Conditionné pour voir les sites avec certificat SSL ? avec un cadenas vert et le protocole HTTPS ? as“sites sécurisés”. Cette certitude, fait penser aux gens qu’en entrant des coordonnées bancaires ou des identifiants et des mots de passe dans ces environnements, ils ne sont pas en danger. Cependant, la technologie des certificats numériques ne fonctionne pas exactement comme cela et une “connexion sécurisée” (véritable signification de cette signalisation) n’implique pas un site idem. Oui, il existe des sites malveillants avec des certificats numériques légitimes.
La présence de sites HTTPS ne fait que croître à mesure que le protocole est devenu la norme sur Internet, car Google (propriétaire du navigateur le plus populaire) décourage les sites non cryptés depuis la sortie de Chrome 68, qui signale toutes les pages HTTP comme “non sûres”, provoquant une course à la certification. La plupart des propriétaires ne veulent pas que Google classe leurs sites comme peu sûrs, et migrer pour utiliser le HTTPS est une question de temps. Saisir des données sensibles dans n’importe quel environnement en ligne sans le “S” reste de toute façon une mauvaise idée.
Sommaire
Qu’est-ce que le certificat SSL ?
Le certificat SSL (Secure Socket Layer) est un fichier de données qui relie numériquement une clé cryptée à une entreprise. Lorsqu’il est installé sur un serveur, le protocole SSL active le verrou et le protocole HTTPS sur un site web, fournissant ainsi des “connexions sécurisées” entre le serveur web et le dispositif. En évitant, par exemple, l’interception des données.
“SSL est la technologie de sécurité standard pour établir une connexion cryptée entre un serveur web et un navigateur. Cette connexion garantit que toutes les données transmises entre le serveur web et votre navigateur [identifiants et mots de passe, coordonnées bancaires, numéros de carte de crédit et inscriptions] restent privées”, définit o SSL.com.
Comment fonctionne la certification numérique ?
Une connexion certifiée SSL est toujours initiée par le client. Lorsqu’un utilisateur de navigateur demande une connexion à un site sécurisé, le navigateur (quel qu’il soit, Chrome, Firefox, Safari, etc.) demande le “certificat numérique” et vérifie qu’il est valide, à jour et appartient au site en question. Dans ce cas, l’URL commencera par HTTPS.
Le problème du HTTPS
Le problème est que les verrous verts, le HTTPS dans l’URL et les certificats SSL eux-mêmes ne disent rien sur le site. Une page de phishing peut obtenir un certificat numérique, afficher le “cadenas” et crypter le flux d’informations grâce à une “connexion sécurisée”. Le verrou garantit simplement que personne ne peut espionner les données échangées, mais vos informations peuvent toujours être volées par celui qui a créé ou gère la page.
80% des utilisateurs pensent être en sécurité avec le HTTPS
Les hameçonneurs ? les escrocs du phishing ? le savent très bien. Selon Phishlabs, un quart des attaques de ce type en 2017 se sont produites sur des sites HTTPS. En outre, une enquête réalisée la même année révèle que plus de 80 % des utilisateurs estiment que la présence de l’écluse signifie que le site est sûr, ce qui ajoute du carburant.
En cas d’absence de HTTPS et de verrouillage, le navigateur peut signaler le site comme dangereux, en empêcher l’accès ou permettre à l’utilisateur de le suivre tant qu’il sait qu’il s’expose. En cas de fraude, un cadenas avec un “X” rouge peut apparaître accompagné des lettres HTTPS de la même couleur. Cela signifie que le site possède le certificat mais qu’il est expiré ou qu’il n’y a aucune garantie que le domaine appartient à l’entreprise indiquée sur la page. C’est le cas le plus suspect et le plus perceptible visuellement.
Comment les sites de phishing obtiennent le HTTPS
Lors de la 8e conférence des analystes de sécurité Kaspersky Lab Amérique latine* qui s’est tenue à Panama City les 13 et 14 août, la société de sécurité a détaillé le processus par lequel les hameçonneurs peuvent obtenir des certificats légitimes. La France reste le leader absolu dans le classement (mondial et régional) de cette attaque.
“Aujourd’hui, il est trivial, gratuit et facile pour le criminel d’enregistrer un domaine, de mettre un site de phishing à l’antenne, de mener une campagne, et le site possède un certificat numérique. Le site est équipé d’un HTTPS”, a déclaré Fábio Assolini, analyste principal de la sécurité à Kaspersky Lab.
“Ce qui a rendu leur travail tellement plus facile a été Let’s Encrypt, une initiative très légale qui donne une certification numérique à ceux qui ne veulent pas [ou ne peuvent pas] payer. Il existe des certificats numériques qui sont très coûteux. Beaucoup en profitent, y compris le criminel”, a-t-il ajouté.
Qu’est-ce que Let’s Encrypt ?
Let’s Encrypt est une autorité de certification numérique qui fournit des certificats de cryptage gratuits par le biais d’un processus automatisé. L’automatisation vise à éliminer la complexité des processus de création, de validation, d’installation et de renouvellement des certificats. Le scénario, sans vérification spécifique, favorise les escrocs.
Dans un post de 2015, sans mise à jour sur le sujet, Let’s Encrypt n’était pas déterminé à faire des changements : “Décider de ce qu’il faut faire ici a été difficile. D’une part, nous n’aimons pas ces sites plus que quiconque, et notre mission est de contribuer à créer un web plus sûr et plus sécurisé. D’autre part, nous ne sommes pas sûrs que la délivrance de certificats (au moins pour la validation du domaine) soit le bon niveau pour la police des sites de phishing et de malware”. Depuis lors, le nombre de cas d’hameçonnage a augmenté.
“Lorsque le certificat a été créé, l’intention était la suivante : vous êtes sur un vrai site parce que la société qui a vendu les certificats a déclaré qu’elle ne vendrait qu’à celui qui possède réellement un site légitime. Mais au fil du temps, cela s’est déformé. Aujourd’hui, il se vend à tout le monde, et que tout le monde va faire du phishing”, conclut Assolini.
En bref, certificat, cadenas et “S” signifient que la transmission entre vous et le site est cryptée et que le certificat a été émis par une autorité SSL. Toutefois, cela n’empêche pas les sites HTTPS d’être malveillants ou l’autorité d’en connaître le contenu. Il peut également arriver que la clé de cryptage privée du site se déverse sur le web.
Et maintenant ?
Méfiance. Ne saisissez jamais d’informations de connexion et de mots de passe (provenant d’applications, de courriers électroniques et de réseaux sociaux), de références bancaires (et de numéros de cartes de crédit) ou d’autres données personnelles (inscriptions en général) sur des sites que vous ne connaissez pas. Vérifiez le nom de domaine ? les faux sites peuvent différer de l’original d’une seule lettre et si les liens sont fiables avant de cliquer. Les systèmes antivirus analysent les URL à partir d’une liste exhaustive de sites de phishing et détectent les résultats, quel que soit le degré de sécurité du site.
*Le journaliste s’est rendu au Panama à l’invitation de Kaspersky
