Ce n’est pas parce que « la connexion est sécurisée » que le site que vous consultez est sûr.

Cyberguerre reçoit régulièrement des témoignages de victimes de phishing qui ont entré leurs identifiants ou leur numéro de carte bancaire sur un site malveillant. Bon nombre d’entre elles expliquent qu’elles ne se sont pas méfiées en se rendant sur la page piégée, car son URL commençait  par « https ». Leur navigateur affichait un cadenas verrouillé, indiquant que la connexion était « sécurisée ». Mais la formulation est un peu piégeuse, car elle peut laisser croire que le site est systématiquement inoffensif.

Virgin_Killer.jpg

Une connexion sécurisée indique juste que la liaison établie entre l’internaute et le site utilise une protection pour protéger les échanges d’informations. Elle ne dit rien sur les intentions du site visité. // Source : Capture d’écran Numerama

Les malfaiteurs ont bien conscience de cette mauvaise compréhension du HTTPS par le grand public et ils en abusent évidemment pour accroître la crédibilité de leurs opérations de hameçonnage après de leurs cibles. Il est donc plus que temps de se débarrasser de cette mauvaise interprétation de ce sigle, et de son rôle, afin d’échapper à de futures déconvenues.

Que fait la liaison HTTPS ?

HTTPS désigne un protocole de communication sur le net. Concrètement, il encadre la façon dont votre navigateur web (Chrome, Firefox, Safari…) va interagir avec le site que vous visitez. D’un bout à l’autre de la liaison sont envoyées toutes sortes d’informations, dans un sens comme dans l’autre. Par exemple, quand vous envoyez l’instruction pour afficher une page web et qu’en retour le site vous envoie l’URL demandée.

La particularité du HTTPS est qu’il chiffre les données qui circulent entre le site et votre navigateur.

Autrement dit, il transforme le contenu échangé en un code incompréhensible pour un tiers, mais qui devient limpide avec la bonne clé de déchiffrement. Imaginons que vous envoyiez votre mot de passe « j<3cYb3rgu3Rr3!! » au site que vous visitez, pour vous connecter à votre profil. Sans HTTPS, l’information circule en clair, sans protection. Avec, elle circulerait sous une forme obscure « a4brKn3bo3OfghBPDW78uhF2Fd92dc87 ». Seuls votre navigateur et le site de destination peuvent le déchiffrer ce contenu pour voir le mot de passe, grâce à un protocole d’échange établi préalablement entre les deux parties.

Pour mettre en place ce protocole, les gérants des sites doivent déployer un certificat SSL ou TLS (aussi appelé certificat HTTPS par abus de langage), qui indique que le site dispose d’une clé publique nécessaire aux chiffrements des échanges. À ses débuts, HTTPS n’était utilisé que sur des sites impliquant  des données vraiment sensibles, comme la banque ou le commerce. L’achat d’un tel certificat était onéreux. Aujourd’hui, en déployer un ne coûte rien ou presque, grâce à des initiatives comme Let’s Encrypt.

Le succès du HTTPS a été poussé par divers facteurs : les révélations d’Edward Snowden sur la surveillance en ligne, les efforts de Google pour favoriser l’adoption de cette sécurité, le coût d’achat de plus en plus bas des certificats, etc. Résultat, en France, plus de 95% des connexions à des sites se font via ce protocole sécurisé. Les navigateurs, que ce soit Safari, Chrome, Firefox ou même Edge, multiplient également les initiatives en sa faveur.

Contre quoi protège le HTTPS ?

HTTPS chiffre les données des communications, ce qui assure leur confidentialité dans le cas où elles seraient épiées, altérées ou interceptées. Sans le chiffrement, des personnes pourraient, en théorie, espionner les informations que vous échangez avec le site, aspirer des informations ou bien les modifier. Dans le jargon, on parle d’une attaque « man in the middle » (littéralement, d’« homme au milieu »). Ils sont de deux sortes dans notre cas :

  • D’un côté se trouvent les personnes qui participent à la mise en place votre connexion : votre fournisseur d’accès Internet (Orange, SFR, Bouygues, Free…) et éventuellement, l’administrateur du réseau (si vous êtes sur une connexion publique ou sur celle de votre travail).
  • De l’autre figurent des personnes capables de déployer des moyens techniques en vue d’intercepter les communications, que ce soit grâce à des logiciels ou à des machines dédiées, pour des raisons légitimes ou non. C’est le cas des forces de l’ordre, qui peuvent surveiller un réseau, et des criminels qui voudraient épier vos conversations à la recherche d’informations de valeur.

Si une de ces personnes met la main sur vos communications protégées, elle devra déchiffrer son contenu avant de pouvoir en tirer des informations. Sauf que la clé privée requise pour effectuer ce déchiffrement se trouve uniquement sur le navigateur. Dès lors, il faudra trouver un moyen de voler votre clé, ou de casser le chiffrement. Deux tâches en pratique très difficiles à accomplir, en tout cas dans un délai raisonnable, et qui peuvent nécessiter des moyens majeurs.

Bref, le HTTPS protège la confidentialité des données pendant leur itinéraire électronique entre votre ordinateur et le serveur du site sur lequel vous vous connectez — en outre, il existe des propriétés cryptographiques spéciales, comme la confidentialité persistance, qui garantissent quand même la sécurité des échanges passés, même si le chiffrement était remis en question. En revanche, il ne protège ni votre ordinateur ni le site sur lequel vous vous connectez.

Le HTTPS ne dit rien sur la fiabilité des sites

Si le HTTPS protège votre connexion contre le vol d’information pendant le voyage sur les réseaux, il ne vous préserve en aucune façon de l’envoi par mégarde d’informations à des personnes malveillantes qui utilisent ce type de certificat sur des sites vérolés.

On voit ce cas de figure quand un particulier transmet ses informations de carte bancaire à un site malveillant, qui se fait passer pour un site légitime. HTTPS remplit son rôle en empêchant que des personnes tierces interceptent les informations, et en acheminant les données à bon port, mais ce n’est pas sa mission de dire si ce port est malfamé.

De ce fait, le HTTPS n’est absolument pas un indicateur pertinent pour évaluer la fiabilité d’un site. D’ailleurs, le plus souvent, il n’est pas nécessaire de se pencher sur les détails techniques pour démasquer un phishing, il suffit de suivre quelques règles d’hygiène numérique accessibles à n’importe qui.

une comparateur meilleur gestionnaire mdp numerama

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.