Le sigle HTTPS n’est plus un gage de sécurité pour un site web

Le protocole de communication sécurisé HTTPS est devenu une formalité pour les arnaqueurs qui veulent créer l’illusion parfaite. Un expert en cybersécurité nous recommande les bonnes mesures à prendre.

Généralement, la première chose que l’on regarde pour savoir si un site est fiable, c’est son URL. Si celle-ci contient le sigle « https » avant le nom de domaine, on se sent déjà plus en sécurité. Votre navigateur vous conforte dans ce choix en indiquant que la connexion est sécurisée, avec un symbole de cadenas pour Chrome par exemple. Le nom du site ne contient aucune faute, le design a visiblement été réalisé par un professionnel, et pourtant c’est bien un escroc qui se cache derrière cette page.

Les arnaqueurs se sont adaptés au niveau de vigilance des internautes. Le sigle HTTPS est devenu une nécessité pour tromper les victimes, puisque le navigateur vous prévient en cas de soupçons.

Pour faire court, le protocole HTTP (abréviation de protocole de transfert hypertexte) rend possibles les échanges de données entre un client et un serveur, entre un site web et un navigateur. Un stade de sécurité peut être ajouté en installant un certificat SSL (Secure Socket Layer). L’HTTPS est activé et les échanges avec le serveur sont dès lors chiffrés.

On peut donc se connecter au site d’un pirate, contenant des logiciels malveillants. La seule chose que le protocole garantit, c’est que la communication est sécurisée. Plusieurs mails catégorisés comme « spam » que nous avons reçus, nous demandant nos identifiants bancaires, détiennent le fameux certificat.

« Un site de phishing ne veut pas être référencé »

Sommes-nous condamnés à ne jamais être totalement sûrs que nous sommes sur le bon site ? En quelque sorte oui, mais des situations sont bien plus dangereuses que d’autres. Interrogé par Numerama, Arnaud Lemaire, directeur technique chez F5, une société américaine de cybersécurité, nous recommande par exemple de « ne jamais cliquer sur le lien intégré dans un mail. On tire un trait sur le côté instantané, mais il vaut toujours mieux se rendre sur le site depuis un navigateur et chercher soi-même l’information sur son compte plutôt que tomber dans le piège ».

Il ajoute que même un site officiel peut-être infecté : « l’attaquant va tenter de récupérer du contenu depuis un fournisseur tiers de données grâce aux cookies, comme un annonceur publicitaire ».

Faire sa recherche sur les premières pages de Google sera toujours moins risqué. « Un site de phishing ne veut absolument pas être référencé. D’abord ce sont généralement des plateformes éphémères liées à une campagne. Ensuite les entreprises que les attaquants veulent usurper traquent les arnaques. Le groupe souscrit à un service de sécurité qui va détecter et alerter le navigateur de l’existence de ce danger. »

Dernièrement, les tensions sur le plan international ont poussé les hackers à copier les sites des fournisseurs d’énergie. Comme indiqué précédemment, on vous recommande de ne pas vous aventurer sur les offres que vous recevez par mail.