Le sigle HTTPS n’est plus un gage de sécurité pour un site web
-
Le sigle HTTPS n’est plus un gage de sécurité pour un site web
Un mail renvoyant vers un site n’est jamais fiableLe protocole de communication sécurisé HTTPS est devenu une formalité pour les arnaqueurs qui veulent créer l’illusion parfaite. Un expert en cybersécurité nous recommande les bonnes mesures à prendre.
Généralement, la première chose que l’on regarde pour savoir si un site est fiable, c’est son URL. Si celle-ci contient le sigle « https » avant le nom de domaine, on se sent déjà plus en sécurité. Votre navigateur vous conforte dans ce choix en indiquant que la connexion est sécurisée, avec un symbole de cadenas pour Chrome par exemple. Le nom du site ne contient aucune faute, le design a visiblement été réalisé par un professionnel, et pourtant c’est bien un escroc qui se cache derrière cette page.Les arnaqueurs se sont adaptés au niveau de vigilance des internautes. Le sigle HTTPS est devenu une nécessité pour tromper les victimes, puisque le navigateur vous prévient en cas de soupçons.
Pour faire court, le protocole HTTP (abréviation de protocole de transfert hypertexte) rend possibles les échanges de données entre un client et un serveur, entre un site web et un navigateur. Un stade de sécurité peut être ajouté en achetant et installant un certificat SSL (Secure Socket Layer). L’HTTPS est activé et les échanges avec le serveur sont dès lors chiffrés.
On peut donc se connecter au site d’un pirate, contenant des logiciels malveillants. La seule chose que le protocole garantit, c’est que la communication est sécurisée. Plusieurs mails catégorisés comme « spam » que nous avons reçus, nous demandant nos identifiants bancaires, détiennent le fameux certificat.
« Un site de phishing ne veut pas être référencé »
Sommes-nous condamnés à ne jamais être totalement sûrs que nous sommes sur le bon site ? En quelque sorte oui, mais des situations sont bien plus dangereuses que d’autres. Interrogé par Numerama, Arnaud Lemaire, directeur technique chez F5, une société américaine de cybersécurité, nous recommande par exemple de « ne jamais cliquer sur le lien intégré dans un mail. On tire un trait sur le côté instantané, mais il vaut toujours mieux se rendre sur le site depuis un navigateur et chercher soi-même l’information sur son compte plutôt que tomber dans le piège ».
Il ajoute que même un site officiel peut-être infecté : « l’attaquant va tenter de récupérer du contenu depuis un fournisseur tiers de données grâce aux cookies, comme un annonceur publicitaire ».
Faire sa recherche sur les premières pages de Google sera toujours moins risqué. « Un site de phishing ne veut absolument pas être référencé. D’abord ce sont généralement des plateformes éphémères liées à une campagne. Ensuite les entreprises que les attaquants veulent usurper traquent les arnaques. Le groupe souscrit à un service de sécurité qui va détecter et alerter le navigateur de l’existence de ce danger. »
Dernièrement, les tensions sur le plan international ont poussé les hackers à copier les sites des fournisseurs d’énergie. Comme indiqué précédemment, on vous recommande de ne pas vous aventurer sur les offres que vous recevez par mail.
-
-
Comme souvent chez Numerama on n’a pas peur de raconter n’importe quoi pour vendre leurs pseudo-articles.
HTTPS n’a jamais été un gage de sécurité, cela a été conçu pour s’assurer que le client communique bien avec le serveur qu’il cherche à joindre (authentifié par un tiers, l’Autorité de certification) e que les échanges entre client et serveur sont chiffrés pour garantir la confidentialité des données.
Si on accède à un site pourri, par un lien ou autre moyen, ça reste un site pourri que ce soit par l’utilisation du HTTP ou du HTTPS…
Et je conchie ces développeurs de merde qui veulent à tout prix masquer les urls aux utilisateurs alors que c’est la meilleure source pour lutter contre les sites frauduleux.
-
-
HTTPS pas un gage de sécurité, qui l’eut cru…
-
tudikoi Ciné-Séries Club Rebelle Windowsien Torrent user DDL PW Addicta répondu à Strauss le dernière édition par
@strauss a dit dans Le sigle HTTPS n’est plus un gage de sécurité pour un site web :
HTTPS pas un gage de sécurité, qui l’eut cru…
LUSTUCRU ? ^^
-
-
Ce titre putaclick et faux de Numerama… tout change !
Si, HTTPS est toujours un gage de sécurité. Des échanges client <-> serveur. Il n’a jamais servi à rien d’autre.
Ce que veut dire l’auteur de l’article c’est que ce qu’ils ont contribué, comme d’autres, à faire passer comme message pendant des années était biaisé et est maintenant grillé : “Vérifiez que vous êtes sur un site HTTPS, vous serez alors en sécurité.”
Je comprends pas que personne ou presque n’ai jamais dit aux gens de tout simplement lire et faire attention à l’URL. ma-banque.fr.kevin.com c’est pas ma-banque.fr. Et on se fiche que ce soit HTTP ou HTTPS. Faut juste 2 neurones et savoir s’en servir pour lutter contre le phishing. Le MIM etc c’est autre chose mais très rare ça vise surtout les pro.
Hélas, quand on voit certains messages ici (pire sur feu WZ), on comprend que tout le monde n’a pas la jugeote pour détecter un phishing. C’est bien ce qui est affligeant. -
Le problème, c’est que bcp ne regarde pas cette URL…
Comme c’est dit que c’est juste chiffré, c’est une sécurité comme une autre et les gens restent la dessus… facile donc de faire une copie d’un site connu et ni vu ni connuAprès je préfère chiffrer les échanges entre le client serveur même pr mes serveurs perso, c’est tjrs mieux que rien…
Pour l’usurpation HTTTPS via un MITM, c’est rare mais ça existe mais bcp de choses à mettre en oeuvre…
On pourrait aussi citer l’authentification en 2 étapes avec un numéro de téléphone qui n’est plus assez sécurisé et assez facilement hackable mais je m’égare…
-
Le problème, c’est que même l’url n’est pas forcément rassurant, par exemple pour swisscom, l’url est swisscom.ch et le login est actuellement redirigé sur login.scl.swisscom.ch (et ça a été pire avec des trucs genre login.sso.ch) alors, si on ne fait pas confiance dans ce genre de cas (qui n’est pas exceptionnel), pas de connexion possible…
-
Perso, ma technique basique de sécurité est de passer le plus souvent possible par mes marques-pages, en particulier pour les sites bancaires, de e-commerce et administratifs.
Comme ça, peu de risque de se faire avoir.
