HTTPS ? Cadenas vert ? Cassons le mythe de la sécurité…
On entend souvent dire qu’une adresse commençant par « https » est synonyme de sécurité… et pour cause : le « S » de « HTTPS » veut bien dire « sécurisé » ! Mais encore faut-il savoir précisément ce que cela sécurise pour ne pas se laisser avoir par les arnaques l’utilisant car, on peut en être sûrs, elles vont être de plus en plus nombreuses. Que vous soyez un internaute lambda ou un pro du web, cet article vous donnera quelques clés pour mieux comprendre les limites d’HTTPS et de son fameux « cadenas vert » !… Comment éviter les arnaques qui l’utilisent ?
A quoi sert HTTPS ?
HTTP est le protocole qui permet le transport des informations sur le web. Petit problème d’HTTP : si quelqu’un espionne vos communications (par exemple en écoutant toutes les informations qui circulent sur un wifi public), il peut les lire sans problème. Si vous avez donc le malheur d’entrer des données sensibles, comme un mot de passe par exemple, une personne malveillante peut s’en servir à sa guise.
HTTPS règle ce problème en cryptant (à l’Académie française on dirait plutôt « en chiffrant ») les données entre vous et le site web avec lequel vous communiquez. Sans trop entrer dans les détails, sachez qu’HTTPS combine pour cela deux stratégies : le chiffrement SSL d’une part et les autorités de certifications d’autre part. Pour ceux que ça intéresse, je donne quelques précisions en fin d’article, mais vous n’avez pas besoin d’en savoir plus pour comprendre la suite.
Pourquoi HTTPS n’est pas synonyme de sécurité
Intercepter les données qui circulent sur le web n’est qu’une manière de s’enrichir à vos dépends… et c’est loin d’être la plus fréquente ! La quasi-intégralité des arnaques qui sont dénoncées sur Signal Arnaques n’ont en effet aucun problème avec HTTPS : elles reposent sur le fait de vous faire croire que vous êtes sur le point de commercer avec quelqu’un de confiance, que ce soit avec HTTP ou HTTPS.
Prenons un exemple. Je veux monter une boutique de vente bidon pour encaisser des commandes de lunettes Ray-Ban pas chères que je n’enverrai jamais. J’achète le nom de domaine « rayban-soldes.com » (il est disponible : 9,59€ chez OVH !), je récupère un certificat SSL auprès d’une autorité de certification pour ce nom de domaine (ce qui peut être gratuit, voir plus bas)… et je crée mon site d’arnaque avec un joli cadenas vert pour moins de 10 euros ! Facile, non ?
Pourquoi me dit-on que je dois vérifier la présence d’HTTPS alors ?
Premièrement, l’usage d’https est absolument indispensable pour certaines opérations sensibles et en particulier lorsque vous faites un paiement en ligne. Ensuite, si vous avez l’habitude d’aller sur un site qui utilise https (comme celui de votre banque) et qu’un jour vous ne voyez plus https dessus, c’est sûrement que vous n’êtes pas sur le bon site ! En effet, la technique du phishing (hameçonnage en bon français) consiste à vous faire cliquer sur un lien en se faisant pour un organisme de confiance (votre banque, les impôts, votre FAI, Paypal…) pour récupérer vos informations.
Jusqu’à présent, les spécialistes du phishing n’investissaient que rarement dans la mise en place d’https qui coûtait de l’argent et du temps. La présence d’https, avec un certificat indiquant clairement l’organisme à qui vous avez à faire, était donc un indicateur assez fiable, sans pour autant être une garantie absolue. Mais les choses ont changé et https est sur le point de devenir très banal chez les escrocs du net.
Let’s Encrypt : https facile = phishing facile ?
Let’s Encrypt est une organisation à but non lucratif qui s’est donné pour mission de faciliter la mise en place d’https. En tant qu’autorité de certification, Let’s Encrypt est habilitée à délivrer les certificats ssl nécessaires à la mise en place d’https… et contrairement à tous les autres organismes du genre, elle le fait gratuitement et très rapidement selon un processus qui peut être complètement automatisé.
Ce qui est une bonne nouvelle pour une multitude de sites qui vont pouvoir passer à https à moindre coût en est une excellente pour les arnaqueurs en tout genre. https est devenu avec les années gage de confiance dans la tête de beaucoup d’internautes qui risquent de tomber de haut !
Sachez par ailleurs qu’https va peu à peu devenir la norme dans les années qui viennent. Les incitations à le faire sont nombreuses : un peu plus de sécurité certes, mais aussi un meilleur positionnement dans les moteurs de recherche ainsi que des performances améliorées grâce à HTTP/2.
Tous les HTTPS ne se valent pas !
Quand on creuse un peu, on s’aperçoit quand même que certains types d’HTTPS sont plus dignes de confiance que d’autres. C’est ainsi le cas des sites utilisant des certificats SSL « EV » (Extended Validation) : on les reconnaît aisément puisque les navigateurs les font ressortir de manière particulière. Regardez les 3 copies d’écrans qui suivent :
La BNP utilise un certificat Extended Validation : son identité apparaît à côté de l’adresse
La Caisse d’Epargne utilise un certificat simple : la garantie est moindre et l’affichage le montre
Pas de cadenas vert, mais on est bel et bien sur le vrai site du monde.fr !
Faîtes le test chez vous en cliquant sur l’une des photos ci-dessus : les différences d’affichages varient en effet en fonction du navigateur web que vous utilisez (ici, j’utilise Firefox).
Mise à jour 2022 : les certificats Extended Validation ne sont maintenant quasiment plus mis en avant et sont de fait de moins en moins utilisés… dommage, c’était une approche intéressante !
Maintenant que vous en savez plus sur https, vous pouvez retourner faire un faire un tour sur nos 5 astuces pour détecter un site d’arnaque : ce sont celles que nous utilisons au quotidien chez Signal Arnaques pour déterminer la fiabilité des sites qui nous sont soumis. Et si vous avez encore un doute… Direction le forum !
Pour ceux qui veulent en savoir plus sur les limites techniques d’https
A partir d’ici, ça se complique un peu pour le commun des mortels : si ce genre de chose ne vous intéresse pas, inutile d’aller plus loin. Pour les autres, je vais rester assez simple, on n’est pas sur un blog de geek 😉
HTTPS a deux fonctions : chiffrer les échanges (avec SSL) et authentifier le serveur web avec lequel vous communiquez par ailleurs (via les autorités de certification). Pour faire court, votre navigateur échange avec le serveur des clés de chiffrement. Celles-ci sont validées par une autorité de certification que le navigateur est capable d’interroger afin de s’assurer qu’il communique avec le bon serveur et surtout… que personne n’a mis le bazar entre les deux.
Le problème, c’est qu’SSL d’une part et les autorités de certification d’autre part peuvent avoir des petits soucis.
- Commençons par SSL : S’il est bien mis en place, pas de problème… mais SSL est un protocole qui peut être mis en oeuvre de très nombreuses manières et certaines sont connues pour être insuffisamment sécurisées : à cause de la taille des clés de chiffrement, des algorithmes de chiffrement, de la version du protocole, du mode de compression des données et éventuellement de la version du logiciel qui gère tout ça… Pour vérifier que tout est bien fait sur un site, vous pouvez regarder chez SSL Labs qui vous fait un diagnostic en direct de n’importe quel site et gratuitement 🙂
- Les autorités de certification ne sont pas non plus infaillibles : les clés privées qu’elles utilisent pour certifier sont des trésors parfois insuffisamment gardés. Or il suffit qu’un pirate récupère une de ces clés chez une autorité de certification pas top dans sa sécurité pour qu’il puisse se créer autant de certificats SSL qu’il le souhaite…
Alors ? HTTPS, bien ou pas bien ?
HTTPS, c’est sans aucun doute mieux qu’HTTP (et au moment d’un paiement ou de rentrer un mot de passe, carrément indispensable), mais ça n’est, en soi, absolument pas une garantie de sécurité.
Je bricole des choses sur le web depuis la création de ma première société en 2004. Je fais partie de l’aventure Signal Arnaques (mais aussi Scamdoc et Scampredictor) depuis ses débuts, en particulier pour m’occuper des aspects techniques.
Bonjour, J’ai essayé SSL Labs pour ma banque (le CIC) On me dit qu’il est bien « EV », mais quand je clique pour me connecter sur cette banque, il y a bien le nom de la banque en vert juste à côté du cadenas vert, mais le https n’apparaît pas comme dans votre premier exemple sur la BNP Paribas .. il y a seulement la mention cic.fr/banques ..particulier ou professionnel. Dois-je avoir confiance ?
Merci
L’affichage exact dépend du navigateur que vous utilisez. Je viens de faire le test sur https://www.cic.fr/fr/ et j’ai bien l’affichage conforme d’un certificat https EV. Quelle est l’adresse du site en question et quel navigateur utilisez-vous ?
J’ai commandé le 12/06/2017 sur le site internet http://www.topshopfr.com, à ce jour j’ai rien reçu.
Maintenant ce site est inexistant.(ci-joint l’email que j’ai reçu au moment de la commande):
Your order is successful
lundi 12 juin, 16:39 Assurer un Suivi
De : notification_03@orderstatusinform.com
A : abbadim@neuf.fr
Dear Sir or Madam,
Your order is successfully placed and paid.
—————————————————————————————————————
Ⅰ. Any questions about the shipment, please click ‘contact us’ on Merchant’s website: http://www.topshopfr.com or email to sales@topshopfr.com to consult with the merchant.
Ⅱ. PES*lbamart will be shown on your billing statement.
Ⅲ. The amount showing on your statement will be a bit different from the price on seller’s website according to the foreign exchange rate of the bank. You can contact the bank for more information. We appreciate your support and understanding.
—————————————————————————————————————
P.S.:
The reference for this order is:
The order date: 2017/6/12 22:39:11
The order amount: EUR 27
The order No.: 1807557458279114
C’est vrai, car je suis victime d’une escroquerie financière sur le site : https://lse-investment.com, j’aia bien entendu porté plainte auprès de la gendarmerie, qui va transmettre mon dossier au Procureur de mon département,
Bonjour,
J’ai passé commande sur ce site avec cadenat noir au paiement et je n’ai ni mail ni le montant exact du paiement en CB sur mon compte, je ne comprends pas si ce site est bien frauduleux pourquoi n’a t-il pas été fermé au vu des commantaires sur les réseaux que je vien de découvrir!!!! cela m’aurait éviter d’être dans cette situation.
je viens d’essayer d’ouvrir les sites et aussi ma banque par l’intermédiaire de BING, il n’y a aucun cadenas vert ni d’adresse en vert ??? est ce que BING fait parti des arnaqueurs ??? je ne comprends pas ?
faudrait plus explications sur ces cadenas vert ou pas et le reste pas très clair !
même impots.gouv.fr; orange; EDF …..aucun n’ont de cadenas vert ???? pourquoi ?
meme votre site n’en a pas !
L’affichage dans plusieurs navigateurs a changé depuis la publication de cet article : désormais le cadenas n’est plus systématiquement vert. Par ailleurs, comme l’explique cet article (et qui est toujours valable) : la présence ou l’absence du cadenas (https) ne signifie pas qu’il y a sécurité (ou insécurité).
Et si on ne s’en prenait qu’à soi, avec cette facheuse illusion de faire de bonnes affaires sur le web. En vieux con amateur de con-tact et fort con-tent d’avoir en face une personne en vrai, sur un vrai lieu de vente, je n’achète à des inconnus que le stricte nécessaire -pour moins de 300€ par an- et je dors tranquille.
Il y aura de plus en plus d’arnaques et c’est de bonne guerre. Vous connaissez l’image de la guerre navale: plus on augmente la protection des navires (cuirassés!) plus on augmente la force de pénétration des torpilles. Des tas de malins s’amusent à rendre inopérantes des protections de plus en plus sophistiquées. Les arcanes de l’électronique sont insondables! Et c’est très bien comme ça.
Merci très intéressant votre article et votre travail