont un site web a besoin pour être seulement considéré comme sûr.

En clair, pour votre entreprise : Sans HTTPS, chaque mot de passe, numéro de carte et message qu'un client vous envoie traverse Internet en texte lisible, et Chrome, Edge, Safari et Firefox marquent tous votre site « Non sécurisé » devant chaque visiteur avant qu'il ait lu un seul mot. Sans la redirection, même les sites qui possèdent un certificat laissent la toute première visite non protégée. Les deux vous coûtent confiance, ventes et référencement — et les deux se corrigent gratuitement en quelques minutes.

Ce que cela peut vous coûter

• Un visiteur arrivant pour la première fois voit un grand avertissement « Non sécurisé » dès le chargement de votre page. La plupart supposent que le site est faux, cassé ou dangereux et partent chez un concurrent — et vous ne savez même jamais que la vente a été perdue.
• Un client saisit ses coordonnées bancaires ou se connecte via une connexion non chiffrée depuis un café, un hôtel ou un aéroport. Quelqu'un sur le même Wi-Fi le lit en clair, et les débits frauduleux qui s'ensuivent vous sont imputés.
• L'équipe achats ou sécurité d'un client plus important effectue un contrôle rapide avant de signer, ne voit aucun HTTPS ou une redirection forcée manquante, et met le contrat en suspens jusqu'à ce que vous puissiez prouver que c'est corrigé.
• Google vous classe en dessous des concurrents qui servent du HTTPS, si bien que vous perdez discrètement du trafic de recherche pendant des années sans jamais faire le lien avec cette lacune.
• Un régulateur ou votre prestataire de paiement considère l'envoi de données personnelles ou bancaires non chiffrées comme un manquement à déclarer, transformant une correction gratuite de cinq minutes en problème de conformité.

Pourquoi c'est important. Le HTTPS est le plancher, pas le plafond, de la sécurité web — c'est lui qui fait apparaître le cadenas et qui empêche tout ce que vos clients envoient d'être lu ou altéré en chemin. La redirection forcée vers le sécurisé comble la brèche qu'un certificat seul laisse ouverte : les gens ne tapent presque jamais « https:// », donc sans redirection leur première requête voyage non protégée avant que la version sécurisée ne se charge. Un site auquel il manque l'un ou l'autre paraît dangereux aux visiteurs, se classe plus bas en recherche, et expose de vraies données clients — c'est pourquoi c'est l'échec individuel qui pèse le plus lourd dans notre notation.

Ce que c’est, en clair

Le HTTPS est la version sécurisée et chiffrée de votre site web — celle qui affiche un cadenas dans la barre d’adresse. Quand un visiteur est en HTTPS, tout ce qui passe entre son navigateur et votre site (les pages qu’il voit, les formulaires qu’il remplit, ses mots de passe, ses coordonnées bancaires) est brouillé de sorte que personne au milieu ne puisse le lire ni le modifier. La version ordinaire, le HTTP, envoie tout cela en texte lisible que quiconque sur le même réseau peut intercepter.

Il y a deux volets à régler correctement, et nous vérifions les deux :

• Le HTTPS est-il seulement disponible ? Votre site a-t-il un certificat de sécurité fonctionnel pour que la version sécurisée, cadenassée, existe ? C’est le plus grave des deux — sans lui, il n’y a aucun chiffrement.
• Votre site y force-t-il les visiteurs ? Presque personne ne tape « https:// » à la main. Si quelqu’un tape juste votre nom de domaine, son navigateur essaie d’abord la version HTTP ordinaire. Une redirection forcée vers le sécurisé renvoie automatiquement cette requête vers la version chiffrée. Sans elle, les premiers instants de chaque visite sont non protégés, même quand vous avez bien un certificat.

Vous voulez les deux. Un certificat sans redirection est une porte d’entrée verrouillée que les visiteurs peuvent tout simplement contourner.

Les enjeux pour l’entreprise

C’est le signal le plus élémentaire de la sûreté d’un site web — et, point crucial, c’est un signal que vos clients peuvent constater eux-mêmes. Chaque navigateur moderne (Chrome, Edge, Safari, Firefox) étiquette un site sans HTTPS comme « Non sécurisé » directement dans la barre d’adresse, et affiche un avertissement si quelqu’un tente de saisir quelque chose dans un formulaire. Vos visiteurs n’ont pas besoin de savoir ce qu’est un certificat pour réagir à ce mot.

Au-delà de l’avertissement visible, cela affecte trois choses qui tiennent directement à cœur des dirigeants : la confiance (les gens abandonnent les sites qui paraissent dangereux), le référencement (Google utilise le HTTPS comme signal de classement depuis des années et favorise les sites sécurisés), et l’exposition réelle (les données envoyées en HTTP ordinaire peuvent véritablement être lues par d’autres sur le même réseau). C’est aussi le genre de chose que l’équipe sécurité d’un client plus important vérifie en quelques secondes lors d’une due diligence — et son absence peut faire caler une affaire.

Ce que cela peut vous coûter

• Le rebond silencieux. Un client potentiel arrive depuis un résultat de recherche ou une publicité, et la page se charge avec un badge gris « Non sécurisé » — ou pire, un avertissement plein écran. Il ne vous écrit pas pour demander pourquoi ; il ferme simplement l’onglet et clique sur le résultat suivant. Vous avez payé cette visite et l’avez perdue avant qu’il ait lu un seul mot, et rien dans vos statistiques ne vous dit pourquoi.
• Une connexion ou un paiement intercepté. Un client se connecte ou passe commande sur un Wi-Fi partagé d’hôtel ou de café. Comme la connexion n’est pas chiffrée, quelqu’un à proximité capture son mot de passe ou son numéro de carte en texte clair. La fraude qui s’ensuit est déclarée comme votre faille, et c’est vous qui encaissez les appels furieux et les rétrofacturations.
• L’affaire qui cale. Un prospect plus important est prêt à signer, mais son processus d’achat inclut un contrôle de sécurité rapide de votre site. Le verdict signale l’absence de HTTPS, ou une redirection forcée manquante. Vous voilà soudain à expliquer une lacune de sécurité élémentaire au lieu de conclure — et le contrat attend, ou part discrètement chez un concurrent qui a réussi le test.
• La fuite lente de référencement. Deux entreprises proposent la même chose ; l’une sert du HTTPS sécurisé, l’autre non. Les moteurs de recherche poussent la sécurisée vers le haut. Au fil des mois, vous perdez un filet régulier de trafic gratuit sans jamais le relier à ce seul réglage.
• Du contenu injecté que vous n’avez jamais écrit. Sur une connexion non chiffrée, quiconque au milieu — un réseau public douteux, un routeur compromis — peut insérer de faux pop-ups, des offres frauduleuses ou des logiciels malveillants dans vos pages pendant qu’un visiteur les charge. Pour ce visiteur, on dirait que c’est votre site qui l’a fait.

Ce que c’est réellement

Quand un navigateur se connecte à un site web en HTTPS, deux choses se produisent. D’abord, le site présente un certificat — un justificatif délivré par une autorité de confiance qui prouve que le site est bien celui qu’il prétend être. Ensuite, le navigateur et le serveur s’accordent sur une clé de chiffrement et l’utilisent pour brouiller tout ce qu’ils échangent. Notre premier contrôle, HTTPS disponible, demande simplement : pouvons-nous établir une connexion TLS sécurisée vers votre site sur le port sécurisé standard (443) et obtenir un certificat valide en retour ? Si oui, le cadenas peut apparaître et le chiffrement est activé. Si non, il n’existe aucune version sécurisée de votre site — et c’est l’échec le plus lourd que nous notons.

Le second contrôle, la redirection forcée vers le sécurisé, couvre une brèche que le certificat seul laisse ouverte. Les gens tapent « votreentreprise.com », pas « https://votreentreprise.com ». Cette requête nue va d’abord vers la version HTTP ordinaire. Une redirection est une instruction d’une ligne qui dit « envoyez quiconque arrive sur la version non sécurisée directement vers la sécurisée ». Notre contrôle demande : quand nous requêtons votre adresse HTTP ordinaire, votre site nous renvoie-t-il vers le HTTPS ? Si oui, chaque visiteur finit protégé, peu importe comment il a tapé votre adresse. Si non, ce premier saut non protégé transporte ce que le navigateur envoie — cookies, données de formulaire — en clair.

À quoi ressemble le « bon » réglage : un certificat valide et reconnu pour que le cadenas s’affiche sur chaque page, et chaque requête HTTP ordinaire automatiquement redirigée vers la version HTTPS (idéalement avec une redirection permanente « 301 », qui transfère aussi proprement votre référencement vers l’adresse sécurisée).

Comment corriger (gratuit, ~15 minutes)

Transmettez cette section à votre informaticien ou au support de votre hébergeur — la correction est gratuite. Les deux volets ne coûtent rien : les certificats reconnus sont gratuits et se renouvellent seuls, et activer la redirection est un simple réglage sur la plupart des plateformes. Aucun produit payant n’est nécessaire pour réussir ce contrôle.

Il y a deux choses à activer. Sur la plupart des hébergements modernes, faire la première rend souvent la seconde activable en un clic.

1. Obtenez un certificat pour que le HTTPS fonctionne (le cadenas).

• Cloudflare : si votre site est derrière Cloudflare, le SSL est géré pour vous. Réglez le mode SSL/TLS sur « Full » (ou « Full (strict) » si votre serveur d’origine a aussi un certificat).
• Créateurs de sites et hébergement managé (Squarespace, Wix, Shopify, Webflow, GoDaddy Website Builder, la plupart des hébergements web Microsoft 365 / Google Workspace) : le HTTPS est fourni automatiquement ; assurez-vous simplement qu’il est activé dans les réglages de votre site/domaine — il n’y a généralement rien à installer.
• Hébergement cPanel : ouvrez SSL/TLS Status et lancez AutoSSL, qui émet un certificat Let’s Encrypt gratuit.
• Votre propre serveur (VPS) : installez Let’s Encrypt avec Certbot — sudo certbot --nginx -d votredomaine.com (ou --apache). Il récupère et installe un certificat gratuit et configure le renouvellement automatique.
• Autre chose : contactez le support de votre hébergeur et demandez-leur d’« activer un certificat SSL gratuit pour mon domaine ». La quasi-totalité le propose sans frais.

2. Forcez chaque visiteur vers le HTTPS (la redirection).

• Cloudflare : SSL/TLS → Edge Certificates → activez « Always Use HTTPS ». C’est tout le travail.
• Créateurs de sites (Squarespace, Wix, Shopify, etc.) : cherchez un bouton « Force HTTPS » ou « Sécurisé (HTTPS) » dans les réglages de votre site et activez-le.
• Nginx : ajoutez un bloc serveur sur le port 80 qui renvoie une redirection permanente — return 301 https://$host$request_uri;.
• Apache (.htaccess) : activez la réécriture et redirigez toute requête non HTTPS — RewriteEngine On, RewriteCond %{HTTPS} off, RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301].
• IIS (hébergement Windows) : installez le module URL Rewrite et ajoutez une règle de redirection « HTTP vers HTTPS ».

Une fois les deux activés, testez : tapez votre adresse en mettant http:// devant et confirmez que le navigateur bascule automatiquement vers la version cadenassée https://, et que le cadenas s’affiche sur vos pages principales.

Erreurs fréquentes

• Certificat installé, mais pas de redirection. La lacune la plus fréquente. Vous voyez le cadenas en visitant votre propre site (parce que votre navigateur a retenu le HTTPS), vous croyez donc que c’est fait — mais les nouveaux visiteurs qui tapent le domaine nu atterrissent encore d’abord en HTTP. Testez toujours explicitement la version http:// ordinaire.
• Contenu mixte. Votre page se charge en HTTPS mais tire une image, un script ou une police depuis une ancienne adresse http://. Les navigateurs soit la bloquent, soit rétrogradent le cadenas en avertissement. Mettez ces références à jour vers https:// (ou vers des liens relatifs). La plupart des plateformes ont un rapport de « contenu mixte » ou « contenu non sécurisé » qui les trouve.
• Une redirection temporaire (302) au lieu d’une permanente (301). Une 302 fonctionne pour les visiteurs mais indique aux moteurs de recherche que le déplacement est temporaire, si bien que la valeur de référencement ne se transfère pas proprement vers votre adresse sécurisée. Utilisez une 301 permanente.
• Rediriger uniquement le domaine nu, pas le « www » (ou l’inverse). Assurez-vous que votredomaine.com et www.votredomaine.com finissent tous deux en HTTPS, sinon un chemin reste exposé.
• Laisser un certificat expirer. Un certificat périmé déclenche une erreur de navigateur plein écran qui stoppe net les visiteurs. Les certificats Let’s Encrypt gratuits se renouvellent automatiquement ; si vous en avez acheté un manuellement, posez un rappel d’agenda bien avant son expiration.

FAQ

Voir les questions ci-dessus — elles couvrent le volet non technique « puis-je le faire moi-même », la différence entre avoir un cadenas et forcer la redirection, le coût et le renouvellement du certificat, le besoin pour les sites vitrines, et le lien avec le HSTS.

FAQ