La moitié des sites de phishing sont en HTTPS

Version imprimable

27/11/2018, 19h44
Bill Fassinou

1 pièce(s) jointe(s)

La moitié des sites de phishing sont en HTTPS

La moitié des sites de phishing sont en HTTPS
alors que pour les internautes, le HTTPS indique qu'il s'agit d'un site légitime

En mai dernier, Google avait annoncé comment l’adoption par défaut de HTTPS en lieu et place de HTTP se ferait sur son navigateur Chrome. On apprenait donc que Chrome n’allait bientôt plus afficher le label « Sécurisé » pour les sites HTTPS. Au lieu de ça, le navigateur estampillera systématiquement tous les sites HTTP comme étant non sécurisés. Cette modification traduit les efforts constants de Google depuis plusieurs années pour faire passer Internet sous HTTPS. Le moins que l’on puisse dire, c’est que cette préoccupation qui amène l’entreprise à vouloir sécuriser Internet est partagée par plus d’un. Troy Hunt, un expert australien connu pour ses activités de sensibilisation sur des sujets liés à la sécurité, fait partie de ceux qui, comme Google, ont estimé que la migration vers HTTPS est plus que nécessaire.

En effet, déjà en janvier dernier, l’expert australien avait expliqué que l’adoption de HTTPS avait dépassé le « point de basculement » et « deviendrait très prochainement la norme ». Ses dires semblent réellement se vérifier puisque depuis janvier, le pourcentage de pages Web chargées sur HTTPS est passé de 52 % à 71 %. La proportion du million de sites le plus important du monde redirigeant les utilisateurs vers HTTPS serait également passée de 20 % à presque 50 %. Cette adoption générale plutôt rapide a été motivée par la recrudescence d’avertissements sur les navigateurs (Chrome et Firefox, principalement), des certificats plus facilement accessibles et une prise de conscience grandissante des internautes concernant les risques inhérents à la navigation non sécurisée.

Pièce jointe 430406

La présence du HTTPS ou du cadenas sur un site web, en occurrence les sites de commerce électronique, rassurent les visiteurs contre les pièges de phishing ou de logiciels malveillants. Malheureusement, cela ne suffit plus pour être à l'abri d'une arnaque. Une nouvelle étude indique que la moitié des escroqueries par hameçonnage sont désormais hébergées sur des sites Web dont l'adresse Internet inclut le cadenas et commence par « https:// ». Selon les récentes données de PhishLabs, une entreprise qui aident les organisations à se protéger contre les cyberattaques visant leurs employés et leurs clients, 49 % de tous les sites de phishing au troisième trimestre de 2018 sont en HTTPS en regard du nom de domaine du site de phishing tel qu'il apparaît dans la barre d'adresse du navigateur. Cela représente une hausse de 25 % il y a un an et de 35 % au deuxième trimestre de 2018.

Ce changement alarmant est remarquable car la majorité des internautes pensent qu'il faut se référer au verrou, ou au HTTPS, pour être sûr qu'il s'agit d'un site légitime. Une enquête menée par PhishLabs l'année dernière aurait révélé que plus de 80 % des personnes interrogées pensaient que le cadenas vert indiquait qu'un site Web était soit légitime, soit sûr. Mais il en est rien. Brian Krebs, un journaliste américain spécialiste en cybersécurité, explique qu'en réalité, « la partie "https://" de l'adresse (également appelée « Secure Sockets Layer » ou SSL ) signifie simplement que les données échangées entre votre navigateur et le site sont cryptées et ne peuvent pas être lues par des tiers. La présence du cadenas ne signifie pas que le site est légitime et ne prouve pas non plus que le site a été protégé contre l'intrusion de pirates informatiques ».

La majeure partie des sites de filoutage ont déjà adoptés le HTTPS. John LaCour, directeur technique de PhishLabs, pense que cela peut être attribué « à l'utilisation continue de certificats SSL par ces sites qui enregistrent leurs propres noms de domaine et en créent des certificats, ainsi qu'à une augmentation générale de SSL due au navigateur Google Chrome affichant désormais « Non sécurisé » pour les sites Web qui n’utilisent pas le protocole SSL. En fin de compte, la présence ou l'absence de SSL ne vous dit rien sur la légitimité d'un site ». Certains sites d'hameçonnage vont jusqu'à créer une confusion visuelle au niveau de l'adresse même du site qu'ils imitent en tirant parti des noms de domaine internationalisés (IDN) ; ce qui est extrêmement difficile à distinguer dans une barre d'adresse URL.

Les internautes confirment le fait que les utilisateurs ont une confiance erronée aux sites HTTPS dans la mesure où, étant donné qu’un navigateur ne les avertit pas à propos d’un site, et qu’il dispose d’un cadenas sécurisé, ils pensent qu'il est sécurisé. Certains accusent les navigateurs de ces faits en disant que ce n’est pas à eux de forcer les sites Web à être sécurisés. D'autres ont proposé que la seule solution est de sensibiliser davantage de personnes sur ce problème.

Source : Billet de blog

Et vous ?

:fleche: Qu'en pensez-vous ?
:fleche: Que proposeriez-vous pour lutter contre les sites de phishing sur Internet ?
:fleche: Comment pourrait-on garantir l'authenticité d'un site Web en ligne selon vous ?

Voir aussi

:fleche: Le protocole HTTPS en danger ? L'algorithme RCA qu'il utilise pour le chiffrement cassé par des chercheurs pour SSL/TLS

:fleche: Pourquoi devriez-vous faire migrer vos sites statiques de HTTP vers HTTPS ? Voici les raisons avancées par un expert en sécurité Web

:fleche: Chrome ne va plus afficher le label « Sécurisé » pour les connexions HTTPS à compter de septembre 2018
28/11/2018, 08h38
vanquish

Que les connexion chiffré devienne la norme est une bonne chose, mais la politique de Google en matière de signalisation de la sécurité est débile : il y a plusieurs niveaux de certificats et ces niveaux sont important en matière de sécurité.

Il n'y a qu'à aller sur paypal.com sur Firefox et sur Chrome et voir la différence au niveau du cadenas.

Sur Chrome, pour être certain que je suis bien sur le vrai paypal, il faut cliquer sur le cadenas et s'y connaitre en matière d'autorité de certification.
C'est un non sens.
28/11/2018, 09h25
Uther

De manière générale, la faute est aussi aux formateurs qui ont répandu pendant des années le mythe que le cadenas était une protection contre le phising alors que ça n'a jamais été le cas.
28/11/2018, 13h04
spyserver

Pour moi le protocole HTTPS n'indique pas seulement qu'on utilise du SSL à la base, il y a aussi une notion d'autorité et de tiers de confiance qui a été complètement bafoué par l'approbation d'autorité comme Let's Encrypt par les autorités racines ou encore certaines autorité chinoises qui donnent des certifs sans aucune vérification, le vrai problème est la pour moi, si les certificats des sites de Phishing ne sont pas approuvés par les autorités racines, le cadenas n'apparaitrai pas et on se rapprocherai du fonctionnement nominal du HTTPS ...
28/11/2018, 14h32
Dodfr2

En même temps comme une grande partie des pages de phishing sont hébergées au sein de sites qui ont été piratés et que beaucoup de sites basculent en HTTPS les pages pirates beneficient du même coup du fameux cadenas si mal interprété dans sa signification.

La faute aux médias qui clament régulièrement "si vous avez le cadenas c'est que c'est ok" et qui n'ont clairement pas compris que seule la communication entre le client et le serveur sera privée et sécurisée, mais pas ce que le serveur contient et la confiance à apporter à ce contenu !
28/11/2018, 15h08
Invité

Citation:

Envoyé par spyserver

Pour moi le protocole HTTPS n'indique pas seulement qu'on utilise du SSL à la base, il y a aussi une notion d'autorité et de tiers de confiance qui a été complètement bafoué par l'approbation d'autorité comme Let's Encrypt par les autorités racines ou encore certaines autorité chinoises qui donnent des certifs sans aucune vérification, le vrai problème est la pour moi, si les certificats des sites de Phishing ne sont pas approuvés par les autorités racines, le cadenas n'apparaitrai pas et on se rapprocherai du fonctionnement nominal du HTTPS ...

Let's Encrypt, en proposant des certificats gratuits, a quand même permis de démocratiser l'emploi du HTTPS. Il fallait débourser des sommes importantes avant pour avoir la même chose. Maintenant, le web est chiffré, c'est le standard et c'est tant mieux.

Je ne pense pas que cette notion d'autorité soit réellement bafouée, pas plus que celle de tiers de confiance. Je pense plutôt qu'avant l'apparition de Let's Encrypt et des autres, seuls quelques sites légitimes disposaient de certificats pouvant remonter aux autorités connues des navigateurs. Ce n'était pas viable financièrement pour les acteurs malveillants de générer des milliers de certificats à la volée. Dans cette situation, avoir HTTPS et le petit cadenas vert dans l'URL revenait à dire que le site visité était légitime et pourtant, c'était déjà une sur-interprétation de ce qu'HTTPS est sensé apporter. Une mauvaise habitude qui a continué à se perpétuer en somme.

En fait, ça dit simplement que pour le navigateur, le certificat du site (et lui seul) est valide et de confiance. D'ailleurs même un certificat acheté en bonne et due forme ne garantit pas que le domaine auquel il est rattaché va servir ou non à du phishing.
28/11/2018, 17h17
Uther

Citation:

Envoyé par spyserver

Pour moi le protocole HTTPS n'indique pas seulement qu'on utilise du SSL à la base, il y a aussi une notion d'autorité et de tiers de confiance

Tu te trompes sur la fonction primaire d'un tiers de confiance. Le rôle premier d'un tiers de confiance n'est pas de contrôler l'identité physique mais de permettre qu'un tiers malveillant n'interfère pas dans l'échange de clés publiques. La vérification de l'identité est une fonctionnalité annexe.

Citation:

Envoyé par spyserver

qui a été complètement bafoué par l'approbation d'autorité comme Let's Encrypt par les autorités racines

Les certificats OV et EV, qui fournissent des informations sur la société, n'ont jamais été la norme unique. Toutes les autorités de certifications ont toujours délivré des certificats de type DV (qui valident le domaine uniquement). Comme ils offrent moins de garanties, c'était déjà les moins chers. Let's encrypt les a juste rendu gratuits.

Citation:

Envoyé par spyserver

ou encore certaines autorité chinoises qui donnent des certifs sans aucune vérification

Tu as des cas précis en tête, parce que, les autorités qui attribuent les certificats OV ou EV sans faire les vérifications adéquates risquent gros si c'est découvert. C'est notamment le cas de DigiNotar et des filiales de Symantec qui ont été retirées des navigateurs, ce qui a provoqué la faillite du premier.

Citation:

Envoyé par spyserver

le vrai problème est la pour moi, si les certificats des sites de Phishing ne sont pas approuvés par les autorités racines, le cadenas n'apparaitrai pas et on se rapprocherai du fonctionnement nominal du HTTPS ...

Sauf que ce que tu décris n'est justement pas le fonctionnement nominal du https. Que tu le veuille ou non, le https seul n'a jamais garanti l'identité du site ou tu te connecte.
29/11/2018, 09h06
spyserver

Mais c'est bien la tout le problème, des champs existent pour assurer l'identité d'un site mais vous indiquez qu'ils ne sont pas controlés ou pire pas renseignés pour les certificats gratuits ... en gros si le HTTPS garantie uniquement l'identité d'un serveur vis à vis du client mais que ce serveur n'est pas ce qu'il indique être en terme de contenu, pour vous tout est ok, et bien non, le HTTPS doit vérifié l'identité physique bien entendu et cette vérification doit être effectué par l'autorité de confiance justement ...
Ca marchait très bien avant Let's encrypt je vois pas pourquoi on pourrait pas revenir en arrière ... et oui la sécurité à un cout :) mais ça fait parti du jeu et pour ce qui est des certificats délivrés gratuitement, il faudrait les distinguer visuellement dans le navigateur, exemple : rouge -> HTTP, orange -> HTTPS avec identité non vérifiée, vert ->HTTPS avec identité confirmée (Paypal, Facebook,etc.)
29/11/2018, 10h06
Uther

Citation:

Envoyé par spyserver

Mais c'est bien la tout le problème, des champs existent pour assurer l'identité d'un site mais vous indiquez qu'ils ne sont pas controlés ou pire pas renseignés pour les certificats gratuits ...

Il y a toujours eu 3 type de certificats pour https:
- DV (Domain Validation) : Valide uniquement que la connexion au domaine ne peut être usurpée. Comme ils ne requièrent pas de vérification légales, ils sont peu cher et rapide à obtenir, encore plus depuis Let's Encrypt.
- OV (Organisation Validation) : Fournis en plus quelques info légales sur l'organisation qui a demandé le certificat.
- EV (Organisation Validation) : Fournit des information légales supplémentaire qui requièrent une vérification plus poussée, il sont donc plus cher et long a obtenir, mais ils permettent d'avoir le nom de la société affiché directement dans la barre d'adresse.

Citation:

Envoyé par spyserver

mais que ce serveur n'est pas ce qu'il indique être en terme de contenu, pour vous tout est ok

Je ne dit pas que qu'il n'y a pas moyen de faire mieux. Personnellement, je n'afficherais pas du tout le cadenas vert, c'est une information trompeuse.
Mais ça a toujours été le mode de fonctionnement nominal du https depuis toujours. Apprendre aux gens que le cadenas indique un site de confiance était et reste une imbécilité.

Citation:

Envoyé par spyserver

Ca marchait très bien avant Let's encrypt je vois pas pourquoi on pourrait pas revenir en arrière ... et oui la sécurité à un cout

Rien n'a changé au fonctionnement du https avec Let's Encrypt. Les certificats DV existaient déjà avant, c'est juste qu'ils sont encore mois cher.
29/11/2018, 10h44
spyserver

Oui on est d'accord, mais Let's encrypt a démocratisé l'usage du HTTPS pour les fraudeurs en étant gratuit, le web n'était pas inondé de sites HTTPS avant et seuls les grands sites avaient leur cadenas, ma remarque portait sur le ressenti simplement ...
Mais donc on peut donc considérer un certificat HTTPS type EV (Extended Validation) comme étant le certificat HTTPS type pour un site web sécurisé et comme étant le seul éligible au cadenas vert, c'était le sens de ma première remarque ... les DV n'étant que des variantes pour permettre tout de même d'encrypter ses échanges à titre perso (ou autre justement ...) sans identité garantie ... et donc la pas de cadenas vert attendu (logiquement).
29/11/2018, 16h16
Fagus

Je pense que le cadenas vert c'est insuffisant. Déjà, vu qu'il y a plusieurs niveaux de sécurité en certificats, ça devrait être plus évident à percevoir (même avec un clic en plus...)
Ensuite, je ne comprends pas très bien comment le navigateur vérifie que le certificat est bien conforme. D'après ce que j'ai compris, il y a une sorte de système dit "certificate pinning" dans les navigateurs qui le fait, mais mal ?

En ce qui me concerne, je suis sous windows 10 et kaspersky. Mon navigateur me dit que tous les https sont sécurisés, mais le certif est celui de kaspersky si on regarde. En fait, mon A-V comme beaucoup d'autres fait un man in the middle pour analyser la connexion en installant un certificat racine de confiance.
Sauf qu'aucun des navigateurs de mon PC ne s'alarme alors qu'intellectuellement, c'est comme si toutes les connections étaient corrompues. (Qu'est ce que j'en sais qu'un jour je n'ai pas donné un accès admin à un prog légitime mais corrompu qui a installé un certificat racine plus vrai que nature ?).

Ensuite, pour rebondir sur le problème de spoofing des noms de domaine internationalisés IDN, je n'ai trouvé aucun moyen de les désactiver dans le navigateur, mais il y a une extension (encore) qui le fait : "IDN Safe".