Cryptographie et sécurité web : les bases pour se protéger
Temps de lecture : 13 min | Niveau : Débutant à intermédiaire | Mis à jour : Février 2026
L'essentiel : La cryptographie est la science du chiffrement des données. Elle garantit trois propriétés fondamentales : la confidentialité (personne ne peut lire vos données), l'intégrité (personne ne peut les modifier) et l'authenticité (vous communiquez bien avec le bon interlocuteur). Dans le web, le protocole HTTPS/TLS utilise ces mécanismes pour sécuriser chaque échange. Parallèlement, les failles web du OWASP Top 10 (injection SQL, XSS, CSRF) restent responsables de la majorité des compromissions. Ce guide couvre les deux aspects : comprendre le chiffrement et connaître les vulnérabilités les plus courantes.
Chaque fois que vous consultez un site en HTTPS, que vous vous connectez à votre boîte mail ou que vous effectuez un achat en ligne, la cryptographie protège vos données. C'est une discipline essentielle de la cybersécurité, mais souvent perçue comme abstraite ou complexe.
Ce guide vous donne les clés pour comprendre les mécanismes de chiffrement utilisés au quotidien et pour identifier les failles web les plus courantes référencées par l'OWASP. Deux faces d'une même médaille : protéger les données en transit et sécuriser les applications qui les traitent.
Prérequis : aucune connaissance mathématique avancée n'est nécessaire. Ce guide explique les concepts de manière accessible avec des analogies concrètes. Si vous souhaitez d'abord revoir les fondamentaux de la cybersécurité, consultez notre guide cybersécurité pour débutant.
Qu'est-ce que la cryptographie ?
La cryptographie (du grec kryptos, "caché", et graphein, "écrire") est la science qui permet de transformer des données lisibles en données illisibles pour quiconque ne possède pas la clé de déchiffrement. C'est la base technique de la confidentialité numérique.
En cybersécurité, la cryptographie assure trois propriétés essentielles :
| Propriété | Objectif | Mécanisme |
|---|---|---|
| Confidentialité | Seules les personnes autorisées peuvent lire les données | Chiffrement (symétrique ou asymétrique) |
| Intégrité | Les données n'ont pas été modifiées en transit | Fonctions de hachage (SHA-256, etc.) |
| Authenticité | L'interlocuteur est bien celui qu'il prétend être | Signatures numériques, certificats |
Ces trois propriétés sont complémentaires. Un système sécurisé les combine : il chiffre les données (confidentialité), vérifie qu'elles n'ont pas été altérées (intégrité) et authentifie les parties communicantes (authenticité).
Le chiffrement symétrique
Le chiffrement symétrique utilise une seule clé pour chiffrer et déchiffrer les données. L'expéditeur et le destinataire doivent partager cette même clé secrète.
Analogie : imaginez un coffre-fort avec un cadenas. Vous et votre interlocuteur avez chacun un double de la même clé. Vous enfermez le message dans le coffre, votre interlocuteur l'ouvre avec sa copie. Le problème : comment transmettre la clé en toute sécurité ?
Algorithmes courants
| Algorithme | Taille de clé | Usage | Statut |
|---|---|---|---|
| AES (Advanced Encryption Standard) | 128, 192 ou 256 bits | Standard actuel (HTTPS, VPN, stockage chiffré) | Recommandé |
| DES (Data Encryption Standard) | 56 bits | Ancien standard (remplacé par AES) | Obsolète |
| ChaCha20 | 256 bits | Alternative à AES (utilisé par Google, WireGuard) | Recommandé |
Avantages : très rapide, efficace pour chiffrer de gros volumes de données.
Inconvénient : la clé doit être partagée de manière sécurisée entre les deux parties. C'est le problème de la distribution des clés, que le chiffrement asymétrique résout.
Le chiffrement asymétrique
Le chiffrement asymétrique (ou cryptographie à clé publique) utilise une paire de clés :
- Clé publique : partagée librement, utilisée pour chiffrer un message
- Clé privée : secrète, utilisée pour déchiffrer le message
Analogie : imaginez une boîte aux lettres avec une fente. N'importe qui peut y glisser un message (clé publique = la fente), mais seul le propriétaire possède la clé pour l'ouvrir (clé privée). Ce qui est chiffré avec la clé publique ne peut être déchiffré qu'avec la clé privée correspondante.
Algorithmes courants
| Algorithme | Usage principal | Statut |
|---|---|---|
| RSA | Chiffrement, signatures numériques, certificats SSL/TLS | Standard actuel |
| ECC (Elliptic Curve Cryptography) | Mêmes usages que RSA, mais avec des clés plus courtes | Recommandé (plus performant) |
| Diffie-Hellman | Échange sécurisé de clés (négociation TLS) | Standard actuel |
Avantage : résout le problème de la distribution des clés. Pas besoin de partager un secret à l'avance.
Inconvénient : plus lent que le chiffrement symétrique. C'est pourquoi en pratique, les deux méthodes sont combinées (voir section HTTPS/TLS).
Le hashing (fonctions de hachage)
Une fonction de hachage transforme une donnée de n'importe quelle taille en une empreinte de taille fixe (le hash ou condensat). Cette opération est irréversible : il est impossible de retrouver la donnée originale à partir du hash.
Analogie : le hashing est comme une empreinte digitale. Chaque personne a une empreinte unique. Vous pouvez identifier quelqu'un par son empreinte, mais vous ne pouvez pas reconstruire la personne à partir de l'empreinte.
Cas d'usage du hashing
- Stockage des mots de passe : votre mot de passe n'est jamais stocké en clair dans la base de données. Seul son hash est conservé. Lors de la connexion, le hash du mot de passe saisi est comparé au hash stocké.
- Vérification d'intégrité : après téléchargement d'un fichier, vous comparez son hash avec celui publié par l'éditeur. S'ils correspondent, le fichier n'a pas été altéré.
- Signatures numériques : un hash du document est chiffré avec la clé privée du signataire. Le destinataire déchiffre avec la clé publique et compare les hashs.
- Blockchain : chaque bloc contient le hash du bloc précédent, créant une chaîne inaltérable.
Algorithmes courants
| Algorithme | Taille du hash | Statut |
|---|---|---|
| SHA-256 | 256 bits (64 caractères hex) | Standard actuel |
| SHA-3 | Variable (224 à 512 bits) | Recommandé |
| bcrypt | 184 bits | Standard pour les mots de passe |
| MD5 | 128 bits | Obsolète (collisions connues) |
| SHA-1 | 160 bits | Obsolète (collisions démontrées) |
Attention : MD5 et SHA-1 ne doivent plus être utilisés pour des fonctions de sécurité. Des collisions (deux données différentes produisant le même hash) ont été démontrées, ce qui compromet l'intégrité.
HTTPS et TLS : la cryptographie en action
HTTPS (HTTP Secure) est la version sécurisée du protocole HTTP. Il repose sur le protocole TLS (Transport Layer Security, successeur de SSL) qui combine les trois types de cryptographie vus précédemment :
Comment fonctionne une connexion HTTPS
- Le navigateur contacte le serveur : votre navigateur demande une connexion sécurisée au serveur web.
- Le serveur envoie son certificat : le certificat contient la clé publique du serveur et est signé par une autorité de certification (CA) reconnue.
- Vérification du certificat : le navigateur vérifie que le certificat est valide, non expiré et émis par une CA de confiance (cryptographie asymétrique).
- Négociation d'une clé de session : le navigateur et le serveur utilisent un échange Diffie-Hellman (asymétrique) pour se mettre d'accord sur une clé de session partagée.
- Chiffrement des échanges : toutes les données sont ensuite chiffrées avec la clé de session via AES (symétrique), beaucoup plus rapide.
- Vérification d'intégrité : chaque message échangé inclut un code d'intégrité (HMAC) basé sur une fonction de hachage.
En résumé : TLS utilise le chiffrement asymétrique pour l'authentification et l'échange de clés, le chiffrement symétrique (AES) pour le transfert de données (rapide), et le hashing pour vérifier l'intégrité. C'est la combinaison des trois qui rend HTTPS fiable.
Aujourd'hui, plus de 95 % du trafic web passe par HTTPS. Un site sans HTTPS est signalé comme "Non sécurisé" par les navigateurs et pénalisé par Google dans ses classements.
Les 5 failles web les plus courantes (OWASP Top 10)
Le chiffrement protège les données en transit. Mais les applications web elles-mêmes peuvent contenir des vulnérabilités que les attaquants exploitent. L'OWASP (Open Web Application Security Project) publie régulièrement un classement des failles les plus critiques. Voici les cinq que tout professionnel doit connaître :
| Faille | Principe | Exemple concret | Protection |
|---|---|---|---|
| Injection SQL | L'attaquant insère du code SQL dans un champ de formulaire pour manipuler la base de données | Saisir ' OR 1=1 -- dans un champ de login pour contourner l'authentification |
Requêtes paramétrées (prepared statements), validation des entrées, ORM |
| Cross-Site Scripting (XSS) | L'attaquant injecte du code JavaScript dans une page web vue par d'autres utilisateurs | Insérer <script>alert('XSS')</script> dans un commentaire |
Échapper les sorties HTML, Content Security Policy (CSP), validation côté serveur |
| Cross-Site Request Forgery (CSRF) | L'attaquant force un utilisateur authentifié à exécuter une action à son insu | Un lien piégé qui déclenche un virement bancaire sur le compte de l'attaquant | Tokens CSRF, vérification de l'origin/referer, SameSite cookies |
| Broken Authentication | Faiblesses dans le système d'authentification (sessions, mots de passe) | Sessions qui n'expirent pas, mots de passe stockés en clair, absence de MFA | MFA, hashing des mots de passe (bcrypt), expiration de session, limitation de tentatives |
| Security Misconfiguration | Mauvaise configuration des serveurs, frameworks ou services | Page d'erreur affichant la stack trace, répertoire /admin accessible sans auth, headers de sécurité manquants | Durcissement (hardening), désactiver les fonctionnalités inutiles, headers de sécurité (HSTS, X-Frame-Options) |
Fait marquant : l'injection (SQL, NoSQL, LDAP) et le XSS figurent dans le OWASP Top 10 depuis sa première publication. Ce sont des failles connues depuis plus de 20 ans, pourtant elles restent parmi les plus exploitées. La raison : trop d'applications ne valident pas correctement les entrées utilisateur.
Comment se protéger : les bonnes pratiques
Que vous soyez développeur, administrateur système ou simplement utilisateur, voici les réflexes essentiels :
Pour les développeurs
- Toujours valider les entrées utilisateur côté serveur (jamais uniquement côté client)
- Utiliser des requêtes paramétrées (prepared statements) pour toute interaction avec la base de données
- Échapper les sorties HTML pour empêcher le XSS
- Implémenter des tokens CSRF sur tous les formulaires
- Stocker les mots de passe avec bcrypt (jamais en clair, jamais en MD5/SHA-1)
- Activer HTTPS sur l'ensemble du site (Let's Encrypt fournit des certificats gratuits)
- Configurer les headers de sécurité : HSTS, X-Content-Type-Options, X-Frame-Options, CSP
Pour les administrateurs système
- Maintenir les logiciels à jour (serveur web, frameworks, CMS, dépendances)
- Désactiver les services et ports inutiles (cf. scan de vulnérabilités)
- Utiliser des protocoles chiffrés (SSH au lieu de Telnet, SFTP au lieu de FTP)
- Configurer TLS correctement : désactiver SSLv3, TLS 1.0 et 1.1 ; utiliser TLS 1.2 minimum (TLS 1.3 recommandé)
- Scanner régulièrement l'infrastructure pour détecter les nouvelles vulnérabilités
Pour tous les utilisateurs
- Vérifier le cadenas HTTPS dans la barre d'adresse avant de saisir des données sensibles
- Utiliser un mot de passe unique par service (avec un gestionnaire de mots de passe)
- Activer l'authentification multifacteur (MFA) partout où c'est possible
- Mettre à jour régulièrement navigateur, système d'exploitation et applications
Pour aller plus loin
Vous souhaitez maîtriser la cybersécurité ?
La formation Cybersécurité les fondamentaux couvre la cryptographie, la sécurité web, la forensique et les concepts essentiels abordés dans cet article. Exercices pratiques inclus.
Tarif : 19€/mois pour l'accès à l'ensemble du catalogue. Attestation incluse.
Accéder à la formation Cybersécurité
La formation Cybersécurité les fondamentaux couvre la cryptographie, la sécurité web, la forensique et les concepts essentiels abordés dans cet article. Exercices pratiques inclus.
Tarif : 19€/mois pour l'accès à l'ensemble du catalogue. Attestation incluse.
Accéder à la formation Cybersécurité
Parcours cybersécurité recommandé
- Comprendre la cybersécurité (fondamentaux)
- Réaliser un scan de vulnérabilités (tutoriel Nmap)
- Cryptographie et sécurité web (vous êtes ici)
- Formation Cybersécurité complète
- Formation Scan de vulnérabilités
Ressources externes recommandées :
- ANSSI — Agence nationale de la sécurité des systèmes d'information (recommandations, guides)
- OWASP Top 10 — Classement de référence des vulnérabilités web
- Cybermalveillance.gouv.fr — Assistance et prévention du risque numérique