Naviguer sur Internet devient de plus en plus compliqué et il est parfois difficile de voir venir les arnaques. Pourtant, le protocole HTTPS nous aide -en théorie- à savoir si un site est bien fiable ou non. En jetant un coup d’œil à l’adresse URL d’un site, ce sigle nous prévient que la connexion est bien sécurisée entre vous et les serveurs de la page Web. Sur Chrome (ou un vrai navigateur), vous avez même un petit cadenas qui apparaît devant le nom de domaine et vous avez donc l’impression que rien ne peut vous arriver. À l’inverse, si vous tentez de vous rendre sur une page qui n’est pas sécurisée, on vous prévient que vous êtes quasiment en train d’essayer de franchir les portes de l’enfer. L’importance de ce HTTPS est telle que même Google sanctionne les sites qui ne se plient pas au standard en ne les faisant pas apparaître dans le haut des résultats de recherche. Pourtant, il est aujourd’hui également l’apanage des hackers.
HTTPS : le hack en toute sécurité
S’il y a bien une qualité que l’on peut louer chez nos ennemis les arnaqueurs, c’est bien cette capacité hors du commun à s’adapter aux nouveaux environnements cybernétiques. Donnez-leur du HTTPS et ils arrivent à s’en servir pour vous faire plonger dans leurs filets. Vous voyez le protocole dans une adresse Web, vous baissez votre vigilance et vous voilà victime d’un pirate zélé qui a très bien fait son travail. Il a tout simplement installé un certificat SSL (Secure Socket Layer) sur son site de phishing et lui a donné un semblant de crédibilité. Pour peu que le site soit bien propre et construit avec sérieux, vous ne verrez aucune différence avec un légitime.
C’est bien une des nouvelles méthodes utilisées par les cybercriminels qui vous leurrent en vous dirigeant, par le biais d’e-mails frauduleux, vers des sites qui ressemblent de moins en moins à des arnaques. Ainsi, on tente comme d’habitude de vous soutirer des informations (codes en tout genre, données personnelles, numéro de compte bancaire…), mais on le fait de manière convenable et consciencieuse. Alors, devant tant d’ingéniosité démoniaque, comment ne pas tomber dans le panneau ?
Le sigle HTTPS n’est plus un gage de sécurité pour un site web 👇https://t.co/zsl6HDgHOx
— Numerama (@Numerama) May 1, 2022
L’heure de vérifier la vérification
Il est vrai que si le HTTPS n’est plus un gage de sécurité, on se demande bien comment faire pour ne pas succomber à l’appétit sans fin des pirates à mettre à mal notre innocence. Nos confrères de Numerama ont interrogé Arnaud Lemaire, directeur technique de la société de cybersécurité F5, sur le sujet. Ce dernier a une première recommandation radicale qui en appelle à la prudence perpétuelle :
Ne jamais cliquer sur le lien intégré dans un mail. On tire un trait sur le côté instantané, mais il vaut toujours mieux se rendre sur le site depuis un navigateur et chercher soi-même l’information sur son compte plutôt que tomber dans le piège.
Histoire de bien conforter les paranoïaques qui vont finir par annuler leurs abonnements Internet, il rappelle également que même les sites officiels peuvent être infectés :
L’attaquant va tenter de récupérer du contenu depuis un fournisseur tiers de données grâce aux cookies, comme un annonceur publicitaire.
Il préconise ainsi de faire une recherche Google sur le terme avant même d’entrer sur une page qui vous semble suspecte. Ces dernières ne veulent en effet surtout pas être référencées et préfèrent opérer dans l’ombre des e-mails.
D’abord ce sont généralement des plateformes éphémères liées à une campagne. Ensuite les entreprises que les attaquants veulent usurper traquent les arnaques. Le groupe souscrit à un service de sécurité qui va détecter et alerter le navigateur de l’existence de ce danger.
« Prudence est mère de sureté », et c’est encore plus vrai quand vous naviguez sur le Web, même si ça nous fait sonner comme vos grands-mères. Pour encore plus de sécurité, vous pouvez vous servir d’un VPN puisque ce type de logiciels permet de chiffrer votre trafic sans avoir à vous fier à un certificat externe. Après, cela ne sert à rien si vous entrez docilement le numéro de votre carte bleue dans une page frauduleuse…
