En mai dernier, Google avait annoncé comment l’adoption par défaut de HTTPS en lieu et place de HTTP se ferait sur son navigateur Chrome. On apprenait donc que Chrome n’allait bientôt plus afficher le label « Sécurisé » pour les sites HTTPS. Au lieu de ça, le navigateur estampillera systématiquement tous les sites HTTP comme étant non sécurisés. Cette modification traduit les efforts constants de Google depuis plusieurs années pour faire passer Internet sous HTTPS. Le moins que l’on puisse dire, c’est que cette préoccupation qui amène l’entreprise à vouloir sécuriser Internet est partagée par plus d’un. Troy Hunt, un expert australien connu pour ses activités de sensibilisation sur des sujets liés à la sécurité, fait partie de ceux qui, comme Google, ont estimé que la migration vers HTTPS est plus que nécessaire.
En effet, déjà en janvier dernier, l’expert australien avait expliqué que l’adoption de HTTPS avait dépassé le « point de basculement » et « deviendrait très prochainement la norme ». Ses dires semblent réellement se vérifier puisque depuis janvier, le pourcentage de pages Web chargées sur HTTPS est passé de 52 % à 71 %. La proportion du million de sites le plus important du monde redirigeant les utilisateurs vers HTTPS serait également passée de 20 % à presque 50 %. Cette adoption générale plutôt rapide a été motivée par la recrudescence d’avertissements sur les navigateurs (Chrome et Firefox, principalement), des certificats plus facilement accessibles et une prise de conscience grandissante des internautes concernant les risques inhérents à la navigation non sécurisée.
La présence du HTTPS ou du cadenas sur un site web, en occurrence les sites de commerce électronique, rassurent les visiteurs contre les pièges de phishing ou de logiciels malveillants. Malheureusement, cela ne suffit plus pour être à l'abri d'une arnaque. Une nouvelle étude indique que la moitié des escroqueries par hameçonnage sont désormais hébergées sur des sites Web dont l'adresse Internet inclut le cadenas et commence par « https:// ». Selon les récentes données de PhishLabs, une entreprise qui aident les organisations à se protéger contre les cyberattaques visant leurs employés et leurs clients, 49 % de tous les sites de phishing au troisième trimestre de 2018 sont en HTTPS en regard du nom de domaine du site de phishing tel qu'il apparaît dans la barre d'adresse du navigateur. Cela représente une hausse de 25 % il y a un an et de 35 % au deuxième trimestre de 2018.
Ce changement alarmant est remarquable car la majorité des internautes pensent qu'il faut se référer au verrou, ou au HTTPS, pour être sûr qu'il s'agit d'un site légitime. Une enquête menée par PhishLabs l'année dernière aurait révélé que plus de 80 % des personnes interrogées pensaient que le cadenas vert indiquait qu'un site Web était soit légitime, soit sûr. Mais il en est rien. Brian Krebs, un journaliste américain spécialiste en cybersécurité, explique qu'en réalité, « la partie "https://" de l'adresse (également appelée « Secure Sockets Layer » ou SSL ) signifie simplement que les données échangées entre votre navigateur et le site sont cryptées et ne peuvent pas être lues par des tiers. La présence du cadenas ne signifie pas que le site est légitime et ne prouve pas non plus que le site a été protégé contre l'intrusion de pirates informatiques ».
La majeure partie des sites de filoutage ont déjà adoptés le HTTPS. John LaCour, directeur technique de PhishLabs, pense que cela peut être attribué « à l'utilisation continue de certificats SSL par ces sites qui enregistrent leurs propres noms de domaine et en créent des certificats, ainsi qu'à une augmentation générale de SSL due au navigateur Google Chrome affichant désormais « Non sécurisé » pour les sites Web qui n’utilisent pas le protocole SSL. En fin de compte, la présence ou l'absence de SSL ne vous dit rien sur la légitimité d'un site ». Certains sites d'hameçonnage vont jusqu'à créer une confusion visuelle au niveau de l'adresse même du site qu'ils imitent en tirant parti des noms de domaine internationalisés (IDN) ; ce qui est extrêmement difficile à distinguer dans une barre d'adresse URL.
Les internautes confirment le fait que les utilisateurs ont une confiance erronée aux sites HTTPS dans la mesure où, étant donné qu’un navigateur ne les avertit pas à propos d’un site, et qu’il dispose d’un cadenas sécurisé, ils pensent qu'il est sécurisé. Certains accusent les navigateurs de ces faits en disant que ce n’est pas à eux de forcer les sites Web à être sécurisés. D'autres ont proposé que la seule solution est de sensibiliser davantage de personnes sur ce problème.
Source : Billet de blog
Et vous ?
Qu'en pensez-vous ?
Que proposeriez-vous pour lutter contre les sites de phishing sur Internet ?
Comment pourrait-on garantir l'authenticité d'un site Web en ligne selon vous ?
Voir aussi
Le protocole HTTPS en danger ? L'algorithme RCA qu'il utilise pour le chiffrement cassé par des chercheurs pour SSL/TLS
Pourquoi devriez-vous faire migrer vos sites statiques de HTTP vers HTTPS ? Voici les raisons avancées par un expert en sécurité Web
Chrome ne va plus afficher le label « Sécurisé » pour les connexions HTTPS à compter de septembre 2018
La moitié des sites de phishing sont en HTTPS
Alors que pour les internautes, le HTTPS indique qu'il s'agit d'un site légitime
La moitié des sites de phishing sont en HTTPS
Alors que pour les internautes, le HTTPS indique qu'il s'agit d'un site légitime
Le , par Bill Fassinou
Une erreur dans cette actualité ? Signalez-nous-la !