Ne faisons pas durer le suspense .. La réponse est non. Voila, fin de l’article, bonne journée tous.
Plus sérieusement, je vais vous expliquer pourquoi un site en https est un site « sécurisé » mais que vous n’êtes pas forcément en sécurité sur celui ci.
Commençons par quelques explications sur la différence entre HTTP et HTTPS.
Pourquoi le HTTP n’est plus utilisé ?
HTTP signifie Hypertext Transfer Protocol. C’est un protocole (c’est-à-dire une manière de présenter des informations) utilisé pour transférer des données sur un réseau. La plupart des informations envoyées sur Internet, y compris le contenu du site Web, utilisent le protocole HTTP. Il existe deux principaux types de messages HTTP : les requêtes et les réponses.
Une requête HTTP n’est qu’une série de lignes de texte qui ressemble à ceci :
GET /COUCOU.txt HTTP/1.1
User-Agent : curl/7.63.0 libcurl/7.63.0 OpenSSL/1.1.l zlib/1.2.11
Host : www.exemple.fr
Accept-Language : fr
Cette section de texte, générée par le navigateur de l’utilisateur, est envoyée via Internet. Le problème est qu’il est envoyé sous cette forme, avec un texte en clair que toutes personnes surveillant la connexion peut lire (ceux qui ne connaissent pas le protocole HTTP peuvent trouver ce texte difficile à comprendre, mais quiconque ayant des connaissances basiques sur les commandes et la syntaxe du protocole peut le lire facilement).
Cela est particulièrement problématique lorsque les utilisateurs soumettent des données sensibles via un site internet ou une application web. Il peut s’agir d’un mot de passe, d’un numéro de carte de crédit ou de toute autre donnée entrée dans un formulaire. En HTTP toutes ces données sont envoyées en clair et n’importe qui peut les lire.
Qu’est-ce que HTTPS ?
Le S de HTTPS signifie « sécurisé ». HTTPS utilise un certificat que l’on nomme SSL pour chiffrer les requêtes et réponses HTTP, donc dans l’exemple ci-dessus, au lieu du texte, un attaquant verrait une série de caractères apparemment aléatoires.
Au lieu de :
GET /COUCOU.txt HTTP/1.1
User-Agent : curl/7.63.0 libcurl/7.63.0 OpenSSL/1.1.l zlib/1.2.11
Host : www.exemple.fr
Accept-Language : fr
L’attaquant voit quelque chose comme :
FGFVZCZECRRCJ55034F8VVZ4FVEVR4BTB0434VVRVBDSVN44FVREVVE44EFV4322223FFFBRTTBRUne connexion sécurisée et un site sécurisé, ce n’est pas la même chose
La cadenas dans l’url (le nom du site en haut, par exemple : https://rm3a.fr) signifie que le site a reçu un certificat et qu’une de clés de chiffrement a été générée pour lui. Le site chiffre les informations transmises entre vous et le site. Dans ce cas, l’ URL de la page commencent par HTTPS, le dernier « S » signifiant « Sécurisé ».
Bien sûr, le chiffrement des données transmises est une bonne chose. Cela signifie que les informations échangées entre votre navigateur et le site ne sont pas accessibles à d’autres personnes. Il vous permet de saisir des mots de passe ou des données de carte de crédit sans vous soucier des regards indiscrets.
Mais le problème, c’est que le cadenas et le certificat délivré ne disent rien du site lui-même. Une page de phishing (lire l’article sur le phishing) peut tout aussi facilement obtenir un certificat et chiffrer tout le trafic qui circule entre vous et lui.
En termes simples, tout ce qu’un cadenas permet de garantir, c’est qu’aucune autre personne ne pourra espionner les données que vous saisissez. Mais votre mot de passe peut toujours être volé par le site lui-même, si c’est un faux site.
