HTTPS ou le cadenas du navigateur ne veulent pas dire que le site est fiable !
HTTPS ou le cadenas du navigateur ne veulent pas dire que le site est fiable ! |
Depuis plusieurs années j’entends des « professionnels » de l’informatique recommander à leur client de bien vérifier la présence d’un cadenas ou d’une adresse qui commence par « https » lorsqu’ils échangent des données sensibles (mots de passe, numéros de CB…). Sans autre conseil, selon Denis JACOPINI, cette recommandation ne vaut rien.
Le Net Expert : Qu’indiquent le Cadenas ou le S de httpS ? Denis JACOPINI : Le protocole HTTPS (HyperText Transfer Protocol Secure) est la combinaison du HTTP avec un protocole de chiffrement tel que le TLS ou le SSL. Il est particulièrement utilisé sur le Web par les réseaux sociaux et dans les secteurs bancaires et de l’e-commerce pour sécuriser les pages sensibles (page d’authentification, mon compte, page de paiement).
Le Net Expert : Qu’apporte alors la sécurité du HTTPS ou du cadenas ? D. J. : Lorsqu’on navigue sur un site dont l’URL (l’adresse internet) commence par « HTTPS » (par exemple https://www.lenetexpert.fr), ceci ne veut pas dire que le site internet est de confiance ou fiable. Cela signifie simplement que la communication entre votre ordinateur et le site Internet sera chiffrée (cryptée) afin qu’un espion ou un pirate connecté sur votre Wifi ou votre LAN avec des outils d’espionnage numérique (un sniffer ou un Main In The Middle) ne puisse « écouter » ou « capter » le contenu de l’échange. Ceci garanti la confidentialité des échanges entre votre ordinateur et le site Internet et seulement la confidentialité entre votre ordinateur et le site Internet, ni la confiance, ni autre chose. Il n’y a aucun rapport entre la présence d’un https et la confiance que l’on peut accorder à un site Internet et d’ailleurs, il existe une multitude de moyens de créer une page web accessible via une URL ayant la sécurité https.
Ainsi, la présence d’un https ou d’un cadenas ne devrait pas être suffisant pour être un cyberacheteur confiant. D’autres éléments devraient être utilisés tels que l’existence d’avis sur le site Internet, l’absence de réponse à la recherche du « nom du site Internet » accolé au mot « arnaque » (sauf si c’est un site qui justement traite des arnaques !). De plus, une recherche sur le nom de domaine à partir de « whois.com » devrait vous donner des indications sur l’ancienneté du nom de domaine, l’adresse du propriétaire du nom de domaine qui devrait coïncider avec le propriétaire de la boutique dans laquelle vous vous apprêtez à faire vos achats. Enfin, une boutique en français affichant des conditions générales de ventes en français indiquant que le site internet est soumis à la loi française avec un numéro SIRET facilement vérifiable sur « societe.com »et une rubrique destinée à la protection des données personnelles a de grandes chances de vous assurer une certaine tranquillité. Tout comme dans le monde des boutiques physiques il existe des cybercommerçants sérieux et fiables mais si vous devez acheter un produit sur Internet et que vous le trouvez sur une boutique moins cher que partout ailleurs, posez-vous des questions. Privilégiez les boutiques de confiance dont le siège social est en France (vous protégeant ainsi par les lois françaises très protectrices des consommateurs). A moins de passer par un tiers de confiance, évitez d’acheter sur les boutiques internet situées dans des pays étrangers en dehors de l’Europe. En cas de litige, risque d’être difficile la contestation. Certes avoir un cadenas sur votre navigateur et une adresse internet avec un https sont essentiels pour communiquer des informations confidentielles telles que des mots de passe ou des coordonnées de cartes bancaires mais la réputation de la boutique ou sa situation géographique sont des éléments tout aussi importants.
Les informations contenues dans nos publications sont destinées à vous sensibilisées et augmenter votre niveau de prudence et en aucun cas dans un but de vous inciter à les utiliser dans un but malveillant.
LE NET EXPERT
Besoin d’un Expert ? contactez-nousNotre Expert, Denis JACOPINI, est assermenté, spécialisé en Cybercriminalité, Recherche de preuves et en Protection des données personnelles. Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), en Droit de l’Expertise Judiciaire et certifié en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005), Denis JACOPINI est aussi formateur inscrit auprès de la DDRTEFP (Numéro formateur n°93 84 03041 84).
|
Source : Denis JACOPINI