De nos jours, la majorité du trafic web transite par une connexion HTTPS, considérée comme « sécurisée ». Google lui-même signale les sites HTTP non chiffrés comme « non sécurisés ». Alors, comment expliquer la persistance de logiciels malveillants, de tentatives de phishing et d’autres activités dangereuses sur le web ?
Les sites « sécurisés » : une connexion chiffrée, mais pas plus
Auparavant, Chrome affichait la mention « Sécurisé » ainsi qu’un cadenas vert dans la barre d’adresse pour les sites en HTTPS. Les versions actuelles de Chrome se contentent d’un petit cadenas gris, la mention « Sécurisé » ayant disparu.
Cette évolution est en partie due au fait que le HTTPS est désormais considéré comme la norme. La sécurité est la base, et Chrome se contente d’indiquer qu’une connexion est « non sécurisée » lorsqu’elle s’effectue en HTTP.
L’abandon du terme « sécurisé » est également lié à son caractère trompeur. Il pouvait laisser croire que Chrome se portait garant de la fiabilité du contenu, comme si tout le site était intrinsèquement sûr. Or, c’est loin d’être le cas. Un site HTTPS peut très bien héberger des logiciels malveillants ou servir de façade pour une attaque de phishing.
Le HTTPS : une barrière contre l’espionnage et la manipulation
Le HTTPS, c’est Hypertext Transfer Protocol Secure. Il s’agit d’une version sécurisée du protocole HTTP, grâce à l’ajout d’une couche de chiffrement.
Ce chiffrement empêche toute interception de vos données pendant leur transmission et neutralise les attaques dites « de l’homme du milieu », où une personne malveillante pourrait modifier le contenu du site web lors de son acheminement. Vos informations bancaires, par exemple, sont ainsi protégées.
En résumé, le HTTPS assure que la communication entre votre ordinateur et le site web visité est sécurisée. Ni écoute, ni altération ne sont possibles. C’est là sa fonction.
« Sécurisé » ne signifie pas pour autant que le site est sans danger
Le HTTPS est un progrès important, et son utilisation devrait être systématique. Toutefois, cela signifie uniquement que la connexion au site est sécurisée. Le terme « sécurisé » ne préjuge en rien du contenu du site. Il atteste seulement que l’exploitant du site a acquis un certificat et mis en place un protocole de chiffrement pour protéger la connexion.
Ainsi, un site web dangereux diffusant des logiciels malveillants peut très bien utiliser le HTTPS. Cela signifie uniquement que les fichiers que vous téléchargez transitent par une connexion chiffrée, mais cela ne garantit pas leur innocuité.
De la même manière, un cybercriminel peut enregistrer un nom de domaine imitant celui d’une banque (« banquedefrance.com », par exemple), obtenir un certificat SSL et reproduire le site officiel. Ce site de phishing afficherait le cadenas « sécurisé », qui indiquerait uniquement que la connexion à ce faux site est chiffrée.
Le HTTPS : un outil indispensable, mais pas une solution miracle
Malgré les termes employés par les navigateurs pendant des années, les sites HTTPS ne sont pas réellement « sécurisés » au sens strict. Leur adoption contribue à résoudre certains problèmes, mais n’éradique pas les logiciels malveillants, le phishing, le spam, les failles de sécurité et autres escroqueries en ligne.
La généralisation du HTTPS est néanmoins un réel progrès pour le web ! Selon les statistiques de Google, 80% des pages web chargées dans Chrome sous Windows le sont via HTTPS. Les utilisateurs de Chrome sous Windows passent d’ailleurs 88% de leur temps sur des sites HTTPS.
Cette transition rend plus difficile l’interception des données personnelles par des cybercriminels, notamment sur les réseaux Wi-Fi publics. Elle réduit également le risque de subir une attaque de l’homme du milieu sur ces mêmes réseaux.
Prenons l’exemple du téléchargement d’un fichier .exe à partir d’un site web sur un réseau Wi-Fi public. En HTTP, l’administrateur du réseau pourrait remplacer le fichier par une version malveillante. En HTTPS, la connexion est sécurisée et la manipulation impossible.
C’est une avancée majeure ! Toutefois, cela ne doit pas dispenser d’appliquer les règles élémentaires de sécurité en ligne pour se protéger des logiciels malveillants, identifier les tentatives de phishing et éviter les arnaques.
Crédit image : Eny Setiyowati/Shutterstock.com.