Contrairement à ce que la plupart des internautes imaginent, le protocole HTTPS, symbolisé par un petit cadenas verrouillé dans la barre d’adresses du navigateur, ne garantit en aucune manière que le site web consulté est fiable et bienveillant, il est simplement un gage de confidentialité dans les échanges avec un site web. Autrement dit, ce n’est pas parce que « la connexion est sécurisée » que le site que vous consultez est sûr
Le site Cyberguerre reçoit régulièrement des témoignages de victimes de phishing (hameçonnage) qui ont entré leurs identifiants ou bien leur numéro de carte bancaire sur un site malveillant. Bon nombre d’entre elles expliquent qu’incitées par un email ou un SMS, elles ne se sont pas méfiées en se rendant sur la page piégée, car son URL commençait par « https ». Leur navigateur affichait un petit cadenas verrouillé, indiquant que la connexion était « sécurisée ». Mais la formulation est un peu piégeuse, car elle peut laisser croire que le site est systématiquement inoffensif.
Qu’est-ce qu’une liaison HTTPS ?
HTTPS désigne un « protocole de communication » sur internet. Concrètement, ce protocole définit et encadre la façon dont votre navigateur web (Edge, Chrome, Firefox, Safari…) va interagir avec le site que vous visitez. D’un bout à l’autre de la liaison sont envoyées toutes sortes d’informations, dans un sens comme dans l’autre. Par exemple, quand vous envoyez l’instruction pour afficher une page web et qu’en retour le site vous envoie l’URL demandée.
La particularité du HTTPS est qu’il chiffre les données qui circulent entre le site et votre navigateur.
Autrement dit, il transforme le contenu échangé en un code incompréhensible pour un tiers, mais qui devient limpide avec la bonne clé de déchiffrement. Imaginons que vous envoyiez votre mot de passe « j<3cYb3rgu3Rr3!! » au site que vous visitez, pour vous connecter à votre profil. Sans HTTPS, l’information circule en clair, sans protection. Avec, elle circulerait sous une forme obscure « a4brKn3bo3OfghBPDW78u ». Seuls votre navigateur et le site de destination peuvent déchiffrer ce contenu pour voir le mot de passe, grâce à un protocole d’échange établi préalablement entre les deux parties. Un pirate qui viendrait s’intercaler entre vous et le site web visité ne pourrait absolument rien intercepter de votre échange.
Pour mettre en place ce protocole, les gérants des sites doivent déployer un certificat SSL ou TLS (aussi appelé certificat HTTPS par abus de langage), qui indique que le site dispose d’une clé publique nécessaire aux chiffrements des échanges. À ses débuts, HTTPS n’était utilisé que sur des sites impliquant des données vraiment sensibles, comme la banque ou le commerce. L’achat d’un tel certificat était onéreux. Aujourd’hui, déployer un certificat HTTPS ne coûte rien ou presque, grâce à des initiatives comme Let’s Encrypt et les pirates peuvent en déployer des centaines par jour sur leurs sites frauduleux…
Le succès du HTTPS a été poussé par divers facteurs : les révélations d’Edward Snowden sur la surveillance en ligne, les efforts de Google pour favoriser l’adoption de cette sécurité, le coût d’achat de plus en plus bas des certificats, etc. Résultat, en France, plus de 95 % des connexions à des sites se font via ce protocole sécurisé. Les navigateurs, que ce soit Safari, Chrome, Firefox ou même Edge, multiplient également les initiatives en sa faveur.
Le HTTPS ne peut rien vous dire quant à la fiabilité des sites visités
Si le HTTPS protège votre connexion contre le vol des informations pendant leur voyage sur les réseaux, il ne vous préserve en aucune façon de l’envoi par mégarde d’informations à des personnes malveillantes qui utilisent ce type de certificat sur des sites frauduleux.
On peut voir ce cas de figure lorsqu’un particulier transmet ses informations personnelles et bancaires à un site malveillant qui se fait passer pour un site légitime (impôts, EDF, transporteur, etc). Le protocole HTTPS remplit bien son rôle en empêchant que des personnes tierces interceptent les informations, tandis qu’il achemine les données à bon port, mais ce n’est pas sa mission de dire si le site est entre les mains d’une personne légitime ou bien d’un escroc.
Heureusement, la majorité des antivirus édités aujourd’hui peuvent détecter les pages de sites frauduleux et en bloquer l’accès avant d’avoir pu y enregistrer nos informations sensibles.
Cependant, cette anticipation des antivirus n’est liée qu’à la « popularité » des faux sites : plus tôt un faux site aura été signalé par les internautes et plus vite les éditeurs intégreront sa signature dans leurs antivirus. Si vous êtes malheureusement l’une des premières personnes à tomber dans le piège d’un nouveau site frauduleux, alors votre antivirus risque de ne pas pouvoir vous prévenir
Il reste ne reste alors que la vigilance et le bon sens pour détecter les malveillances, puisqu’il est courant de dire que « en terme de sécurité informatique, le plus grand risque se situe entre la chaise et le clavier »
Les 3 conseils de Cyberguerre pour éviter le phishing
Vous avez peur de mordre à un phishing ? Dans la vaste majorité des cas, vous n’aurez qu’à suivre ces trois conseils de base pour les éviter.
Si les malfaiteurs peuvent faire appel à des ressorts techniques pour rendre leurs phishings convaincants, vous n’avez pas besoin de connaissances informatiques pour les déceler.
Nous pourrions vous conseiller de décortiquer l’orthographe des messages, et passer au crible l’adresse de l’expéditeur ou de faire attention aux liens contenus dans l’email. Mais dans la majorité des cas, vous n’aurez même pas besoin de faire ce genre d’évaluation du contenu. Il vous suffira de suivre nos trois conseils basiques pour ne pas vous faire piéger.
1. Soyez trop prudents, vous avez raison de vous méfier
Un email vous paraît étrange ? Et bien, vérifiez, systématiquement. Peut-être que dans 99 cas sur 100, votre méfiance sera exagérée, mais ce n’est pas un problème. Il suffit que cette méfiance vous permette de déjouer une seule arnaque pour que le temps investi à vérifier les autres emails soit rentabilisé.
Oui, vous allez sûrement perdre des dizaines de minutes cumulées que vous auriez pu passer à faire bien d’autres choses, mais ces minutes de vérification vous éviteront de perdre l’accès à vos comptes, de vous faire voler de l’argent ou, dans le pire des cas, de vous faire usurper votre identité en ligne.
Les malfaiteurs sont conscients que si vous doutez, leur manipulation à peu de chance d’aboutir. C’est pourquoi ils essaient quasi systématiquement de créer un sentiment d’urgence chez leurs victimes. Il faudrait vite répondre, ou la situation empirerait. Prenez donc le temps de douter, et de vérifier consciencieusement. Faites-vous confiance, et ne répondez ou ne cliquez pas si vous n’êtes pas convaincu de la légitimité du message. Vous y gagnerez sur le long terme. Si l’expéditeur est légitime, il trouvera un autre moyen de vous contacter ou de prouver sa bonne foi.
2. Demandez à Internet, vous trouverez les réponses
L’avantage d’Internet, c’est que si vous avez un doute sur la légitimité d’un message, vous ne serez certainement pas la première personne à douter de la sorte. La grande majorité des campagnes de phishings sont récurrentes, et certaines circulent depuis plus de 10 ans, et ont plusieurs articles et campagnes de préventions dédiés. C’est pourquoi déjouer un phishing peut se résoudre juste en tapant quatre mots-clés sur Google ou son moteur de recherche préféré.
Testez différentes requêtes : les premières phrases du message ; l’adresse de l’expéditeur de l’email ou une description générale du contenu du message. Vous devriez tomber sur des forums de consommateur truffés de témoignages, des associations expertes comme Signal Spam ou encore des avertissements émis par Cybermalveillance ou les forces de l’ordre. Ou peut-être que vous aboutirez sur Cyberguerre, où nous décortiquons les principales campagnes de phishing françaises. Au moindre signe qui confirmerait vos suspicions, passez votre chemin. En dernier recours, faites part de vos soupçons de phishing à un proche plus compétent que vous sur le sujet.
Dans le cas où le message étrange serait sur votre adresse d’entreprise, n’hésitez pas à le faire vérifier par votre responsable sécurité (RSSI), qui aura les compétences techniques pour le disséquer. Les pirates utilisent des phishings plus complexes que les phishings grand public pour viser les entreprises et autres organisations. Leur objectif : déployer des malwares extrêmement virulents comme les rançongiciels. Puisque vous ne voulez pas être la porte d’entrée d’un incident qui pourrait coûter des centaines de milliers d’euros à votre entreprise, appuyez-vous sur les ressources à votre disposition.
3. Passez par le site ou l’App officielle au lieu de cliquer
C’est sûrement le meilleur conseil de cette liste. En passant par les canaux de communication officiels (téléphone, site, app) du prétendu expéditeur du message, vous pourrez confirmer ou non sa légitimité sans risque.
Vous recevez un message étrange de l’Assurance Maladie ? Connectez-vous à votre espace en ligne, vous y retrouverez le message, s’il existe. Un email vous indique que vous allez être facturé pour une commande Darty que vous n’avez pas faite ? Appelez le service client de l’entreprise.
Pour connaître le site officiel, il suffit le plus souvent de taper le nom de l’organisation sur votre moteur de recherche. Faites cependant attention à ne pas cliquer sur les liens sponsorisés qui apparaissent en tête de la page. Même s’ils sont clairement identifiés comme publicitaires ou sponsorisés, ils peuvent cacher de faux services. Assurez-vous donc de cliquer sur un résultat du moteur de recherche.
Si vous suivez ces précautions, déceler les phishings n’est pas si compliqué. La difficulté réside plutôt dans la répétition des efforts : vous recevrez des milliers de phishings dans votre vie, mais une seule erreur suffit aux malfaiteurs.
Sources :
- Cyberguerre – Contre quoi protège vraiment le HTTPS ?
- Cyberguerre – 3 conseils pour éviter le phishing, même si vous êtes nul en informatique