Les sites avec certificat SSL, équipés d’un verrou vert et d’un protocole HTTPS sont considérés comme des « sites sécurisés ». Cette certitude fait penser que, lors de la saisie des coordonnées bancaires ou des identifiants et mots de passe dans ces environnements, ils ne sont pas en danger. Cependant, la technologie des certificats numériques ne fonctionne pas exactement comme ça et une « connexion sécurisée » (le vrai sens de cette signalisation) n’implique pas un site idem. Oui, il existe des sites malveillants avec un certificat numérique légitime.
Qu’est-ce que le certificat SSL ?
La présence de sites avec HTTPS ne fait que croître, car le protocole est devenu la norme sur Internet. En effet, Google (propriétaire du navigateur le plus populaire) décourage les sites non chiffrés depuis le lancement de Chrome 68, qui signale toutes les pages HTTP comme « non sécurisées », déclenchant une course à la certification. La plupart des propriétaires ne veulent pas que Google classe leurs sites comme dangereux, et la migration vers HTTPS est une question de temps. Taper des données sensibles dans n’importe quel environnement en ligne sans le « S » reste de toute façon une mauvaise idée.
Le certificat SSL (Secure Socket Layer) est un fichier de données qui relie numériquement une clé cryptée à une entreprise. Lorsqu’il est installé sur un serveur, SSL active le cadenas et le protocole HTTPS sur un site Web, offrant des « connexions sécurisées » entre le serveur Web et l’appareil. Éviter, par exemple, l’interception de données. « SSL est la technologie de sécurité standard pour établir une connexion cryptée entre un serveur Web et un navigateur.
Comment fonctionne la certification numérique ?
Une connexion certifiée SSL est toujours initiée par le client. Lorsqu’un utilisateur du navigateur demande à se connecter à un site Web sécurisé, le navigateur (quel qu’il soit, Chrome, Firefox, Safari, etc.) demande l’envoi du “Certificat numérique” et vérifie qu’il est valide, à jour, et appartient au site Web en question. Dans ce cas, l’URL commencera par HTTPS. Cela offre une garantie de sécurité https pour l'utilisateur.
Le problème avec HTTPS
Le problème est que les verrous verts, HTTPS dans l’URL et les certificats SSL eux-mêmes n'offre pas pour autant une garantie de sécurité https. Une page de phishing peut obtenir un certificat numérique, présenter le “verrou” et crypter le flux d’informations avec une “connexion sécurisée”. Le verrou garantit simplement que personne ne peut espionner les données échangées, mais vos informations peuvent toujours être volées par celui qui a créé ou géré la page.
Une enquête de la même année révèle que plus de 80 % des utilisateurs pensent que la présence du cadenas signifie que le site est sûr, et les personnes malveillantes le savent très bien. En l’absence de HTTPS et de cadenas, le navigateur peut signaler le site comme dangereux, empêcher l’accès ou permettre à l’utilisateur de le suivre tant qu’il est conscient qu’il s’expose.