HTTPS ? Cadenas vert ? Cassons le mythe de la sécurité…

On entend souvent dire qu’une adresse commençant par « https » est synonyme de sécurité… et pour cause : le « S » de « HTTPS » veut bien dire « sécurisé » ! Mais encore faut-il savoir précisément ce que cela sécurise pour ne pas se laisser avoir par les arnaques l’utilisant car, on peut en être sûrs, elles vont être de plus en plus nombreuses. Que vous soyez un internaute lambda ou un pro du web, cet article vous donnera quelques clés pour mieux comprendre les limites d’HTTPS et de son fameux « cadenas vert » !… Comment éviter les arnaques qui l’utilisent ?

A quoi sert HTTPS ?

HTTP est le protocole qui permet le transport des informations sur le web. Petit problème d’HTTP : si quelqu’un espionne vos communications (par exemple en écoutant toutes les informations qui circulent sur un wifi public), il peut les lire sans problème. Si vous avez donc le malheur d’entrer des données sensibles, comme un mot de passe par exemple, une personne malveillante peut s’en servir à sa guise.

HTTPS règle ce problème en cryptant (à l’Académie française on dirait plutôt « en chiffrant ») les données entre vous et le site web avec lequel vous communiquez. Sans trop entrer dans les détails, sachez qu’HTTPS combine pour cela deux stratégies : le chiffrement SSL d’une part et les autorités de certifications d’autre part. Pour ceux que ça intéresse, je donne quelques précisions en fin d’article, mais vous n’avez pas besoin d’en savoir plus pour comprendre la suite.

Pourquoi HTTPS n’est pas synonyme de sécurité

Intercepter les données qui circulent sur le web n’est qu’une manière de s’enrichir à vos dépends… et c’est loin d’être la plus fréquente ! La quasi-intégralité des arnaques qui sont dénoncées sur Signal Arnaques n’ont en effet aucun problème avec HTTPS : elles reposent sur le fait de vous faire croire que vous êtes sur le point de commercer avec quelqu’un de confiance, que ce soit avec HTTP ou HTTPS.

Prenons un exemple. Je veux monter une boutique de vente bidon pour encaisser des commandes de lunettes Ray-Ban pas chères que je n’enverrai jamais. J’achète le nom de domaine « rayban-soldes.com » (il est disponible : 9,59€ chez OVH !), je récupère un certificat SSL auprès d’une autorité de certification pour ce nom de domaine (ce qui peut être gratuit, voir plus bas)… et je crée mon site d’arnaque avec un joli cadenas vert pour moins de 10 euros ! Facile, non ?

Pourquoi me dit-on que je dois vérifier la présence d’HTTPS alors ?

Premièrement, l’usage d’https est absolument indispensable pour certaines opérations sensibles et en particulier lorsque vous faites un paiement en ligne. Ensuite, si vous avez l’habitude d’aller sur un site qui utilise https (comme celui de votre banque) et qu’un jour vous ne voyez plus https dessus, c’est sûrement que vous n’êtes pas sur le bon site ! En effet, la technique du phishing (hameçonnage en bon français) consiste à vous faire cliquer sur un lien en se faisant pour un organisme de confiance (votre banque, les impôts, votre FAI, Paypal…) pour récupérer vos informations.

Jusqu’à présent, les spécialistes du phishing n’investissaient que rarement dans la mise en place d’https qui coûtait de l’argent et du temps. La présence d’https, avec un certificat indiquant clairement l’organisme à qui vous avez à faire, était donc un indicateur assez fiable, sans pour autant être une garantie absolue. Mais les choses ont changé et https est sur le point de devenir très banal chez les escrocs du net.

Let’s Encrypt : https facile = phishing facile ?

Let’s Encrypt est une organisation à but non lucratif qui s’est donné pour mission de faciliter la mise en place d’https. En tant qu’autorité de certification, Let’s Encrypt est habilitée à délivrer les certificats ssl nécessaires à la mise en place d’https… et contrairement à tous les autres organismes du genre, elle le fait gratuitement et très rapidement selon un processus qui peut être complètement automatisé.

Ce qui est une bonne nouvelle pour une multitude de sites qui vont pouvoir passer à https à moindre coût en est une excellente pour les arnaqueurs en tout genre. https est devenu avec les années gage de confiance dans la tête de beaucoup d’internautes qui risquent de tomber de haut !

Sachez par ailleurs qu’https va peu à peu devenir la norme dans les années qui viennent. Les incitations à le faire sont nombreuses : un peu plus de sécurité certes, mais aussi un meilleur positionnement dans les moteurs de recherche ainsi que des performances améliorées grâce à HTTP/2.

Tous les HTTPS ne se valent pas !

Quand on creuse un peu, on s’aperçoit quand même que certains types d’HTTPS sont plus dignes de confiance que d’autres. C’est ainsi le cas des sites utilisant des certificats SSL « EV » (Extended Validation) : on les reconnaît aisément puisque les navigateurs les font ressortir de manière particulière. Regardez les 3 copies d’écrans qui suivent :

Certificat Extended validation

La BNP utilise un certificat Extended Validation : son identité apparaît à côté de l’adresse

https sans extended validation

La Caisse d’Epargne utilise un certificat simple : la garantie est moindre et l’affichage le montre

site sans https

Pas de cadenas vert, mais on est bel et bien sur le vrai site du monde.fr !

Faîtes le test chez vous en cliquant sur l’une des photos ci-dessus : les différences d’affichages varient en effet en fonction du navigateur web que vous utilisez (ici, j’utilise Firefox).

Qu’est ce qui fait que les certificats « EV » sont plus sûrs ? Premièrement, ils sont plus chers et donc moins accessibles pour le pirate lambda. Deuxièmement (et c’est le plus important), ils font l’objet d’une procédure de validation bien plus poussée de l’identité de leurs propriétaires. Ainsi si un pirate arrive à obtenir un tel certificat, les démarches qu’il aura dû faire feront que ses chances de se faire attraper seront beaucoup plus élevées… argument qui aura de quoi en décourager beaucoup !

Maintenant que vous en savez plus sur https, vous pouvez retourner faire un faire un tour sur nos 5 astuces pour détecter un site d’arnaque : ce sont celles que nous utilisons au quotidien chez Signal Arnaques pour déterminer la fiabilité des sites qui nous sont soumis. Et si vous avez encore un doute… Direction le forum !

Pour ceux qui veulent en savoir plus sur les limites techniques d’https

A partir d’ici, ça se complique un peu pour le commun des mortels : si ce genre de chose ne vous intéresse pas, inutile d’aller plus loin. Pour les autres, je vais rester assez simple, on n’est pas sur un blog de geek 😉

HTTPS a deux fonctions : chiffrer les échanges (avec SSL) et authentifier le serveur web avec lequel vous communiquez par ailleurs (via les autorités de certification). Pour faire court, votre navigateur échange avec le serveur des clés de chiffrement. Celles-ci sont validées par une autorité de certification que le navigateur est capable d’interroger afin de s’assurer qu’il communique avec le bon serveur et surtout… que personne n’a mis le bazar entre les deux.

Le problème, c’est qu’SSL d’une part et les autorités de certification d’autre part peuvent avoir des petits soucis.

  1. Commençons par SSL : S’il est bien mis en place, pas de problème… mais SSL est un protocole qui peut être mis en oeuvre de très nombreuses manières et certaines sont connues pour être insuffisamment sécurisées : à cause de la taille des clés de chiffrement, des algorithmes de chiffrement, de la version du protocole, du mode de compression des données et éventuellement de la version du logiciel qui gère tout ça… Pour vérifier que tout est bien fait sur un site, vous pouvez regarder chez SSL Labs qui vous fait un diagnostic en direct de n’importe quel site et gratuitement 🙂
  2. Les autorités de certification ne sont pas non plus infaillibles : les clés privées qu’elles utilisent pour certifier sont des trésors parfois insuffisamment gardés. Or il suffit qu’un pirate récupère une de ces clés chez une autorité de certification pas top dans sa sécurité pour qu’il puisse se créer autant de certificats SSL qu’il le souhaite…

Alors ? HTTPS, bien ou pas bien ?

HTTPS, c’est sans aucun doute mieux qu’HTTP (et au moment d’un paiement carrément indispensable), mais quand on gratte un peu, on s’aperçoit qu’on ne peut faire confiance qu’aux connexions HTTPS disposant de certificats SSL Extended Validation (et encore… en partie, me diront les plus paranos)… Finalement, le curseur de la sécurité n’aura fait que de se déplacer d’un cran : les sites HTTP et les fraudeurs vont progressivement passer sur HTTPS quand les sociétés qui voudront une confiance renforcée passeront d’HTTPS à un HTTPS « EV » bien mis en place. Ça tombe bien, si vous avez lu cet article vous savez maintenant les reconnaître !

HTTPS ? Cadenas vert ? Cassons le mythe de la sécurité…
4.4 (88.57%) 14 vote[s]

9 réponses

  1. PREZEAU dit :

    Bonjour, J’ai essayé SSL Labs pour ma banque (le CIC) On me dit qu’il est bien « EV », mais quand je clique pour me connecter sur cette banque, il y a bien le nom de la banque en vert juste à côté du cadenas vert, mais le https n’apparaît pas comme dans votre premier exemple sur la BNP Paribas .. il y a seulement la mention cic.fr/banques ..particulier ou professionnel. Dois-je avoir confiance ?
    Merci

  2. ABBADI dit :

    J’ai commandé le 12/06/2017 sur le site internet http://www.topshopfr.com, à ce jour j’ai rien reçu.
    Maintenant ce site est inexistant.(ci-joint l’email que j’ai reçu au moment de la commande):
    Your order is successful
    lundi 12 juin, 16:39 Assurer un Suivi
    De : notification_03@orderstatusinform.com
    A : abbadim@neuf.fr
    Dear Sir or Madam,
    Your order is successfully placed and paid.
    —————————————————————————————————————
    Ⅰ. Any questions about the shipment, please click ‘contact us’ on Merchant’s website: http://www.topshopfr.com or email to sales@topshopfr.com to consult with the merchant.
    Ⅱ. PES*lbamart will be shown on your billing statement.
    Ⅲ. The amount showing on your statement will be a bit different from the price on seller’s website according to the foreign exchange rate of the bank. You can contact the bank for more information. We appreciate your support and understanding.
    —————————————————————————————————————
    P.S.:
    The reference for this order is:
    The order date: 2017/6/12 22:39:11
    The order amount: EUR 27
    The order No.: 1807557458279114

  1. 7 octobre 2016

    […] et on a même un protocole sécurisé HTTPS !!! Les plus attentifs d’entre vous auront lu notre article sur la fausse sécurité du protocole HTTPS et ne se laisseront pas endormir par ce […]

  2. 16 octobre 2016

    […] Donc le https c’est bien, mais il ne concerne que le transport des données…pas le site que vous avez en face ! Si vous souhaitez obtenir plus d’informations sur ce sujet technique, allez faire un tour sur notre article consacré au protocole HTTPs. […]

  3. 5 décembre 2016

    […] Ne vous fiez pas au https… Ce protocole n’est ni un gage de fiabilité, ni de sécurité ! […]

  4. 30 janvier 2017

    […] Certains auront remarqués la présence du « https » ou « cadena vert » qui rassure généralement les internautes. Ben en fait, c’est une fausse idée car même des arnaqueurs utilisent le protocole HTTPS… Lisez notre article à ce sujet : Cassons le mythe de la sécurité du cadena vert […]

  5. 16 mars 2017

    […] Le Https (cadenas vert) ne vous protège pas des arnaqueurs. […]

  6. 14 février 2018

    […] passer pour Air France… Ils se paient même le luxe de rajouter un petit cadenas vert, synonyme de sécurité pour le commun des […]

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *