La plupart des personnes qui voient un petit cadenas vert avec le mot "secure" à gauche d'une URL pensent automatiquement que le site est sécurisé. Il en va de même lorsqu'ils lisent la phrase "ce site utilise une connexion sécurisée" ou tombent sur une URL qui commence par les lettres "https". S’agit-il réellement d’un service de sécurité fiable ?
Un simulacre de sécurité ?
De plus en plus de sites web passent au HTTPS ces jours-ci. La plupart d'entre eux n'ont en réalité pas d'autre choix. Quel serait le problème de ce genre de code ou protocole ? Quelle est la raison https pas garantie sécurité clamée par des professionnels du web ?
Voici un des nos nombreux petits secrets des professionnels du web : ni le mot "sécurisé" ni le cadenas ne garantissent qu'un site web est à l'abri de toute menace. Un site de phishing peut légitimement afficher le cadenas vert à côté de son adresse https. Que signifie-t-il vraiment ?
Le petit cadenas vert signifie qu'un certificat a été émis pour le site web concerné et qu'une clé cryptographique a été générée en même temps pour celui-ci. Ces sites web cryptent les informations qui sont transférées entre l’utilisateur et le site. Dans ce cas, les URL des pages commencent par HTTPS, avec le "S" à la fin pour "sécurisé".
Bien sûr, c'est une excellente chose de crypter les données pendant leur transmission, y compris les donné de paiement et de transactions. Cela signifie que les informations échangées entre votre navigateur et le site web ne sont pas accessibles à des tiers dont des FAI, des administrateurs de réseau, des intrus, etc. Par exemple, vous pouvez saisir des mots de passe ou des informations sur votre carte de crédit sans avoir à vous soucier des regards indiscrets.
Cependant, le problème est que ni le cadenas vert ni le certificat délivré ne disent rien sur le site lui-même. Un site de phishing, comme tout autre site web, peut obtenir un certificat et crypter le trafic entre vous et le site. Voilà une raison https pas garantie sécurité.
En d'autres termes, le cadenas vert garantit que personne d'autre ne peut espionner les données que vous avez saisies. Toutefois, si la page est fausse, elle peut toujours altérer votre mot de passe.
Les phishers en profitent
Les phishers exploitent à fond les limites de l’https. Selon Phishlabs, un quart de toutes les attaques de phishing sont aujourd'hui effectuées sur des sites HTTPS. Deux ans auparavant, c’était moins de 1%.
En outre, plus de 80 % des utilisateurs pensent que la simple présence d'un petit cadenas vert et du mot "secure" à côté de l'adresse URL signifient que les mesures de sécurité sont optimales et que le site est légitime et sûr, et par conséquent ils ne réfléchissent pas vraiment à deux fois avant de saisir leurs données.
Et si le cadenas n'est pas vert ?
Si vous ne trouvez pas de cadenas dans la barre d'adresse, cela signifie que le site n'utilise pas de cryptage et protection et que les informations sont échangées avec votre navigateur en utilisant le protocole HTTP standard. Google Chrome a commencé à marquer ces sites comme dangereux. Bien qu'ils soient parfaitement légitimes, ils ne cryptent pas le trafic entre vous et le serveur.
Bien sûr, la plupart des propriétaires de sites web ne veulent pas que Google marque leur site comme non sécurisé. De plus en plus de professionnels, pensant prendre leur responsabilité, passent au HTTPS pour leurs sites web. Malgré tout, la saisie de ses données sur une page HTTP n'est pas toujours une très bonne idée.
La deuxième variante, que vous avez peut-être déjà vue, est un symbole de serrure à croix rouge avec les lettres HTTPS, également en rouge. Dans ce cas précis, le site web dispose d'un certificat, mais qu'il n'a pas été vérifié ou qu'il est périmé. Cela signifie que la connexion entre vous et le serveur est cryptée, mais personne ne peut garantir que le domaine appartient réellement à l'entreprise mentionnée sur le site. C’est à ce niveau qu’il faudra se montrer très prudent. Normalement, ces certificats ne sont utilisés qu'à des fins d'essai.
Par ailleurs, si le certificat a expiré et que le propriétaire du site ne l'a pas encore renouvelé, les navigateurs marqueront le site comme dangereux, avec un avertissement rouge clairement visible. Vous devriez éviter ces pages !
Comment éviter les pièges ?
Le certificat et le verrou vert signifient que les données transmises entre vous et le site sont cryptées et que le certificat est délivré par une autorité de certification de confiance. Cela ne veut toutefois pas dire qu'un site HTTPS est totalement sécurisé. Cette particularité est souvent exploitée par les escrocs du phishing.
Par conséquent, restez toujours prudent, même si vous naviguez sur un site avec un protocole HTTPS.
Ne saisissez jamais de logins, de mots de passe, de coordonnées bancaires ou d'autres informations personnelles sur un site web sauf si vous êtes absolument sûr qu'il est légitime et authentique.
Vérifiez toujours le nom de domaine. Le nom d'un faux site web peut parfois différer d'un site légitime par une seule lettre ou un seul caractère. Assurez-vous que les liens sont fiables avant de les ouvrir.
Réfléchissez toujours avant d’entreprendre certaines actions sur un site web, entre autres le fait de s’y inscrire. Assurez-vous tout d’abord de sa fiabilité et sécurité. La raison https pas garantie sécurité apparaît toujours valide à ce niveau.
Par ailleurs, vos appareils doivent être bien protégés. L’outil Kaspersky Internet Security effectue par exemple la comparaison des URL avec une vaste base de données de sites de phishing et détecte les arnaqueurs, même si le site semble, aux premiers abords, fiable.
