Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    juin 2016
    Messages
    323
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : juin 2016
    Messages : 323
    Points : 11 197
    Points
    11 197

    Par défaut La moitié des sites de phishing sont en HTTPS

    La moitié des sites de phishing sont en HTTPS
    alors que pour les internautes, le HTTPS indique qu'il s'agit d'un site légitime

    En mai dernier, Google avait annoncé comment l’adoption par défaut de HTTPS en lieu et place de HTTP se ferait sur son navigateur Chrome. On apprenait donc que Chrome n’allait bientôt plus afficher le label « Sécurisé » pour les sites HTTPS. Au lieu de ça, le navigateur estampillera systématiquement tous les sites HTTP comme étant non sécurisés. Cette modification traduit les efforts constants de Google depuis plusieurs années pour faire passer Internet sous HTTPS. Le moins que l’on puisse dire, c’est que cette préoccupation qui amène l’entreprise à vouloir sécuriser Internet est partagée par plus d’un. Troy Hunt, un expert australien connu pour ses activités de sensibilisation sur des sujets liés à la sécurité, fait partie de ceux qui, comme Google, ont estimé que la migration vers HTTPS est plus que nécessaire.

    En effet, déjà en janvier dernier, l’expert australien avait expliqué que l’adoption de HTTPS avait dépassé le « point de basculement » et « deviendrait très prochainement la norme ». Ses dires semblent réellement se vérifier puisque depuis janvier, le pourcentage de pages Web chargées sur HTTPS est passé de 52 % à 71 %. La proportion du million de sites le plus important du monde redirigeant les utilisateurs vers HTTPS serait également passée de 20 % à presque 50 %. Cette adoption générale plutôt rapide a été motivée par la recrudescence d’avertissements sur les navigateurs (Chrome et Firefox, principalement), des certificats plus facilement accessibles et une prise de conscience grandissante des internautes concernant les risques inhérents à la navigation non sécurisée.

    Nom : https.jpg
Affichages : 3727
Taille : 98,6 Ko

    La présence du HTTPS ou du cadenas sur un site web, en occurrence les sites de commerce électronique, rassurent les visiteurs contre les pièges de phishing ou de logiciels malveillants. Malheureusement, cela ne suffit plus pour être à l'abri d'une arnaque. Une nouvelle étude indique que la moitié des escroqueries par hameçonnage sont désormais hébergées sur des sites Web dont l'adresse Internet inclut le cadenas et commence par « https:// ». Selon les récentes données de PhishLabs, une entreprise qui aident les organisations à se protéger contre les cyberattaques visant leurs employés et leurs clients, 49 % de tous les sites de phishing au troisième trimestre de 2018 sont en HTTPS en regard du nom de domaine du site de phishing tel qu'il apparaît dans la barre d'adresse du navigateur. Cela représente une hausse de 25 % il y a un an et de 35 % au deuxième trimestre de 2018.

    Ce changement alarmant est remarquable car la majorité des internautes pensent qu'il faut se référer au verrou, ou au HTTPS, pour être sûr qu'il s'agit d'un site légitime. Une enquête menée par PhishLabs l'année dernière aurait révélé que plus de 80 % des personnes interrogées pensaient que le cadenas vert indiquait qu'un site Web était soit légitime, soit sûr. Mais il en est rien. Brian Krebs, un journaliste américain spécialiste en cybersécurité, explique qu'en réalité, « la partie "https://" de l'adresse (également appelée « Secure Sockets Layer » ou SSL ) signifie simplement que les données échangées entre votre navigateur et le site sont cryptées et ne peuvent pas être lues par des tiers. La présence du cadenas ne signifie pas que le site est légitime et ne prouve pas non plus que le site a été protégé contre l'intrusion de pirates informatiques ».

    La majeure partie des sites de filoutage ont déjà adoptés le HTTPS. John LaCour, directeur technique de PhishLabs, pense que cela peut être attribué « à l'utilisation continue de certificats SSL par ces sites qui enregistrent leurs propres noms de domaine et en créent des certificats, ainsi qu'à une augmentation générale de SSL due au navigateur Google Chrome affichant désormais « Non sécurisé » pour les sites Web qui n’utilisent pas le protocole SSL. En fin de compte, la présence ou l'absence de SSL ne vous dit rien sur la légitimité d'un site ». Certains sites d'hameçonnage vont jusqu'à créer une confusion visuelle au niveau de l'adresse même du site qu'ils imitent en tirant parti des noms de domaine internationalisés (IDN) ; ce qui est extrêmement difficile à distinguer dans une barre d'adresse URL.

    Les internautes confirment le fait que les utilisateurs ont une confiance erronée aux sites HTTPS dans la mesure où, étant donné qu’un navigateur ne les avertit pas à propos d’un site, et qu’il dispose d’un cadenas sécurisé, ils pensent qu'il est sécurisé. Certains accusent les navigateurs de ces faits en disant que ce n’est pas à eux de forcer les sites Web à être sécurisés. D'autres ont proposé que la seule solution est de sensibiliser davantage de personnes sur ce problème.

    Source : Billet de blog

    Et vous ?

    Qu'en pensez-vous ?
    Que proposeriez-vous pour lutter contre les sites de phishing sur Internet ?
    Comment pourrait-on garantir l'authenticité d'un site Web en ligne selon vous ?

    Voir aussi

    Le protocole HTTPS en danger ? L'algorithme RCA qu'il utilise pour le chiffrement cassé par des chercheurs pour SSL/TLS

    Pourquoi devriez-vous faire migrer vos sites statiques de HTTP vers HTTPS ? Voici les raisons avancées par un expert en sécurité Web

    Chrome ne va plus afficher le label « Sécurisé » pour les connexions HTTPS à compter de septembre 2018
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre éprouvé

    Profil pro
    Chef de Projet / Développeur
    Inscrit en
    juin 2002
    Messages
    425
    Détails du profil
    Informations personnelles :
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Chef de Projet / Développeur
    Secteur : Santé

    Informations forums :
    Inscription : juin 2002
    Messages : 425
    Points : 999
    Points
    999

    Par défaut

    Que les connexion chiffré devienne la norme est une bonne chose, mais la politique de Google en matière de signalisation de la sécurité est débile : il y a plusieurs niveaux de certificats et ces niveaux sont important en matière de sécurité.

    Il n'y a qu'à aller sur paypal.com sur Firefox et sur Chrome et voir la différence au niveau du cadenas.

    Sur Chrome, pour être certain que je suis bien sur le vrai paypal, il faut cliquer sur le cadenas et s'y connaitre en matière d'autorité de certification.
    C'est un non sens.
    --
    vanquish

  3. #3
    Expert éminent Avatar de Uther
    Homme Profil pro
    Inscrit en
    avril 2002
    Messages
    3 723
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : avril 2002
    Messages : 3 723
    Points : 9 083
    Points
    9 083

    Par défaut

    De manière générale, la faute est aussi aux formateurs qui ont répandu pendant des années le mythe que le cadenas était une protection contre le phising alors que ça n'a jamais été le cas.

  4. #4
    Membre averti
    Homme Profil pro
    Inscrit en
    décembre 2011
    Messages
    196
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : décembre 2011
    Messages : 196
    Points : 395
    Points
    395

    Par défaut

    Pour moi le protocole HTTPS n'indique pas seulement qu'on utilise du SSL à la base, il y a aussi une notion d'autorité et de tiers de confiance qui a été complètement bafoué par l'approbation d'autorité comme Let's Encrypt par les autorités racines ou encore certaines autorité chinoises qui donnent des certifs sans aucune vérification, le vrai problème est la pour moi, si les certificats des sites de Phishing ne sont pas approuvés par les autorités racines, le cadenas n'apparaitrai pas et on se rapprocherai du fonctionnement nominal du HTTPS ...

  5. #5
    Futur Membre du Club
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    février 2017
    Messages
    7
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : février 2017
    Messages : 7
    Points : 8
    Points
    8

    Par défaut

    En même temps comme une grande partie des pages de phishing sont hébergées au sein de sites qui ont été piratés et que beaucoup de sites basculent en HTTPS les pages pirates beneficient du même coup du fameux cadenas si mal interprété dans sa signification.

    La faute aux médias qui clament régulièrement "si vous avez le cadenas c'est que c'est ok" et qui n'ont clairement pas compris que seule la communication entre le client et le serveur sera privée et sécurisée, mais pas ce que le serveur contient et la confiance à apporter à ce contenu !

  6. #6
    Membre confirmé
    Homme Profil pro
    Informaticien
    Inscrit en
    avril 2011
    Messages
    168
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Aveyron (Midi Pyrénées)

    Informations professionnelles :
    Activité : Informaticien

    Informations forums :
    Inscription : avril 2011
    Messages : 168
    Points : 554
    Points
    554

    Par défaut

    Citation Envoyé par spyserver Voir le message
    Pour moi le protocole HTTPS n'indique pas seulement qu'on utilise du SSL à la base, il y a aussi une notion d'autorité et de tiers de confiance qui a été complètement bafoué par l'approbation d'autorité comme Let's Encrypt par les autorités racines ou encore certaines autorité chinoises qui donnent des certifs sans aucune vérification, le vrai problème est la pour moi, si les certificats des sites de Phishing ne sont pas approuvés par les autorités racines, le cadenas n'apparaitrai pas et on se rapprocherai du fonctionnement nominal du HTTPS ...
    Let's Encrypt, en proposant des certificats gratuits, a quand même permis de démocratiser l'emploi du HTTPS. Il fallait débourser des sommes importantes avant pour avoir la même chose. Maintenant, le web est chiffré, c'est le standard et c'est tant mieux.

    Je ne pense pas que cette notion d'autorité soit réellement bafouée, pas plus que celle de tiers de confiance. Je pense plutôt qu'avant l'apparition de Let's Encrypt et des autres, seuls quelques sites légitimes disposaient de certificats pouvant remonter aux autorités connues des navigateurs. Ce n'était pas viable financièrement pour les acteurs malveillants de générer des milliers de certificats à la volée. Dans cette situation, avoir HTTPS et le petit cadenas vert dans l'URL revenait à dire que le site visité était légitime et pourtant, c'était déjà une sur-interprétation de ce qu'HTTPS est sensé apporter. Une mauvaise habitude qui a continué à se perpétuer en somme.

    En fait, ça dit simplement que pour le navigateur, le certificat du site (et lui seul) est valide et de confiance. D'ailleurs même un certificat acheté en bonne et due forme ne garantit pas que le domaine auquel il est rattaché va servir ou non à du phishing.

  7. #7
    Expert éminent Avatar de Uther
    Homme Profil pro
    Inscrit en
    avril 2002
    Messages
    3 723
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : avril 2002
    Messages : 3 723
    Points : 9 083
    Points
    9 083

    Par défaut

    Citation Envoyé par spyserver Voir le message
    Pour moi le protocole HTTPS n'indique pas seulement qu'on utilise du SSL à la base, il y a aussi une notion d'autorité et de tiers de confiance
    Tu te trompes sur la fonction primaire d'un tiers de confiance. Le rôle premier d'un tiers de confiance n'est pas de contrôler l'identité physique mais de permettre qu'un tiers malveillant n'interfère pas dans l'échange de clés publiques. La vérification de l'identité est une fonctionnalité annexe.

    Citation Envoyé par spyserver Voir le message
    qui a été complètement bafoué par l'approbation d'autorité comme Let's Encrypt par les autorités racines
    Les certificats OV et EV, qui fournissent des informations sur la société, n'ont jamais été la norme unique. Toutes les autorités de certifications ont toujours délivré des certificats de type DV (qui valident le domaine uniquement). Comme ils offrent moins de garanties, c'était déjà les moins chers. Let's encrypt les a juste rendu gratuits.

    Citation Envoyé par spyserver Voir le message
    ou encore certaines autorité chinoises qui donnent des certifs sans aucune vérification
    Tu as des cas précis en tête, parce que, les autorités qui attribuent les certificats OV ou EV sans faire les vérifications adéquates risquent gros si c'est découvert. C'est notamment le cas de DigiNotar et des filiales de Symantec qui ont été retirées des navigateurs, ce qui a provoqué la faillite du premier.

    Citation Envoyé par spyserver Voir le message
    le vrai problème est la pour moi, si les certificats des sites de Phishing ne sont pas approuvés par les autorités racines, le cadenas n'apparaitrai pas et on se rapprocherai du fonctionnement nominal du HTTPS ...
    Sauf que ce que tu décris n'est justement pas le fonctionnement nominal du https. Que tu le veuille ou non, le https seul n'a jamais garanti l'identité du site ou tu te connecte.

  8. #8
    Membre averti
    Homme Profil pro
    Inscrit en
    décembre 2011
    Messages
    196
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : décembre 2011
    Messages : 196
    Points : 395
    Points
    395

    Par défaut

    Mais c'est bien la tout le problème, des champs existent pour assurer l'identité d'un site mais vous indiquez qu'ils ne sont pas controlés ou pire pas renseignés pour les certificats gratuits ... en gros si le HTTPS garantie uniquement l'identité d'un serveur vis à vis du client mais que ce serveur n'est pas ce qu'il indique être en terme de contenu, pour vous tout est ok, et bien non, le HTTPS doit vérifié l'identité physique bien entendu et cette vérification doit être effectué par l'autorité de confiance justement ...
    Ca marchait très bien avant Let's encrypt je vois pas pourquoi on pourrait pas revenir en arrière ... et oui la sécurité à un cout mais ça fait parti du jeu et pour ce qui est des certificats délivrés gratuitement, il faudrait les distinguer visuellement dans le navigateur, exemple : rouge -> HTTP, orange -> HTTPS avec identité non vérifiée, vert ->HTTPS avec identité confirmée (Paypal, Facebook,etc.)

  9. #9
    Expert éminent Avatar de Uther
    Homme Profil pro
    Inscrit en
    avril 2002
    Messages
    3 723
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : avril 2002
    Messages : 3 723
    Points : 9 083
    Points
    9 083

    Par défaut

    Citation Envoyé par spyserver Voir le message
    Mais c'est bien la tout le problème, des champs existent pour assurer l'identité d'un site mais vous indiquez qu'ils ne sont pas controlés ou pire pas renseignés pour les certificats gratuits ...
    Il y a toujours eu 3 type de certificats pour https:
    - DV (Domain Validation) : Valide uniquement que la connexion au domaine ne peut être usurpée. Comme ils ne requièrent pas de vérification légales, ils sont peu cher et rapide à obtenir, encore plus depuis Let's Encrypt.
    - OV (Organisation Validation) : Fournis en plus quelques info légales sur l'organisation qui a demandé le certificat.
    - EV (Organisation Validation) : Fournit des information légales supplémentaire qui requièrent une vérification plus poussée, il sont donc plus cher et long a obtenir, mais ils permettent d'avoir le nom de la société affiché directement dans la barre d'adresse.

    Citation Envoyé par spyserver Voir le message
    mais que ce serveur n'est pas ce qu'il indique être en terme de contenu, pour vous tout est ok
    Je ne dit pas que qu'il n'y a pas moyen de faire mieux. Personnellement, je n'afficherais pas du tout le cadenas vert, c'est une information trompeuse.
    Mais ça a toujours été le mode de fonctionnement nominal du https depuis toujours. Apprendre aux gens que le cadenas indique un site de confiance était et reste une imbécilité.

    Citation Envoyé par spyserver Voir le message
    Ca marchait très bien avant Let's encrypt je vois pas pourquoi on pourrait pas revenir en arrière ... et oui la sécurité à un cout
    Rien n'a changé au fonctionnement du https avec Let's Encrypt. Les certificats DV existaient déjà avant, c'est juste qu'ils sont encore mois cher.

  10. #10
    Membre averti
    Homme Profil pro
    Inscrit en
    décembre 2011
    Messages
    196
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : décembre 2011
    Messages : 196
    Points : 395
    Points
    395

    Par défaut

    Oui on est d'accord, mais Let's encrypt a démocratisé l'usage du HTTPS pour les fraudeurs en étant gratuit, le web n'était pas inondé de sites HTTPS avant et seuls les grands sites avaient leur cadenas, ma remarque portait sur le ressenti simplement ...
    Mais donc on peut donc considérer un certificat HTTPS type EV (Extended Validation) comme étant le certificat HTTPS type pour un site web sécurisé et comme étant le seul éligible au cadenas vert, c'était le sens de ma première remarque ... les DV n'étant que des variantes pour permettre tout de même d'encrypter ses échanges à titre perso (ou autre justement ...) sans identité garantie ... et donc la pas de cadenas vert attendu (logiquement).

  11. #11
    Membre habitué
    Profil pro
    Inscrit en
    novembre 2003
    Messages
    66
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2003
    Messages : 66
    Points : 154
    Points
    154

    Par défaut

    Je pense que le cadenas vert c'est insuffisant. Déjà, vu qu'il y a plusieurs niveaux de sécurité en certificats, ça devrait être plus évident à percevoir (même avec un clic en plus...)
    Ensuite, je ne comprends pas très bien comment le navigateur vérifie que le certificat est bien conforme. D'après ce que j'ai compris, il y a une sorte de système dit "certificate pinning" dans les navigateurs qui le fait, mais mal ?

    En ce qui me concerne, je suis sous windows 10 et kaspersky. Mon navigateur me dit que tous les https sont sécurisés, mais le certif est celui de kaspersky si on regarde. En fait, mon A-V comme beaucoup d'autres fait un man in the middle pour analyser la connexion en installant un certificat racine de confiance.
    Sauf qu'aucun des navigateurs de mon PC ne s'alarme alors qu'intellectuellement, c'est comme si toutes les connections étaient corrompues. (Qu'est ce que j'en sais qu'un jour je n'ai pas donné un accès admin à un prog légitime mais corrompu qui a installé un certificat racine plus vrai que nature ?).

    Ensuite, pour rebondir sur le problème de spoofing des noms de domaine internationalisés IDN, je n'ai trouvé aucun moyen de les désactiver dans le navigateur, mais il y a une extension (encore) qui le fait : "IDN Safe".

Discussions similaires

  1. Réponses: 19
    Dernier message: 09/04/2017, 15h38
  2. Réponses: 0
    Dernier message: 01/11/2009, 21h26
  3. Réponses: 0
    Dernier message: 27/10/2009, 19h45

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo