{"id":9932,"date":"2018-01-18T09:58:47","date_gmt":"2018-01-18T09:58:47","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=9932"},"modified":"2020-05-07T17:31:05","modified_gmt":"2020-05-07T17:31:05","slug":"https-does-not-mean-safe","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/https-does-not-mean-safe\/9932\/","title":{"rendered":"HTTPS ne veut pas dire « s\u00fbr »"},"content":{"rendered":"

Soyons honn\u00eates, quand la plupart des gens voient un petit cadenas vert avec le mot \u00ab\u00a0S\u00e9curis\u00e9\u00a0\u00bb \u00e0 la gauche d\u2019une URL, ils pensent que le site est s\u00fbr. Et c\u2019est pareil lorsqu\u2019ils rep\u00e8rent les mots \u00ab\u00a0ce site utilise une connexion s\u00e9curis\u00e9e\u00a0\u00bb ou une URL commen\u00e7ant par les lettres \u00ab\u00a0https\u00a0\u00bb. Actuellement, de plus en plus de sites passent \u00e0 HTTPS. La plupart n\u2019ont pas le choix, en fait. Quel est le probl\u00e8me ? Plus il y a de sites s\u00e9curis\u00e9s, plus Internet est s\u00fbr, n\u2019est-ce pas ?<\/p>\n

\"\"<\/p>\n

Nous allons vous r\u00e9v\u00e9ler un secret : ces symboles \u00ab\u00a0S\u00e9curis\u00e9\u00a0\u00bb ne garantissent pas qu\u2019un site Web est \u00e0 l\u2019abri de toutes les menaces. Un site de phishing, par exemple, peut l\u00e9gitimement afficher cette serrure verte \u00e0 c\u00f4t\u00e9 de son adresse https. Alors, que se passe-t-il ? Nous allons le d\u00e9couvrir.<\/p>\n

Une connexion s\u00e9curis\u00e9e et un site s\u00e9curis\u00e9, ce n\u2019est pas la m\u00eame chose<\/strong><\/p>\n

La serrure verte signifie que le site a re\u00e7u un certificat et qu\u2019une paire de cl\u00e9s de chiffrement a \u00e9t\u00e9 g\u00e9n\u00e9r\u00e9e pour lui. Ces sites chiffrent les informations transmises entre vous et le site. Dans ce cas, les URL de la page commencent par HTTPS, le dernier \u00ab\u00a0S\u00a0\u00bb signifiant \u00ab\u00a0S\u00e9curis\u00e9\u00a0\u00bb.<\/p>\n

Bien s\u00fbr, le chiffrement des donn\u00e9es transmises est une bonne chose. Cela signifie que les informations \u00e9chang\u00e9es entre votre navigateur et le site ne sont pas accessibles \u00e0 des tiers, qu\u2019il s\u2019agisse de FAI, d\u2019administrateurs r\u00e9seau, d\u2019intrus, etc. Il vous permet de saisir des mots de passe ou des donn\u00e9es de carte de cr\u00e9dit sans vous soucier des regards indiscrets.<\/p>\n

Mais le probl\u00e8me, c\u2019est que la serrure verte et le certificat d\u00e9livr\u00e9 ne disent rien du site lui-m\u00eame. Une page d\u2019hame\u00e7onnage peut tout aussi facilement obtenir un certificat et chiffrer tout le trafic qui circule entre vous et lui.<\/p>\n

En termes simples, tout ce qu\u2019un cadenas vert permet de garantir, c\u2019est qu\u2019aucune autre<\/em> personne ne pourra espionner les donn\u00e9es que vous saisissez. Mais votre mot de passe peut toujours \u00eatre vol\u00e9 par le site lui-m\u00eame, si c\u2019est un faux site.<\/p>\n

Les escrocs qui font du phishing s\u2019en servent activement : selon Phishlabs<\/a>, un quart des attaques de phishing actuelles sont r\u00e9alis\u00e9e par sur des sites HTTPS (il y a deux ans, ce chiffre \u00e9tait inf\u00e9rieur \u00e0 1 %). En plus, plus de 80 % des utilisateurs croient <\/a>que la simple pr\u00e9sence d\u2019un petit cadenas vert et du mot \u00a0\u00bb\u00a0S\u00e9curis\u00e9\u00a0\u00a0\u00bb \u00e0 c\u00f4t\u00e9 de l\u2019URL indique que le site est s\u00fbr et ne r\u00e9fl\u00e9chissent pas beaucoup avant d\u2019y saisir leurs donn\u00e9es.<\/p>\n

Et si le cadenas n\u2019est pas vert ?<\/strong><\/p>\n

Si la barre d\u2019adresse ne montre aucun verrouillage, cela signifie que le site Web n\u2019utilise pas de chiffrement et \u00e9change des informations avec votre navigateur \u00e0 l\u2019aide du protocole HTTP standard. Google Chrome a commenc\u00e9 \u00e0 marquer ces sites Web comme non s\u00e9curis\u00e9s. Ils peuvent en r\u00e9alit\u00e9 \u00eatre tout \u00e0 fait s\u00e9rieux, mais ils ne chiffrent pas le trafic entre vous et le serveur. La plupart des propri\u00e9taires de sites Web ne veulent pas que Google indique que leurs sites Web sont dangereux, et ils sont donc de plus en plus nombreux \u00e0 migrer vers HTTPS. Dans tous les cas, la saisie de donn\u00e9es sensibles sur un site HTTP est une mauvaise id\u00e9e \u2013 n\u2019importe qui peut espionner.<\/p>\n

La deuxi\u00e8me variante que vous pouvez voir est une ic\u00f4ne de verrouillage entrecrois\u00e9e de lignes rouges avec les lettres HTTPS marqu\u00e9es en rouge. Cela signifie que le site web a un certificat, mais le certificat n\u2019est pas v\u00e9rifi\u00e9 ou est p\u00e9rim\u00e9. C\u2019est-\u00e0-dire que la connexion entre vous et le serveur est chiffr\u00e9e, mais personne ne peut garantir que le domaine appartient bien \u00e0 la soci\u00e9t\u00e9 indiqu\u00e9e sur le site. C\u2019est le sc\u00e9nario le plus louche ; normalement, ces certificats sont uniquement utilis\u00e9s pour des tests.<\/p>\n

Sinon, si le certificat a expir\u00e9 et que le propri\u00e9taire n\u2019a pas renouvel\u00e9 le certificat, les navigateurs marqueront la page comme \u00e9tant dangereuse, mais plus visiblement, en affichant un avertissement de verrouillage rouge. Dans un cas comme dans l\u2019autre, consid\u00e9rez le rouge comme un avertissement et \u00e9vitez ces sites \u2013 et bien entendu, n\u2019y saisissez pas de donn\u00e9es personnelles.<\/p>\n

Comment ne pas mordre \u00e0 l<\/strong>\u2018hame\u00e7on<\/strong><\/p>\n

En r\u00e9sum\u00e9, la pr\u00e9sence d\u2019un certificat et du verrouillage vert signifie seulement que les donn\u00e9es transmises entre vous et le site sont chiffr\u00e9es et que le certificat a \u00e9t\u00e9 \u00e9mis par une autorit\u00e9 de certification de confiance. Mais cela n\u2019emp\u00eache pas un site HTTPS d\u2019\u00eatre malveillant, un fait qui est tr\u00e8s habilement manipul\u00e9 par les escrocs de phishing.<\/p>\n

Soyez donc toujours vigilant, quelle que soit la s\u00e9curit\u00e9 du site \u00e0 premi\u00e8re vue.<\/p>\n