Pour de nombreux utilisateurs, HTTPS garantit que les sites internet qu’ils visitent sont sécurisés. Or, de plus en plus de sites d’hameçonnage utilisent ce cryptage. Ainsi, HTTPS seul ne représente plus un indicateur de sécurité. Les fournisseurs de sites d’hameçonnage s’imaginent, à tort, que le HTTPS suppose une sécurité intégrale d’un site internet en fonction de l’utilisation, alors qu’HTTPS signifie simplement que le flux des données entre l’utilisateur et le serveur est crypté. Il ne veut en aucun cas dire que le site internet est sérieux en général.
Que signifie HTTPS ?
HTTPS veut dire “Hypertext Transfer Protocol Secure”, c’est-à-dire un protocole de transfert sécurisé. À l’inverse de HTTP, HTTPS garantit un échange de données crypté entre l’utilisateur d’un site internet et le serveur qui héberge le site. Cela permet d’éviter que ces données ne soient interceptées ou lues par des tiers. C’est pourquoi un certificat SSL/TLS est primordial pour les sites sur lesquels on entre des données personnelles telles que des données bancaires ou de carte de crédit.
Attention aux fraudes via des sites d’hameçonnage
Par hameçonnage (Phishing), on entend fraude en ligne ciblée, souvent initiée par un e-mail frauduleux, qui incite les utilisateurs à visiter des sites internet et à y insérer des données personnelles ou des mots de passe. Pour ce faire, les e-mails tout comme les sites internet imitent souvent certaines entreprises connues.
De prime abord, il n’est pas possible de reconnaître la fraude dans l’URL car, souvent, les fautes de frappe passent inaperçues ou des lettres d’autres pays sont utilisées pour que ces sites d’hameçonnage aient l’air sérieux.
Toutefois, une URL courante comme “https://www.paypal.com” peut être imitée de façon grossière. En effet, la plupart du temps, les utilisateurs accèdent aux sites frauduleux par des URLs aux allures correctes mais pas exactes, telles que : https://paypal-données-controle.com. Encore aujourd’hui, les navigateurs sont incapables de reconnaître avec fiabilité si les sites internet avec un cryptage HTTPS sont sûrs ou non. C’est pourquoi les concepteurs de navigateurs bloquent activement les sites frauduleux une fois identifiés, de sorte qu’on ne puisse plus les consulter. Il est néanmoins de la responsabilité de l’utilisateur de reconnaitre un site d’hameçonnage lorsqu’il en consulte un encore non identifié.
Les conseils de BEE SECURE en matière de phishing
- Méfiez-vous des e-mails inattendus ou des e-mails qui vous demandent quelque chose. Notez que l’expéditeur d’un e-mail (nom et adresse) peut être facilement falsifié.
- Vérifiez l’URL des sites avant d’y insérer vos données personnelles. En cas de doute, recherchez le nom exact du site avec un moteur de recherches. Mieux encore : tapez directement l’adresse du site sans cliquer sur le lien dans l’e-mail.
- Installez une extension de navigateur qui vous permettra d’évaluer les sites internet en fonction de critères tels que la « fiabilité » ou la « protection des mineurs » et qui affiche des messages d’avertissement lorsque vous consultez un site douteux.
Sources : chip.de, heise.de, cio.gov/faq, praxistipps.chip.de