Bonjour, j'aurais une question qui est sans doute triviale pour des spécialistes mais à la quelle je ne suis pas parvenu seul à trouver la réponse : si une page http contient un lien vers une page de login https, dans quelle mesure la sécurité est-elle moins bonne que si les 2 pages sont https ?  
Le cas échéant quel type d'attaque ciblée/au chalut cela permet-il ?
 
(Contexte :  discussion avec des personnes très affirmatives et se disant connaisseuses au sujet du site sur le dossier médical partagé dont la page d'accueil http://www.dmp.gouv.fr n'est pas https)(pb de confidentialité de la consultation du site à part)
 
Merci par avance

Le HTTPS va créer une "session" SSL/TLS sécurisée pour son transfert vers le navigateur ainsi que ce qui en ressort.
 
En simplifiant ça va sécuriser le contenu de la page et les données envoyées par un formulaire par exemple.
 
Du coup la question de savoir si la sécurité est meilleure ou moins bonne dépend de ce qui est transféré et à quoi servent ces pages.
 
Sécuriser une page web qui affiche juste "bienvenue" c'est bien, mais ce n'est pas indispensable (pas de données confidentielles ou autre).
 
De plus, un admin pourra préférer cibler les pages à sécuriser pour économiser un pouillème en évitant les phases de sécurtisation pour des pages n'en valant pas la peine.
Même si ça peut parraitre anecdotique, je l'ai déjà vu dans des contextes où l'infra était sous dimensionnée et les gains perceptibles sur de gros volumes.

Comme le dit Nex84, tout dépend du contexte.
 
Le cas que tu cites (DMP) est un très bon exemple :  
 
Sur la page d'accueil (http://www.dmp.gouv.fr/) qui est une page purement informative, on est en HTTP et c'est très bien car il n'y a aucune donnée confidentielle qui transite entre l'internaute et le serveur.
 
Par contre, quand tu cliques sur le lien pour accéder au dossier en tant que patient (https://mondmp3.dmp.gouv.fr), tu es en HTTPS car ici vont transiter des infos confidentielles.
 
@+

Pour compléter mon commentaire, la tendance est aujourd'hui au tout HTTPS même sur les pages non sensibles.
 
Le principal avantage est de pouvoir authentifier le site comme étant le véritable site et non une fausse page utilisée pour du phishing par mail.
 
On reconnaît alors la véritable identité du site au fait que le cadenas est vert.  Ce propos est cependant à nuancer car tous les sites en https n'ont pas l'option de certification de l'identité (ça coûte cher) et tout le monde ne pense pas forcément à vérifier les infos du certificat.

 
Le propos revient à dire qu'il suffit soi-même de créer une page en HTTP avec un lien vers une page d'authentification en HTTPS pour en diminuer la sécurité.
C'est aberrant.
 
Peu importe comment tu arrives sur la page en HTTPS. Une fois que tu y es le chiffrement SSL fonctionne de la même manière.