Académie de

Versailles
FICHE ACTIVITÉ 3 SNT

Web : URL et requête HTTP

URL
Une page web a une adresse unique, nommée URL (Uniform Ressource Locator).
Tout comme une adresse postale (numéro de rue, nom de rue, ville, code postal...), une URL se
décompose en plusieurs éléments :
protocole://adresse-du-serveur/chemin/ressource
protocole : Indique le protocole utilisé pour la communication entre le navigateur et le serveur qui
héberge le site.
adresse-du-serveur : Désigne l’hôte de la ressource, c’est le nom ou adresse de la machine qui
héberge le site.
chemin/ressource : Cette partie indique où se trouve la page dans le dossier.

Q1/ Identifier chaque élément de l’URL ci-dessous :

https://www.fftri.com/la-federation/but-et-missions/
Protocole : https (sécurisé) adresse du serveur : www.fftri.com
chemin : la-federation ressource : but-et-missions

Requête HTTP
Le protocole HTTP est le protocole utilisé par les navigateurs Web (Firefox, Edge...) et les serveurs
Web (Apache, IIS...) pour communiquer entre eux.

Document 1 : Protocole HTTP

Requête du client
1. Le client émet une commande http qu’il transmet au serveur.
Les différentes commandes sont :
 GET : C'est la méthode la plus courante pour demander une ressource. Elle est sans effet
sur la ressource.
 POST : Cette méthode est utilisée pour soumettre des données en vue d'un traitement
(côté serveur). Typiquement c'est la méthode employée lorsque l'on envoie au serveur
les données issues d'un formulaire.
 DELETE : Cette méthode permet de supprimer une ressource sur le serveur.
 PUT : Cette méthode permet de modifier une ressource sur le serveur .
2. Le client envoie optionnellement des informations d’en-tête pour informer le serveur de sa
configuration et des formats de documents qu’il est capable de prendre en charge.
3. Le client termine ses informations d’en-tête, par une ligne blanche. Il peut ensuite envoyer des
données supplémentaires qui sont principalement utilisées par les programmes qui utilisent la
méthode POST.
Page 1 / 4
 Académie de
Versailles
FICHE ACTIVITÉ 3 SNT

Web : URL et requête HTTP

Réponse du serveur
1. Le serveur émet une ligne d’état contenant trois champs :
 La version http utilisée par le serveur pour sa réponse ;
 Un code d’état sur trois chiffres qui indique le résultat de l’interprétation de la requête
cliente ;
 Une description textuelle associée au code d’état.
2. Le serveur envoie des informations sur sa configuration et sur la ressource sollicitée. Une ligne
blanche termine l’en-tête.
3. Les données sont envoyées au client.

Document 2 : exemple de requête http

Q2/ Dans l’exemple de requête ci-dessus, identifier :

 La commande de requête faite
 L’URL de la ressource demandée
 Le navigateur web employé
 Les formats de documents pris en charge
Commande de requête : GET
URL de la ressource demandée : /mondossier/monFichier.html
Navigateur Web : Mozilla version 5,0
Formats de documents pris en charge : texte et html
Document 3 : exemple de réponse serveur

Page 2 / 4
 Académie de
Versailles
FICHE ACTIVITÉ 3 SNT

Web : URL et requête HTTP

A l'aide du document 3, répondre aux deux questions ci-dessous.

Q3/ Quelle est la version http utilisée par le serveur ?
HTTP 1.1
Q4/ Que signifie le code 200 ?
Page traitée avec succès
Q5/ Rechercher sur internet la signification du code 404.
Erreur non trouvé Document introuvable
Q6/ Rechercher sur internet la différence entre le protocole http et le protocole https. Comment les
différencie-t-on sur une page web ? Quels sont les usages possibles du protocole https ?
HTTP n’est pas sécurisé et est soumis à de nombreuses attaques, qui peuvent laisser des attaquants
avoir accès à des informations sensibles, en revanche un site Web tout en HTTPS est conçu pour
résister et protéger contre de telles attaques.
Le HTTPS permet au visiteur de vérifier l’identité du site web auquel il accède, grâce à un certificat
d’authentification émis par une autorité tierce, réputée fiable. Il garantit théoriquement la
confidentialité et l’intégrité des données envoyées par l’utilisateur (notamment les informations
entrées dans les formulaires) et reçues du serveur. Il permet de valider l’identité du visiteur, si
celui-ci utilise également un certificat d’authentification client

Sécurité sur le web

Q7/ Rechercher sur internet le principe de l’attaque « Attaque de l’homme du milieu » ? Quelles en
sont les parades ?
L'attaque de l'homme du milieu (HDM) ou man-in-the-middle attack (MITM), parfois appelée
attaque de l'intercepteur, est une attaque qui a pour but d'intercepter les communications entre
deux parties, sans que ni l'une ni l'autre ne puisse se douter que le canal de communication entre
elles a été compromis. Le canal le plus courant est une connexion à Internet de l'internaute lambda.
L'attaquant doit d'abord être capable d'observer et d'intercepter les messages d'une victime à
l'autre. L'attaque « homme du milieu » est particulièrement applicable dans la méthode d'échange
de clés Diffie-Hellman, quand cet échange est utilisé sans authentification. Avec authentification,
Diffie-Hellman est en revanche invulnérable aux écoutes du canal, et est d'ailleurs conçu pour cela.

Il existe différents moyens pour se prémunir contre cette attaque :

• obtenir la clé publique de son interlocuteur par un tiers de confiance. Si les deux
interlocuteurs possèdent un contact en commun (le tiers de confiance) alors ce dernier peut
servir d'intermédiaire pour transmettre les clés. Les infrastructures à clés publiques sont des
systèmes ou des organismes qui permettent de vérifier la validité des clés en se basant
principalement sur des certificats. C'est notamment la méthode utilisée par le protocole
HTTPS, où le certificat d'authentification du site web consulté est obtenu auprès d'une
autorité de certification reconnue;
• échanger les clés par un moyen qui ne permet pas cette attaque : en main propre, par
téléphone, etc. ;
• vérifier le niveau de confiance qui a été accordée à la clé que l'on a en sa possession :
certains logiciels comme GnuPG proposent de mettre la clé publique en ligne sur un
serveur. Sur ce serveur, d'autres utilisateurs peuvent faire connaître le degré de confiance
qu'ils accordent à une clé. On obtient ainsi un graphe qui relie les différents utilisateurs ;
• authentification avec un mot de passe ou autre système avancé, comme la reconnaissance
vocale ou biologique.
•
Page 3 / 4
 Académie de
Versailles
FICHE ACTIVITÉ 3 SNT

Web : URL et requête HTTP

Q8/ Rechercher sur internet ce qu’est le phishing ? Quelles en sont les parades ?
L’hameçonnage, phishing ou filoutage est une technique utilisée par des fraudeurs pour obtenir des
renseignements personnels dans le but de perpétrer une usurpation d'identité. La technique
consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque,
administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro
de carte de crédit, numéro ou photocopie de la carte nationale d'identité, date de naissance, etc. En
effet, le plus souvent, une copie exacte d'un site internet est réalisée dans l'optique de faire croire à
la victime qu'elle se trouve sur le site internet officiel où elle pensait se connecter. La victime va
ainsi saisir ses codes personnels qui seront récupérés par celui qui a créé le faux site, il aura ainsi
accès aux données personnelles de la victime et pourra dérober tout ce que la victime possède sur
ledit site web. L’attaque peut aussi être réalisée par courrier électronique ou autres moyens
électroniques.

Parades

Vérification de l'orthographe du nom de domaine

La vérification de l'adresse web dans la barre d'adresse du navigateur web est la première parade.
Ainsi, une attaque simple consiste à utiliser un nom de domaine très semblable (par exemple avec
une faute grammaticale ou orthographique), comme http://www.societegeneral.fr au lieu de
http://www.societegenerale.fr. L'attaquant aura préalablement acheté un nom de domaine proche
de l'original, généralement une variante orthographique.
De même le site france-impotsgouv.fr, est utilisé en lieu et place de impots.gouv.fr2

Vérifier les certificats électroniques

Il existe depuis les années 1990 une parade technique à l'hameçonnage : le certificat électronique.
Toutefois, l'interface utilisateur des navigateurs Web a longtemps rendu les certificats
incompréhensibles pour les visiteurs. Cette interface était connue sous les traits d'un petit cadenas.
Il était simplement expliqué au grand public que le cadenas signifie que la communication est
chiffrée, ce qui est vrai, mais ne protège aucunement contre l'hameçonnage. Dans les années 2000,
des certificats étendus ont été inventés. Ils permettent d'afficher plus clairement l'identité vérifiée
d'un site.

Écrire manuellement les URL

Une personne contactée au sujet d'un compte devant être « vérifié » doit chercher à régler le
problème directement avec la société concernée ou se rendre sur le site web en tapant
manuellement l'adresse dans la barre d'adresse dans son navigateur web plutôt qu'en cliquant sur
un lien qui lui aurait été fourni. Il faut savoir que les sociétés bancaires n'utilisent jamais la
communication par courriel pour corriger un problème de sécurité avec leurs clients. En règle
générale, il est recommandé de faire suivre le message suspect à la société concernée, ce qui lui
permettra de faire une enquête

Page 4 / 4