02 mai 2013

Le S de httpS:// n’est pas forcément un gage de sécurité!

J’entends et je lis régulièrement dans les médias grand-public que le "S" de "https://" est un gage de sécurité. Le seizième rapport semestriel MELANI [1] nous met en garde à ce sujet, en nous informant que "le second semestre 2012 a vu apparaître des sites Internet d'hameçonnage utilisant un lien URL débutant par "https://", c'est-à-dire des sites qui cryptent les données et offrent une transmission supposément sécurisée".
Comme le dit MELANI le "S" de "https://" permet d’informer visuellement que les données entre le browser de l’internaute et le serveur web sont cryptées. Cela ne signifie en aucun cas que le site est sûr !

Avant d’envoyer vos données personnelles (mot de passe, numéro de carte de crédit, etc.) à un tiers, vous devez vous assurer que vous êtes sur le bon site web et que ce dernier est un site de confiance. Vous devez donc vérifier l’adresse du site web et plus particulièrement son nom de domaine. Le S de "https://" n’est pas forcément un gage de sécurité et cela ne doit pas être votre seul critère pour faire confiance à un site.

URL officiel

URL hameçon

Dans les illustrations ci-avant nous avons deux adresses (URL) presque similaires. La première "https://fr.zalndo.je-suis-un-poisson.ch/nom-utilisateur/" comparée à la seconde "https://fr.zalndo.ch/nom-utilisateur/" présente un risque. Toutes deux peuvent vous faire penser que vous êtes sur un site marchand populaire. Toutefois dans le premier cas, vous n’êtes pas sur le site de "zalndo", mais sur le site de "je-suis-un-poisson ".

Afin de savoir ce que vous devez vérifier dans un URL, voici la description d’une adresse web :
  • Le protocole : "http://" ou "https://", vous permet de savoir si les échanges entre le browser (navigateur) et le serveur sont cryptés "https://" ou pas "http://".
  • Le sous-domaine : généralement "www.", mais cela peut être totalement autre chose comme "fr.", "clients.", "www2.", etc. est un élément purement technique.
  • Le domaine : "zalndo" si on prend l’adresse "https://fr.zalndo.ch/nom-utilisateur/" et " je-suis-un-poisson" pour l’adresse "https://fr.zalndo.je-suis-un-poisson.ch/nom-utilisateur/", est l’élément principal pour vérifier que vous êtes à la bonne adresse.
  • Le suffixe de domaine : ".be", ".ch", ".fr", etc. pour montrer l’appartenance à un pays ou ".com", ".org", etc. pour montrer que c’est un site commercial, une organisation, etc. C’est un autre élément purement technique.
  • Le chemin d’accès à l’information : dans notre exemple "/nom-utilisateur/", permet au serveur de connaitre la page que vous souhaitez visualiser.


Lorsque vous êtes sur internet, avant d’envoyer des informations personnelles ou sensibles, vous devez  vérifier le domaine, puis vous assurer que le protocole utilisé cryptera vos données entre votre ordinateur et le site web. Le premier critère vous permet de vous assurer à qui vous envoyer vos données, le second vous permet de protéger vos données contre une lecture malveillante. Si nous comparons cet échange d’information à un envoi postal, le domaine est l’adresse du destinataire et le "https://" (protocole) c’est l’enveloppe.

Un dernier conseil, lorsque vous recevez un email qui vous semble douteux, ne cliquez par sur les liens, mais tapez les directement dans votre browser !

[1] MELANI, admin.ch, Seizième rapport semestriel MELANI: hausse des attaques par hameçonnage, http://www.melani.admin.ch/dienstleistungen/archiv/01536/index.html?lang=fr, publié le 2 mai 2013, consulté en ligne le 2 mai 2013

Aucun commentaire:

Enregistrer un commentaire