La moitié des sites de phishing sont en HTTPS
Alors que pour les internautes, le HTTPS indique qu'il s'agit d'un site légitime

Le , par Bill Fassinou, Chroniqueur Actualités
En mai dernier, Google avait annoncé comment l’adoption par défaut de HTTPS en lieu et place de HTTP se ferait sur son navigateur Chrome. On apprenait donc que Chrome n’allait bientôt plus afficher le label « Sécurisé » pour les sites HTTPS. Au lieu de ça, le navigateur estampillera systématiquement tous les sites HTTP comme étant non sécurisés. Cette modification traduit les efforts constants de Google depuis plusieurs années pour faire passer Internet sous HTTPS. Le moins que l’on puisse dire, c’est que cette préoccupation qui amène l’entreprise à vouloir sécuriser Internet est partagée par plus d’un. Troy Hunt, un expert australien connu pour ses activités de sensibilisation sur des sujets liés à la sécurité, fait partie de ceux qui, comme Google, ont estimé que la migration vers HTTPS est plus que nécessaire.

En effet, déjà en janvier dernier, l’expert australien avait expliqué que l’adoption de HTTPS avait dépassé le « point de basculement » et « deviendrait très prochainement la norme ». Ses dires semblent réellement se vérifier puisque depuis janvier, le pourcentage de pages Web chargées sur HTTPS est passé de 52 % à 71 %. La proportion du million de sites le plus important du monde redirigeant les utilisateurs vers HTTPS serait également passée de 20 % à presque 50 %. Cette adoption générale plutôt rapide a été motivée par la recrudescence d’avertissements sur les navigateurs (Chrome et Firefox, principalement), des certificats plus facilement accessibles et une prise de conscience grandissante des internautes concernant les risques inhérents à la navigation non sécurisée.


La présence du HTTPS ou du cadenas sur un site web, en occurrence les sites de commerce électronique, rassurent les visiteurs contre les pièges de phishing ou de logiciels malveillants. Malheureusement, cela ne suffit plus pour être à l'abri d'une arnaque. Une nouvelle étude indique que la moitié des escroqueries par hameçonnage sont désormais hébergées sur des sites Web dont l'adresse Internet inclut le cadenas et commence par « https:// ». Selon les récentes données de PhishLabs, une entreprise qui aident les organisations à se protéger contre les cyberattaques visant leurs employés et leurs clients, 49 % de tous les sites de phishing au troisième trimestre de 2018 sont en HTTPS en regard du nom de domaine du site de phishing tel qu'il apparaît dans la barre d'adresse du navigateur. Cela représente une hausse de 25 % il y a un an et de 35 % au deuxième trimestre de 2018.

Ce changement alarmant est remarquable car la majorité des internautes pensent qu'il faut se référer au verrou, ou au HTTPS, pour être sûr qu'il s'agit d'un site légitime. Une enquête menée par PhishLabs l'année dernière aurait révélé que plus de 80 % des personnes interrogées pensaient que le cadenas vert indiquait qu'un site Web était soit légitime, soit sûr. Mais il en est rien. Brian Krebs, un journaliste américain spécialiste en cybersécurité, explique qu'en réalité, « la partie "https://" de l'adresse (également appelée « Secure Sockets Layer » ou SSL ) signifie simplement que les données échangées entre votre navigateur et le site sont cryptées et ne peuvent pas être lues par des tiers. La présence du cadenas ne signifie pas que le site est légitime et ne prouve pas non plus que le site a été protégé contre l'intrusion de pirates informatiques ».

La majeure partie des sites de filoutage ont déjà adoptés le HTTPS. John LaCour, directeur technique de PhishLabs, pense que cela peut être attribué « à l'utilisation continue de certificats SSL par ces sites qui enregistrent leurs propres noms de domaine et en créent des certificats, ainsi qu'à une augmentation générale de SSL due au navigateur Google Chrome affichant désormais « Non sécurisé » pour les sites Web qui n’utilisent pas le protocole SSL. En fin de compte, la présence ou l'absence de SSL ne vous dit rien sur la légitimité d'un site ». Certains sites d'hameçonnage vont jusqu'à créer une confusion visuelle au niveau de l'adresse même du site qu'ils imitent en tirant parti des noms de domaine internationalisés (IDN) ; ce qui est extrêmement difficile à distinguer dans une barre d'adresse URL.

Les internautes confirment le fait que les utilisateurs ont une confiance erronée aux sites HTTPS dans la mesure où, étant donné qu’un navigateur ne les avertit pas à propos d’un site, et qu’il dispose d’un cadenas sécurisé, ils pensent qu'il est sécurisé. Certains accusent les navigateurs de ces faits en disant que ce n’est pas à eux de forcer les sites Web à être sécurisés. D'autres ont proposé que la seule solution est de sensibiliser davantage de personnes sur ce problème.

Source : Billet de blog

Et vous ?

Qu'en pensez-vous ?
Que proposeriez-vous pour lutter contre les sites de phishing sur Internet ?
Comment pourrait-on garantir l'authenticité d'un site Web en ligne selon vous ?

Voir aussi

Le protocole HTTPS en danger ? L'algorithme RCA qu'il utilise pour le chiffrement cassé par des chercheurs pour SSL/TLS

Pourquoi devriez-vous faire migrer vos sites statiques de HTTP vers HTTPS ? Voici les raisons avancées par un expert en sécurité Web

Chrome ne va plus afficher le label « Sécurisé » pour les connexions HTTPS à compter de septembre 2018


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de vanquish vanquish - Membre éprouvé https://www.developpez.com
le 28/11/2018 à 8:38
Que les connexion chiffré devienne la norme est une bonne chose, mais la politique de Google en matière de signalisation de la sécurité est débile : il y a plusieurs niveaux de certificats et ces niveaux sont important en matière de sécurité.

Il n'y a qu'à aller sur paypal.com sur Firefox et sur Chrome et voir la différence au niveau du cadenas.

Sur Chrome, pour être certain que je suis bien sur le vrai paypal, il faut cliquer sur le cadenas et s'y connaitre en matière d'autorité de certification.
C'est un non sens.
Avatar de Uther Uther - Expert éminent https://www.developpez.com
le 28/11/2018 à 9:25
De manière générale, la faute est aussi aux formateurs qui ont répandu pendant des années le mythe que le cadenas était une protection contre le phising alors que ça n'a jamais été le cas.
Avatar de spyserver spyserver - Membre averti https://www.developpez.com
le 28/11/2018 à 13:04
Pour moi le protocole HTTPS n'indique pas seulement qu'on utilise du SSL à la base, il y a aussi une notion d'autorité et de tiers de confiance qui a été complètement bafoué par l'approbation d'autorité comme Let's Encrypt par les autorités racines ou encore certaines autorité chinoises qui donnent des certifs sans aucune vérification, le vrai problème est la pour moi, si les certificats des sites de Phishing ne sont pas approuvés par les autorités racines, le cadenas n'apparaitrai pas et on se rapprocherai du fonctionnement nominal du HTTPS ...
Avatar de Dodfr2 Dodfr2 - Futur Membre du Club https://www.developpez.com
le 28/11/2018 à 14:32
En même temps comme une grande partie des pages de phishing sont hébergées au sein de sites qui ont été piratés et que beaucoup de sites basculent en HTTPS les pages pirates beneficient du même coup du fameux cadenas si mal interprété dans sa signification.

La faute aux médias qui clament régulièrement "si vous avez le cadenas c'est que c'est ok" et qui n'ont clairement pas compris que seule la communication entre le client et le serveur sera privée et sécurisée, mais pas ce que le serveur contient et la confiance à apporter à ce contenu !
Avatar de diabolos29 diabolos29 - Membre confirmé https://www.developpez.com
le 28/11/2018 à 15:08
Citation Envoyé par spyserver Voir le message
Pour moi le protocole HTTPS n'indique pas seulement qu'on utilise du SSL à la base, il y a aussi une notion d'autorité et de tiers de confiance qui a été complètement bafoué par l'approbation d'autorité comme Let's Encrypt par les autorités racines ou encore certaines autorité chinoises qui donnent des certifs sans aucune vérification, le vrai problème est la pour moi, si les certificats des sites de Phishing ne sont pas approuvés par les autorités racines, le cadenas n'apparaitrai pas et on se rapprocherai du fonctionnement nominal du HTTPS ...
Let's Encrypt, en proposant des certificats gratuits, a quand même permis de démocratiser l'emploi du HTTPS. Il fallait débourser des sommes importantes avant pour avoir la même chose. Maintenant, le web est chiffré, c'est le standard et c'est tant mieux.

Je ne pense pas que cette notion d'autorité soit réellement bafouée, pas plus que celle de tiers de confiance. Je pense plutôt qu'avant l'apparition de Let's Encrypt et des autres, seuls quelques sites légitimes disposaient de certificats pouvant remonter aux autorités connues des navigateurs. Ce n'était pas viable financièrement pour les acteurs malveillants de générer des milliers de certificats à la volée. Dans cette situation, avoir HTTPS et le petit cadenas vert dans l'URL revenait à dire que le site visité était légitime et pourtant, c'était déjà une sur-interprétation de ce qu'HTTPS est sensé apporter. Une mauvaise habitude qui a continué à se perpétuer en somme.

En fait, ça dit simplement que pour le navigateur, le certificat du site (et lui seul) est valide et de confiance. D'ailleurs même un certificat acheté en bonne et due forme ne garantit pas que le domaine auquel il est rattaché va servir ou non à du phishing.
Avatar de Uther Uther - Expert éminent https://www.developpez.com
le 28/11/2018 à 17:17
Citation Envoyé par spyserver Voir le message
Pour moi le protocole HTTPS n'indique pas seulement qu'on utilise du SSL à la base, il y a aussi une notion d'autorité et de tiers de confiance
Tu te trompes sur la fonction primaire d'un tiers de confiance. Le rôle premier d'un tiers de confiance n'est pas de contrôler l'identité physique mais de permettre qu'un tiers malveillant n'interfère pas dans l'échange de clés publiques. La vérification de l'identité est une fonctionnalité annexe.

Citation Envoyé par spyserver Voir le message
qui a été complètement bafoué par l'approbation d'autorité comme Let's Encrypt par les autorités racines
Les certificats OV et EV, qui fournissent des informations sur la société, n'ont jamais été la norme unique. Toutes les autorités de certifications ont toujours délivré des certificats de type DV (qui valident le domaine uniquement). Comme ils offrent moins de garanties, c'était déjà les moins chers. Let's encrypt les a juste rendu gratuits.

Citation Envoyé par spyserver Voir le message
ou encore certaines autorité chinoises qui donnent des certifs sans aucune vérification
Tu as des cas précis en tête, parce que, les autorités qui attribuent les certificats OV ou EV sans faire les vérifications adéquates risquent gros si c'est découvert. C'est notamment le cas de DigiNotar et des filiales de Symantec qui ont été retirées des navigateurs, ce qui a provoqué la faillite du premier.

Citation Envoyé par spyserver Voir le message
le vrai problème est la pour moi, si les certificats des sites de Phishing ne sont pas approuvés par les autorités racines, le cadenas n'apparaitrai pas et on se rapprocherai du fonctionnement nominal du HTTPS ...
Sauf que ce que tu décris n'est justement pas le fonctionnement nominal du https. Que tu le veuille ou non, le https seul n'a jamais garanti l'identité du site ou tu te connecte.
Avatar de spyserver spyserver - Membre averti https://www.developpez.com
le 29/11/2018 à 9:06
Mais c'est bien la tout le problème, des champs existent pour assurer l'identité d'un site mais vous indiquez qu'ils ne sont pas controlés ou pire pas renseignés pour les certificats gratuits ... en gros si le HTTPS garantie uniquement l'identité d'un serveur vis à vis du client mais que ce serveur n'est pas ce qu'il indique être en terme de contenu, pour vous tout est ok, et bien non, le HTTPS doit vérifié l'identité physique bien entendu et cette vérification doit être effectué par l'autorité de confiance justement ...
Ca marchait très bien avant Let's encrypt je vois pas pourquoi on pourrait pas revenir en arrière ... et oui la sécurité à un cout mais ça fait parti du jeu et pour ce qui est des certificats délivrés gratuitement, il faudrait les distinguer visuellement dans le navigateur, exemple : rouge -> HTTP, orange -> HTTPS avec identité non vérifiée, vert ->HTTPS avec identité confirmée (Paypal, Facebook,etc.)
Avatar de Uther Uther - Expert éminent https://www.developpez.com
le 29/11/2018 à 10:06
Citation Envoyé par spyserver Voir le message
Mais c'est bien la tout le problème, des champs existent pour assurer l'identité d'un site mais vous indiquez qu'ils ne sont pas controlés ou pire pas renseignés pour les certificats gratuits ...
Il y a toujours eu 3 type de certificats pour https:
- DV (Domain Validation) : Valide uniquement que la connexion au domaine ne peut être usurpée. Comme ils ne requièrent pas de vérification légales, ils sont peu cher et rapide à obtenir, encore plus depuis Let's Encrypt.
- OV (Organisation Validation) : Fournis en plus quelques info légales sur l'organisation qui a demandé le certificat.
- EV (Organisation Validation) : Fournit des information légales supplémentaire qui requièrent une vérification plus poussée, il sont donc plus cher et long a obtenir, mais ils permettent d'avoir le nom de la société affiché directement dans la barre d'adresse.

Citation Envoyé par spyserver Voir le message
mais que ce serveur n'est pas ce qu'il indique être en terme de contenu, pour vous tout est ok
Je ne dit pas que qu'il n'y a pas moyen de faire mieux. Personnellement, je n'afficherais pas du tout le cadenas vert, c'est une information trompeuse.
Mais ça a toujours été le mode de fonctionnement nominal du https depuis toujours. Apprendre aux gens que le cadenas indique un site de confiance était et reste une imbécilité.

Citation Envoyé par spyserver Voir le message
Ca marchait très bien avant Let's encrypt je vois pas pourquoi on pourrait pas revenir en arrière ... et oui la sécurité à un cout
Rien n'a changé au fonctionnement du https avec Let's Encrypt. Les certificats DV existaient déjà avant, c'est juste qu'ils sont encore mois cher.
Avatar de spyserver spyserver - Membre averti https://www.developpez.com
le 29/11/2018 à 10:44
Oui on est d'accord, mais Let's encrypt a démocratisé l'usage du HTTPS pour les fraudeurs en étant gratuit, le web n'était pas inondé de sites HTTPS avant et seuls les grands sites avaient leur cadenas, ma remarque portait sur le ressenti simplement ...
Mais donc on peut donc considérer un certificat HTTPS type EV (Extended Validation) comme étant le certificat HTTPS type pour un site web sécurisé et comme étant le seul éligible au cadenas vert, c'était le sens de ma première remarque ... les DV n'étant que des variantes pour permettre tout de même d'encrypter ses échanges à titre perso (ou autre justement ...) sans identité garantie ... et donc la pas de cadenas vert attendu (logiquement).
Avatar de Fagus Fagus - Membre habitué https://www.developpez.com
le 29/11/2018 à 16:16
Je pense que le cadenas vert c'est insuffisant. Déjà, vu qu'il y a plusieurs niveaux de sécurité en certificats, ça devrait être plus évident à percevoir (même avec un clic en plus...)
Ensuite, je ne comprends pas très bien comment le navigateur vérifie que le certificat est bien conforme. D'après ce que j'ai compris, il y a une sorte de système dit "certificate pinning" dans les navigateurs qui le fait, mais mal ?

En ce qui me concerne, je suis sous windows 10 et kaspersky. Mon navigateur me dit que tous les https sont sécurisés, mais le certif est celui de kaspersky si on regarde. En fait, mon A-V comme beaucoup d'autres fait un man in the middle pour analyser la connexion en installant un certificat racine de confiance.
Sauf qu'aucun des navigateurs de mon PC ne s'alarme alors qu'intellectuellement, c'est comme si toutes les connections étaient corrompues. (Qu'est ce que j'en sais qu'un jour je n'ai pas donné un accès admin à un prog légitime mais corrompu qui a installé un certificat racine plus vrai que nature ?).

Ensuite, pour rebondir sur le problème de spoofing des noms de domaine internationalisés IDN, je n'ai trouvé aucun moyen de les désactiver dans le navigateur, mais il y a une extension (encore) qui le fait : "IDN Safe".
Contacter le responsable de la rubrique Accueil