Beaucoup d’internautes ont tendance à penser à tort qu’un site sécurisé et un site sûr. Absolument pas! Enfin pas totalement.
Un site « sécurisé » utilise un certificat SSL, mais pas forcément le sien
Le navigateur Web Google Chrome est utilisé par plus de 50% des internautes. Lorsque vous visitez un site Web qui utilise SSL, autrement connu comme HTTPS ou TLS, vous voyez un message vert dans votre barre d’adresse du navigateur qui dit « sécurisé ». Malheureusement ce terme qui apparaît dans Chrome ne signifie pas aucunement « sans risque ».
C’est assez simple à comprendre en réalité. Vous avez du le remarquer mais depuis bientôt 1 mois, Nalaweb a migré chez OVH. Depuis cette date, l’url est passée de http à https indiquant que je passe par un certificat ssl pour chiffrer la communication entre le serveur hébergeant le site et votre ordinateur, votre smartphone, tablette ou tout autre périphérique. On est donc en droit d’imaginer que ce site est sans risque et qu’il ne souhaite que votre bien vu que je mets tout en oeuvre pour que tout soit « sécurisé ». D’ailleurs, dans la barre d’adresse, même google chrome vous indique que c’est le cas. Heureusement, c’est bien le cas.
Ne pas confondre https et sans risque
Imaginons maintenant que je veuille voler vos données ou vous faire télécharger un malware. J’installe un script qui va bien, j’indique un lien pointant vers un fichier contenant un virus et vous voilà pris au piège. Le certificat SSL n’y changera rien. Pourquoi? parce que je n’ai fait que chiffrer les données entre le serveur et votre ordinateur par le biais d’un certificat qui n’est pas le mien. J’utilise actuellement un certificat valide et gratuit qui ne fait qu’ajouter une couche de chiffrement sur un trafic, mais il ne sécurise en rien ce qui transite entre le serveur et votre pc. Si je voulais vous envoyer un malware, il serait tout simplement chiffré.
Pourquoi cet article? Tout simplement parce que sur le web, je rencontre beaucoup d’internautes qui pense à tort, que parce que Chrome affiche « sécurisé » dans la barre d’adresse, le site est donc sans risque et qu’ils peuvent donc cliquer à tout va sur les liens qu’il propose. C’est totalement faux. Chrome vous induit en erreur, il est vrai. Il faut simplement prendre le terme « sécurisé » comme une indication montrant que le site se soucie de ce qui transite sur le web.
Evidemment, ce terme ne veut pas forcément dire que le site est néfaste pour autant. Gardez en tête que « sécurisé » signifie que les informations qui transitent entre le serveur et vous sont chiffrées, mais il ne donne aucune indication sur l’impact qu’elles auront. Votre vigilance est votre première sécurité.
LetsEncrypt fournit des certificats SSL gratuitement dans le but de sécuriser le web. Ses intentions sont louables, malheureusement ils peuvent être utilisés pour de mauvais usage.
Comment savoir si un site est réellement sans risque ?
Cette adresse est pourtant bien « sécurisée » selon chrome. Elle ressemble à celle du play store de google, mais ce n’est absolument la bonne adresse. Cette adresse piégée est dangereuse pour le visiteur malgré l’indication « sécurisé » (secure en anglais)
Aucun site n’est réellement sans risque. Si dans la barre d’adresse vous voyez le nom du site en vert au lieu de « sécurisé » c’est une très bonne chose. Pourquoi? parce que cela signifie qu’il utilise certainement un certificat SSL qui lui est propre et qu’un organisme agréé lui a délivré après avoir vérifié son identité.
Pour avoir un exemple, il n’y a qu’à regarder le site de l’hébergeur OVH
Désormais, quand vous entrez quelqu’un dire que le site est sans risque parce qu’il est sécurisé et qu’il est en https, vous pourrez lui dire qu’il se trompe et lui dire pourquoi.