HTTPS cache-t-il à votre FAI ou à votre réseau le site que vous visitez ?
Réponse courte
En grande partie non. Le nom d'hôte de destination est envoyé en clair dans l'extension SNI du ClientHello de TLS, et votre requête DNS le révèle généralement aussi, de sorte qu'un FAI ou un réseau peut voir QUEL site vous visitez même en HTTPS — il ne peut simplement pas lire le chemin ni le contenu. Le ClientHello chiffré (ECH) et le DNS-over-HTTPS peuvent combler cette faille, mais ils ne sont pas universels. « HTTPS cache tout » est l'idée fausse.
« HTTPS signifie que personne ne peut voir où je vais » est l'une des idées fausses les plus répandues en sécurité, et les recruteurs s'en servent pour tester si vous comprenez ce que TLS protège réellement.
Ce que HTTPS chiffre et ne chiffre pas
HTTPS chiffre la charge utile de la couche applicative : le chemin de la requête, les en-têtes, les cookies, le corps et la réponse. Un espion ne peut lire ni l'URL après le domaine, ni vos données. Mais la connexion doit d'abord être établie, et plusieurs détails de cette mise en place sont visibles. Le ClientHello de TLS porte une extension Server Name Indication (SNI) — le nom d'hôte de destination en clair — afin qu'un serveur hébergeant de nombreux sites sur une seule IP puisse présenter le bon certificat. Quiconque écoute le lien le lit.
Le DNS aggrave la situation
Avant même le début de la poignée de main TLS, votre client effectue généralement une requête DNS pour le nom d'hôte, et le DNS classique est de l'UDP/53 non chiffré. Le réseau apprend donc souvent le nom d'hôte deux fois : une fois par le DNS, une fois par le SNI. Même l'adresse IP de destination dans l'en-tête IP est toujours visible.
Ce qui comble réellement la faille
Deux technologies aident. Le ClientHello chiffré (ECH) chiffre le SNI à l'intérieur de la poignée de main, et le DNS-over-HTTPS (DoH) ou DNS-over-TLS cache la requête. Avec les deux déployés, l'observateur ne dispose plus guère que de l'IP — et même alors, l'analyse de trafic (timing, tailles de paquets, correspondances IP-vers-site pour les sites non hébergés derrière de grands CDN) peut encore révéler la destination. Ni ECH ni DoH ne sont universellement déployés en 2026.
Pourquoi les distracteurs sont tentants
Les options « oui, TLS chiffre le nom d'hôte » semblent justes à qui croit que le chiffrement est tout ou rien. La réponse « le SNI est chiffré après la poignée de main » confond le ClientHello non protégé avec les enregistrements chiffrés ultérieurs — or le SNI est envoyé avant que les clés n'existent.
Ce que recherchent les recruteurs
Un « non, en grande partie pas » clair, plus les deux canaux de fuite (SNI et DNS) et les noms ECH/DoH comme parades. Cela montre que vous raisonnez sur le protocole.
Questions de suivi probables
- Qu'est-ce que le ClientHello chiffré (ECH) et quelle faille comble-t-il ?
- Pourquoi le DNS en clair révèle-t-il encore le nom d'hôte même si le SNI était caché ?
- Un observateur peut-il déduire le site à partir de l'IP et de la taille du trafic même sans SNI ?