Un site avec un verrou de sécurité n’est pas nécessairement légitime : cette icône dans la barre d’adresse indique seulement que la connexion entre vous et le serveur est privée (mais vous pouvez aussi avoir une connexion privée avec le diable). Et le cabinet de conseil en sécurité PhishLabs l’a clairement indiqué : une enquête montre que 49% des sites de phishing au troisième trimestre 2018 affichaient un tel verrou.
Selon l’enquête, les criminels ont adopté plus fréquemment le verrouillage de sécurité sur les sites dont le but est d’appliquer des escroqueries de phishing pour voler des mots de passe, des données bancaires et d’autres informations sensibles. Il y a un an, le verrou n’était présent que sur 25 % des sites web malveillants ; au deuxième trimestre 2018, ce taux est passé à 35 %.
C’est inquiétant car la plupart des gens font confiance à l’écluse pour déterminer la légitimité d’un site : plus de 80 % croient en cette vieille (et mauvaise) recommandation de sécurité, malgré les efforts des navigateurs pour briser le mythe. Le chrome, par exemple, n’affiche plus le mot “Safe” lorsqu’un site est HTTPS ; à l’avenir, même le verrou de sécurité ne sera plus affiché.
Des techniques plus élaborées peuvent tromper même des utilisateurs attentifs : Krebs sur Security découverte d’un site avec le domaine b?box.com qui montre le verrou. Il passe par une page de connexion pour voler les mots de passe des utilisateurs de Bibox, une maison d’échange de devises cryptées. Et la preuve que l’astuce fonctionne est que vous n’avez probablement pas réalisé que le domaine ci-dessus est différent de bibox.com.
Alors que les cybercriminels continuent d’améliorer leurs techniques, la meilleure forme de protection consiste toujours à se méfier de tout ? en particulier des pages qui vous demandent votre mot de passe à partir de rien.
