HTTPS n'est pas nécessairement une garantie de fiabilité

27.03.2018

Une étude de marché commandée par DNS Belgium à InSites Consulting à la fin de l'année dernière montre que pour le Belge moyen (45%), la présence de https suffit à lui donner confiance dans un site web. Les deux autres indices principaux  sont ceux d'un site officiel (40%) et de l'extension de domaine (38%).

Ce résultat montre que les Belges savent identifier une connexion internet cryptée et en connaissent l'importance, ce qui est évidemment une bonne chose. Mais il y a aussi un risque, parce que près de la moitié des internautes font confiance à des sites web s'ils sont accessibles via https. Ce qui n'est pas nécessairement une garantie de fiabilité. Pourquoi ?  

Les cybercriminels aussi connaissent https

Les cybercriminels sont constamment à la recherche de nouveaux 'moyens' de tromper hommes et machines.  Les chiffres révélés par Phishlabs, spécialiste américain de la cybersécurité, montrent que les cybercriminels essaient d'induire un sentiment de confiance chez les internautes en utilisant https pour des sites phishing (25%°). Ils misent sur l'idée (fausse) selon laquelle le petit canevas vert apparaissant dans la barre  du navigateur signifie que le site est légitime et/ou fiable, alors que https n'offre absolument aucune garantie à ce niveau.

Https = transfert d'information sécurisé

A partir de juillet 2018, Chrome (version 68) marquera tous les sites web http comme étant 'unsafe' (non-sécurisés), perpétuant ainsi le malentendu selon lequel https est sûr et que http ne l'est pas.
Annoncer un site web accessible via https en dit peu, en réalité, sur son niveau de sécurité. Cela signifie simplement que la communication entre l'utilisateur et ce site est sûre. En fait, https garantit que l'information échangée entre le navigateur de l'internaute et le serveur d'hébergement du site ne peut être lue par des tiers et que des tiers ne peuvent pas voir les URL exacts des pages visitées. La sécurité d'une communication via https est assurée par des certificats.  

Des certificats comme facteur de fiabilité ?

Pourtant, on peut parfois s'interroger sur la fiabilité desdits certificats. Aucun contrôle rigoureux n'est en effet effectué quant à l'identité réelle du demandeur de ces certificats. En ce qui concerne les certificats Extended Validation (EV), que DNS Belgium utilise également, la demande est validée par les autorités qui ne fournissent les certificats qu'après enquête sur l'identité du demandeur (via un registre de commerce par exemple). Pour certains autres types de certificats, ces contrôles sont automatisés et peuvent donc être contournés.

Enfin, il y a aussi des alternatives gratuites (comme Let's Encrypt) aux certificats souvent onéreux utilisés pour rendre des sites web accessibles via https. Chacun, y compris des personnes malintentionnées, peut donc obtenir assez facilement et sans frais un certificat pour son site web.  

Et pour que les choses soient parfaitement claires, il est capital de sécuriser les sites web via https. Https garantit en effet que vous pouvez envoyer des données à caractère personnel en ligne, en toute sécurité.  C'est une mesure importante pour protéger votre vie  privée sur internet, mais elle ne doit pas créer un faux sentiment de sécurité que les cybercriminels pourraient exploiter. Restez vigilant - y compris lorsque vous voyez un petit canevas vert à côté du nom du site web dans votre navigateur.

 

serveur

Est un programme informatique ou un dispositif matériel qui offre des services à d’autres programmes informatiques ou des utilisateurs.

registre

Organisation qui gère les noms de domaine. Un registre maintient la base de données contenant des informations sur une (ou plusieurs) extension(s) telle que .be, .com, .org, .vlaanderen, etc.

Navigateur

programme permettant de trouver et de lire des pages web. Internet Explorer, Google Chrome, Mozilla Firefox et Safari sont des exemples de navigateurs connus.

DNS

Domain Name System, littéralement Système de Noms de Domaine. Le DNS est le protocole internet qui assure la conversion entre les noms de domaine et les adresses IP et vice versa.
DNS Belgium
Sécurité