HTTP (Hypertext Transfer Protocol) envoie les données en clair — n’importe qui sur le réseau peut les lire. HTTPS (HTTP Secure) ajoute le chiffrement TLS — les données sont chiffrées de bout en bout entre le navigateur et le serveur.
En 2026, 86,9 % des sites web utilisent HTTPS. Chrome fera de HTTPS-First le comportement par défaut en octobre 2026, affichant un avertissement pleine page pour les sites HTTP.
Comparaison côte à côte
| HTTP | HTTPS | |
|---|---|---|
| Préfixe URL | http:// | https:// |
| Chiffrement | Aucun — texte en clair | Chiffrement TLS (AES-256) |
| Port par défaut | 80 | 443 |
| Certificat nécessaire | Non | Oui (gratuit avec Let’s Encrypt) |
| Affichage navigateur | Avertissement « Non sécurisé » | Icône de cadenas |
| Données visibles par | N’importe qui sur le réseau (FAI, Wi-Fi, proxies) | Uniquement l’expéditeur et le destinataire |
| Intégrité des données | Non — peut être modifié en transit | Oui — toute altération est détectée |
| Authentification | Aucune — pas de preuve d’identité | Le certificat prouve l’identité du serveur |
| Vitesse | HTTP/1.1 uniquement | HTTP/2 activé (plus rapide) |
| SEO | Signal négatif (depuis 2014) | Signal positif |
| APIs web modernes | La plupart bloquées | Toutes disponibles |
| Coût | Gratuit | Gratuit (Let’s Encrypt) |
| Chrome oct. 2026 | Avertissement pleine page | Normal |
Ce qui se passe en HTTP (le risque)
Sur une connexion HTTP non chiffrée, un observateur réseau voit tout :
GET /login HTTP/1.1
Host: example.com
Cookie: session=abc123xyz
username=admin&password=MySecret123
Cela inclut : les URLs visitées, les données de formulaire (noms d’utilisateur, mots de passe, cartes de crédit), les cookies (jetons de session), le contenu des pages et les réponses API. N’importe qui sur le même Wi-Fi, tout routeur entre vous et le serveur, et votre FAI peuvent tout lire.
En HTTPS, le même observateur voit :
[encrypted data — indistinguishable from random bytes]
Il peut voir l’IP de destination et le nom de domaine (SNI), mais pas le chemin de l’URL, les en-têtes, le corps ou les cookies.
Ce que les sites HTTP ne peuvent pas faire
Les navigateurs restreignent les APIs modernes au HTTPS uniquement (« contextes sécurisés ») :
- Service Workers — support hors ligne, notifications push
- API Geolocation — accès GPS
- Caméra/Microphone —
getUserMedia() - API Clipboard — lecture/écriture du presse-papiers
- API Payment Request — formulaires de paiement natifs
- Web Bluetooth, Web USB — accès matériel
- HTTP/2 — multiplexage, compression des en-têtes (les navigateurs exigent HTTPS)
Si votre site utilise l’une de ces fonctionnalités, HTTPS est obligatoire — pas optionnel.
La différence SEO
Google a confirmé HTTPS comme signal de classement en 2014. Le signal direct est « léger » (un départage), mais les effets indirects sont significatifs :
- Avertissement « Non sécurisé » → taux de rebond plus élevé → engagement plus faible → classements plus bas
- Pas de HTTP/2 → chargement de page plus lent → Core Web Vitals dégradés → classements plus bas
- Chrome HTTPS-First (oct. 2026) → avertissement pleine page → perte massive de trafic
« Mais HTTPS est plus lent » — un mythe
HTTPS ajoute un aller-retour pour le handshake TLS (10–40 ms avec TLS 1.3). Mais HTTPS active HTTP/2, qui rend les pages plus rapides grâce à :
- Multiplexage — plusieurs requêtes sur une seule connexion (HTTP/1.1 : une à la fois)
- Compression des en-têtes — réduit la surcharge
- Reprise de session — les visiteurs de retour sautent le handshake (0-RTT en TLS 1.3)
Résultat net : les sites HTTPS + HTTP/2 se chargent généralement plus vite que les sites HTTP/1.1.
Comment passer de HTTP à HTTPS
- Obtenir un certificat gratuit — GetHTTPS (5 minutes, aucune installation)
- Installer sur votre serveur — Nginx | Apache | cPanel | WordPress
- Configurer les redirections 301 — Guide de redirection
- Corriger le contenu mixte — Guide du contenu mixte
- Mettre à jour les services externes — Google Search Console, Analytics, profils sociaux
Checklist de migration complète (15 étapes) →
Questions fréquentes
Y a-t-il une raison de rester en HTTP ?
Non. HTTPS est gratuit (Let’s Encrypt), prend 5 minutes à configurer, rend votre site plus rapide (HTTP/2) et évite l’avertissement « Non sécurisé ». Il n’y a aucun avantage à rester en HTTP.
HTTPS rend-il mon site complètement sécurisé ?
HTTPS sécurise la connexion — il empêche l’écoute clandestine, l’altération et l’usurpation d’identité. Il ne protège PAS contre : les vulnérabilités applicatives (XSS, injection SQL), les violations côté serveur, le phishing (chiffré ≠ fiable), ou les logiciels malveillants sur l’appareil de l’utilisateur.
Les certificats gratuits et payants fournissent-ils le même HTTPS ?
Oui. Le chiffrement est identique. Un certificat DV gratuit de Let’s Encrypt et un certificat EV à 500 $ utilisent les mêmes protocoles TLS, cipher suites et échange de clés. L’icône de cadenas est la même.
Le passage à HTTPS va-t-il casser quelque chose ?
Potentiellement : les liens http:// codés en dur dans votre contenu provoquent des avertissements de contenu mixte, et certaines intégrations tierces peuvent nécessiter des URLs HTTPS. Le guide de migration couvre tous les cas particuliers.