HTTPS ne veut pas dire « sûr »

18 Jan 2018
Menaces

Soyons honnêtes, quand la plupart des gens voient un petit cadenas vert avec le mot « Sécurisé » à la gauche d’une URL, ils pensent que le site est sûr. Et c’est pareil lorsqu’ils repèrent les mots « ce site utilise une connexion sécurisée » ou une URL commençant par les lettres « https ». Actuellement, de plus en plus de sites passent à HTTPS. La plupart n’ont pas le choix, en fait. Quel est le problème ? Plus il y a de sites sécurisés, plus Internet est sûr, n’est-ce pas ?

Nous allons vous révéler un secret : ces symboles « Sécurisé » ne garantissent pas qu’un site Web est à l’abri de toutes les menaces. Un site de phishing, par exemple, peut légitimement afficher cette serrure verte à côté de son adresse https. Alors, que se passe-t-il ? Nous allons le découvrir.

Une connexion sécurisée et un site sécurisé, ce n’est pas la même chose

La serrure verte signifie que le site a reçu un certificat et qu’une paire de clés de chiffrement a été générée pour lui. Ces sites chiffrent les informations transmises entre vous et le site. Dans ce cas, les URL de la page commencent par HTTPS, le dernier « S » signifiant « Sécurisé ».

Bien sûr, le chiffrement des données transmises est une bonne chose. Cela signifie que les informations échangées entre votre navigateur et le site ne sont pas accessibles à des tiers, qu’il s’agisse de FAI, d’administrateurs réseau, d’intrus, etc. Il vous permet de saisir des mots de passe ou des données de carte de crédit sans vous soucier des regards indiscrets.

Mais le problème, c’est que la serrure verte et le certificat délivré ne disent rien du site lui-même. Une page d’hameçonnage peut tout aussi facilement obtenir un certificat et chiffrer tout le trafic qui circule entre vous et lui.

En termes simples, tout ce qu’un cadenas vert permet de garantir, c’est qu’aucune autre personne ne pourra espionner les données que vous saisissez. Mais votre mot de passe peut toujours être volé par le site lui-même, si c’est un faux site.

Les escrocs qui font du phishing s’en servent activement : selon Phishlabs, un quart des attaques de phishing actuelles sont réalisée par sur des sites HTTPS (il y a deux ans, ce chiffre était inférieur à 1 %). En plus, plus de 80 % des utilisateurs croient que la simple présence d’un petit cadenas vert et du mot  » Sécurisé  » à côté de l’URL indique que le site est sûr et ne réfléchissent pas beaucoup avant d’y saisir leurs données.

Et si le cadenas n’est pas vert ?

Si la barre d’adresse ne montre aucun verrouillage, cela signifie que le site Web n’utilise pas de chiffrement et échange des informations avec votre navigateur à l’aide du protocole HTTP standard. Google Chrome a commencé à marquer ces sites Web comme non sécurisés. Ils peuvent en réalité être tout à fait sérieux, mais ils ne chiffrent pas le trafic entre vous et le serveur. La plupart des propriétaires de sites Web ne veulent pas que Google indique que leurs sites Web sont dangereux, et ils sont donc de plus en plus nombreux à migrer vers HTTPS. Dans tous les cas, la saisie de données sensibles sur un site HTTP est une mauvaise idée – n’importe qui peut espionner.

La deuxième variante que vous pouvez voir est une icône de verrouillage entrecroisée de lignes rouges avec les lettres HTTPS marquées en rouge. Cela signifie que le site web a un certificat, mais le certificat n’est pas vérifié ou est périmé. C’est-à-dire que la connexion entre vous et le serveur est chiffrée, mais personne ne peut garantir que le domaine appartient bien à la société indiquée sur le site. C’est le scénario le plus louche ; normalement, ces certificats sont uniquement utilisés pour des tests.

Sinon, si le certificat a expiré et que le propriétaire n’a pas renouvelé le certificat, les navigateurs marqueront la page comme étant dangereuse, mais plus visiblement, en affichant un avertissement de verrouillage rouge. Dans un cas comme dans l’autre, considérez le rouge comme un avertissement et évitez ces sites – et bien entendu, n’y saisissez pas de données personnelles.

Comment ne pas mordre à lhameçon

En résumé, la présence d’un certificat et du verrouillage vert signifie seulement que les données transmises entre vous et le site sont chiffrées et que le certificat a été émis par une autorité de certification de confiance. Mais cela n’empêche pas un site HTTPS d’être malveillant, un fait qui est très habilement manipulé par les escrocs de phishing.

Soyez donc toujours vigilant, quelle que soit la sécurité du site à première vue.

  • Ne saisissez jamais de codes d’accès, mots de passe, informations bancaires ou d’autres informations personnelles sur le site, sauf si vous êtes sûr de son authenticité. Pour cela, vérifiez toujours le nom de domaine en faisant bien attention : le nom d’un faux site peut ne différer que par un seul caractère. Et assurez-vous que les liens sont fiables avant de cliquer.
  • Pensez toujours à ce que vous offre un site en particulier, demandez-vous s’il semble suspect et si vous devez vraiment vous y inscrire.
  • Assurez-vous que vos appareils sont bien protégés : Kaspersky Internet Security vérifie les URL en consultant une base de données de sites de phishing très riche et détecte les arnaques même si la ressource a l’air « sécurisée ».