L'icône de cadenas vert dans la barre d'URL n'est plus un symbole de confiance

Green Padlock Icon

Depuis des années, on vous dit constamment de ne pas entrer vos informations privées sur un site Web qui n'a pas de cadenas vert dans la barre d'adresse. Certains d'entre vous ont écouté ce conseil, d'autres non, mais vous êtes-vous déjà demandé ce que signifie ce cadenas vert et comment il fonctionne?

Bien que les navigateurs comme Google Chrome le suppriment lentement (les raisons apparaîtront dans une minute), le cadenas vert est toujours universellement reconnu comme un signe que le site Web que vous consultez possède un certificat SSL et est chargé sous HTTPS. En retour, cela signifie que toutes les informations en provenance et à destination du site Web sont cryptées et à l'abri des attaques Man-in-the-Middle.

À l'époque, les experts avaient une autre raison de vous avertir de ne pas saisir vos données sur des sites Web qui n'étaient pas chargés via HTTPS. Les certificats SSL sont émis par des autorités de certification (AC) qui facturaient plusieurs centaines de dollars par an pour eux. On pouvait s'y attendre, les escrocs n'étaient pas prêts à débourser ce genre d'argent pour que leurs pages de phishing ressemblent davantage à la vraie chose, et même si elles l'avaient été, elles n'auraient pas réussi à passer certaines des vérifications manuelles effectuées à l'époque. En d'autres termes, les vrais formulaires de connexion Amazon avaient des verrous verts, et les faux non. Ce n'est malheureusement plus le cas.

L'émergence de certificats SSL gratuits et leur impact sur Internet

Malheureusement, les escrocs n'étaient pas les seuls à ne pas avoir acheminé leurs sites Web via HTTPS. Les certificats SSL étaient également trop chers pour de nombreux propriétaires de sites Web légitimes, ce qui signifiait que plusieurs boutiques en ligne laissaient les données de leurs clients exposées. Quelque chose doit etre fait.

En 2014, une nouvelle autorité de certification du nom de Let's Encrypt a été créée, qui a commencé à offrir des certificats SSL entièrement gratuits. Internet a aimé l'idée.

Let's Encrypt a officiellement quitté la version bêta en avril 2016 en annonçant fièrement que le nombre de certificats qu'elle avait émis se situait autour de 1,7 million. Quatorze mois plus tard, il y avait plus de 100 millions de certificats Let's Encrypt.

Des certificats SSL gratuits sont désormais également proposés par d'autres autorités de certification, et à cause d'eux, le HTTPS devient la norme plutôt que l'exception. En août, le spécialiste de la sécurité Scott Helme a déclaré que, pour la première fois, plus de la moitié des sites Web Alexa Top 1 Million étaient chargés sous HTTPS. Ce changement a incité les fournisseurs de navigateurs à abandonner l'icône de verrouillage verte et à la remplacer par un signe "non sécurisé" plus grand lorsqu'une page n'est pas chargée sous HTTPS. En effet, le cadenas est loin d'être aussi utile qu'avant.

Près de 50% de toutes les pages de phishing sont désormais chargées via HTTPS

L'émergence de certificats SSL gratuits est l'une des bonnes choses qui sont arrivées au monde récemment. Bien qu'ils ne soient pas une panacée, ils ont permis aux petits fournisseurs en ligne non seulement de survivre mais de prospérer, et pour le moment, même les sites Web HTML les plus élémentaires n'ont aucune excuse pour fonctionner sous HTTP.

Malheureusement, si les certificats SSL sont gratuits et faciles à configurer pour les propriétaires de sites Web légitimes, ils sont également gratuits et faciles à configurer pour les fraudeurs. En fait, PhishLabs, une société de renseignement et d'atténuation des menaces, a déclaré à Brian Krebs que près de la moitié (environ 49%) de toutes les pages de phishing détectées au cours du troisième trimestre de cette année étaient chargées sous HTTPS. PhishLabs a déclaré que cela était en hausse de 35% au T2 et de 33% au T1.

Les escrocs mettent activement en place des certificats SSL sur leurs pages d'arnaque, en partie parce que c'est facile à faire et ne leur coûte rien et en partie à cause des changements que les fournisseurs de navigateurs mettent en œuvre. Ils se rendent compte que les utilisateurs sont beaucoup moins susceptibles de divulguer leurs informations personnelles à un site Web qui est chargé sous un avertissement "non sécurisé" visible.

Que pouvons-nous y faire?

Est-ce à dire que la décision des fournisseurs de navigateurs de s'éloigner du cadenas vert est une énorme erreur? Non, non. Le simple fait de la question est que l'icône de verrouillage ne sera plus aussi utile qu'auparavant. S'il reste, cela n'aura aucun impact sur la situation actuelle, car si les escrocs décident qu'ils en ont besoin, ils obtiendront simplement un certificat SSL gratuit.

Ne devrions-nous pas nous débarrasser des certificats SSL gratuits, alors? Non, nous ne devrions pas. Refuser aux fournisseurs la possibilité de protéger gratuitement les données de leurs clients sera un énorme pas en arrière et mettra gravement en danger des millions de personnes. Ce que nous devons faire à la place, c'est enseigner au plus grand nombre d'utilisateurs ce qu'est le HTTPS.

HTTPS n'est pas un indicateur de fiabilité. S'il n'est pas présent, vous pouvez être sûr que le site Web que vous consultez ne doit pas faire confiance, mais même s'il existe, vous pouvez toujours envisager une arnaque. Il y a d' autres facteurs auxquels vous devez prêter une plus grande attention.

Par Duran
January 3, 2020
Tips
Français
January 3, 2020
Tips

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.