Comment détecter les sites web non sécurisés ?

Les fraudes sur internet et cyber attaques se sont multipliées ces dernières années, mettant en difficulté les internautes amenés à communiquer, bien souvent malgré eux, des données sensibles ou à ouvrir la porte, sans le savoir, à des logiciels malveillants. Pour limiter ces risques, il est indispensable de savoir repérer si un site web est sécurisé ou non. Voici 7 points de diagnostic à vérifier avant d’aller plus loin dans la navigation sur un site web.

Au terme de quelques requêtes dûment retravaillées, Google vient enfin de vous flécher les sites internet qui répondent parfaitement à votre recherche. Ce n’est donc plus le moment de se poser des questions ! Sauf que…. justement, vous courrez le risque, si vous foncez tête baissée, de fréquenter un site qui n’est pas sécurisé. UpSignOn vous propose 7 points de contrôle avant d’aller plus loin. 

 

Un design obsolète, des pages buggées 

Un design trop “old school” dans le graphisme ou les choix typographiques, des liens cassés ou des pages qui refusent de s’afficher… Vous êtes très probablement face à un site qui n’a pas été mis à jour depuis quelques années et/ou qui manque cruellement de maintenance. 

Ces faiblesses induisent d’abord une mauvaise expérience utilisateur : vous aurez certainement envie de passer votre chemin ! Sachez ensuite qu’elles peuvent entraîner aussi des vulnérabilités de sécurité. Les mises à jour de sécurité sont importantes pour résoudre les vulnérabilités connues et améliorer la sécurité globale du site web. Par ailleurs, les pages buggées peuvent être exploitées par des attaquants pour compromettre le site web ou voler des informations sensibles. Certains d’entre eux utilisent effectivement des failles dans le code pour injecter des scripts malveillants ou accéder à des données confidentielles…. 

 

L’usage du protocole HTTP au lieu de HTTPS

Dans un protocole de communication entre un navigateur web (client web) et un serveur web (client serveur) de type http://, les échanges de données sont réalisés de manière ouverte, sans chiffrement. Ce système n’est absolument pas conçu pour résister aux cyberattaques, notamment les attaques de l’homme du milieu. 

Le HTTPS (pour “Hypertext Transfer Protocol Secure) est justement un protocole de transmission chiffré entre un navigateur et un serveur. Lorsque ce protocole est utilisé, toutes les communications entre le serveur web et le navigateur sont chiffrées : contenu des pages web, données de formulaires, mots de passe, carte de crédit, etc… La clé de chiffrement utilisée est spécifique à la session de navigation en cours pour garantir que personne d’autre ne puisse accéder à vos données.

 

Vous pouvez repérer le protocole utilisé en regardant le début de l’url (c’est-à-dire l’adresse) du site que vous visitez : si l’url commence par http:// et non par https://, alors tout ce que vous voyez sur la page et tout ce que vous envoyez peut être vu par toute personne connectée au réseau.

 

Ce protocole a été généralisé en 2017 d’abord pour les entreprises de e-commerce puis s’est progressivement étendu à tous les sites internet souhaitant apparaître comme sécurisés. Autrement dit, avant de poursuivre la navigation sur un site internet, vous avez donc tout intérêt à vérifier l’utilisation du protocole HTTPS par le site que vous vous apprêtez à consulter. 

 

Plusieurs niveaux de protocoles HTTPS HTTPS regroupe en fait une famille de protocoles plus ou moins sécurisés. Des vulnérabilités ont été découvertes dans les premières versions de HTTPS (SSLv2 puis SSLv3). Le protocole TLS qui leur a succédé a lui aussi évolué : TLS 1.0 et TLS 1.1 sont désormais obsolètes et seuls TLS 1.2 et TLS 1.3 sont aujourd’hui recommandés. Or les vieux navigateurs ne sont pas compatibles avec ces protocoles. Pensez donc à mettre à jour vos navigateurs pour éviter d’utiliser des protocoles de sécurité obsolètes.

Un certificat de sécurité manquant ou invalide

Attention, l’utilisation du protocole https seule n’est pas suffisante pour garantir la sécurité. Le protocole https exploite également les informations contenues dans le certificat de sécurité fourni par le site. Ce certificat est émis par une autorité de certification (CA) de confiance pour une durée généralement d’un an (renouvelable) et contient des informations sur le site web, telles que son nom de domaine, sa clé publique, sa période de validité et l’autorité de certification qui l’a émis.

Grâce à ce certificat, votre navigateur va pouvoir vérifier que le serveur avec lequel vous communiquez est bien celui qui possède le nom de domaine que vous avez saisi dans l’adresse du site.

Plusieurs problèmes peuvent être remontés par le navigateur. Par exemple, si le certificat n’est pas signé par une autorité de confiance connue, ou si le certificat est expiré, alors le navigateur refusera par défaut de poursuivre la navigation. Ne forcez pas le navigateur à poursuivre la navigation !

Voici les différents comportements que peuvent avoir les navigateurs lorsqu’ils détectent un certificat invalide.

 

Remonter un avertissement de sécurité

Le message peut varier selon le navigateur que vous utilisez et évoquer entre autres les notions de “logiciel malveillant” ou de “risque probable de sécurité”. Il peut aussi indiquer plus directement que le certificat est manquant ou invalide.

 

Afficher un cadenas barré ou en rouge à côté de l’URL

Nombreux sont les navigateurs à signaler un certificat de sécurité manquant ou invalide par un code graphique simple : un cadenas barré ou passé en rouge en haut à gauche de la fenêtre. Un simple clic droit sur le cadenas vous en dira plus sur la sécurité de la connexion.

 

La composition de l’url d’un site web

Attention, l’utilisation du protocole https et d’un certificat de sécurité valide vous garantit simplement que vos communications sont chiffrées et que vous communiquez avec le serveur qui détient effectivement le nom de domaine indiqué. Cela n’indique pas que le nom de domaine est bien celui de l’entreprise que vous avez cherché !

 

Imaginons que vous cherchiez à contacter le site de votre banque. Son url légitime serait par exemple ma-banque.com.

 

Étape 1 : identifier le nom de domaine.

Dans une URL, le nom de domaine est tout ce qui se trouve après https:// et avant le premier caractère ‘/’ ou ‘#’ ou ‘?’.

Par exemple, dans https://ma-banque.com/login, le nom de domaine est ma-banque.com.

De même, dans https://login.ma-banque.com/fr, le nom de domaine est login.ma-banque.com.

 

Étape 2 : comprendre la notion de sous-domaine.

Dans un nom de domaine, on peut ajouter un sous-domaine en ajoutant le nom du sous-domaine suivi d’un point AVANT le domaine principal.

Par exemple, login.ma-banque.com est un sous-domaine de ma-banque.com et non l’inverse.

On peut ajouter autant de sous(-sous)-domaines que l’on souhaite. 

 

Étape 3 : ne pas confondre les domaines

Les pirates utilisent plusieurs méthodes pour vous tromper : 

• utilisation d’un nom de domaine avec la mauvaise extension (.org au lieu de .com par exemple)
• utilisation d’un nom de domaine proche, par exemple en ajoutant un point au milieu, en remplaçant un caractère spécial par un autre, ou en changeant un ‘o’ en ‘0’. Cela pourrait donner :
  • https://ma.banque.com
  • https://mabanque.com
  • https://mabaqnue.com
• utilisation d’un sous-domaine de leur domaine à eux correspondant à celui que vous cherchez, par exemple :
  • https://ma-banque.login.com
  • https://ma-banque.secure-login.com

Ne vous y trompez pas ! vous n’êtes pas sur le bon site !

 

Ce point est crucial car c’est le moyen le plus courant pour les hackers pour faire du hameçonnage ! Avant de saisir vos données personnelles, vous devriez systématiquement vérifier que vous êtes bien sur la page officiel de l’organisme que vous recherchez, et d’autant plus si ce lien vous a été envoyé par mail ou sms.

 

Le renvoi d’un mot de passe par email

Vous vous êtes inscrits sur un site web, avez créé un compte et défini un mot de passe. Ce mot de passe est stocké sur le serveur du site web, et chaque fois que vous vous connectez, le site web vérifie que le mot de passe entré correspond à celui qui est stocké sur le serveur.

En principe, ce mot de passe n’est pas stocké en clair sur un site web sécurisé. Ce dernier va utiliser un algorithme de hachage pour crypter le mot de passe avant de le stocker sur le serveur. Conséquence : si un hacker parvient à accéder à la base de données du serveur, il ne pourra pas voir votre mot de passe en clair. Même l’administrateur du site lui-même sera incapable de lire votre mot de passe.

Certains sites non sécurisés  stockent encore les mots de passe en clair sur leur serveur, une porte ouverte sur vos données pour les hackers. Si le site vous envoie votre mot de passe par mail lorsque vous utilisez le bouton de mot de passe oublié, alors ce site stocke votre mot de passe en clair, fuyez et changez immédiatement votre mot de passe sur vos autres sites si vous avez eu la mauvaise idée de réutiliser le même partout.

 

La présence de publicités et pop-ups

Enfin, vous porterez une attention particulière aux publicités et aux pop-ups qui s’affichent inopinément sur un site web ! En effet, certains cybercriminels utilisent ces éléments pour diffuser des logiciels malveillants ou pour rediriger les utilisateurs vers des sites web frauduleux et non sécurisés.

Attention également si le site que vous visitez affiche des publicités sur sa page de connexion. C’est une très mauvaise pratique car cela peut générer des problèmes de sécurité critiques.

 

La sécurité informatique est un enjeu d’avenir crucial. Elle concerne autant les particuliers que les entreprises : dans votre quotidien personnel, comme professionnel, chacun d’entre vous devez faire preuve de vigilance et vous montrer critique envers la sécurité des sites web que vous visitez. Vous avez désormais quelques éléments de diagnostic. Ainsi, si vous repérez sur un site web l’absence de certificat de sécurité, l’utilisation du protocole HTTP, une erreur dans une URL (nom de domaine ou sous domaine), un design obsolète, le renvoi d’un mot de passe par mail ou la présence de publicité sur la page de connexion, il y a tout lieu de passer votre chemin ! 

 

3 points d’attention propres aux pages transactionnelles d’un site web  Avant d’envoyer un formulaire comportant des données bancaires confidentielles,validez bien la sécurité de la transaction par la présence des points suivants : > Un formulaire crypté et sécurisé : son URL doit commencer par « https:// » dans la barre d’adresse du navigateur. > Un formulaire Stripe : Stripe est une plateforme de paiement en ligne qui permet aux sites web de traiter les transactions de manière sécurisée. Stripe dispense les sites web utilisateurs de stocker les informations de carte de crédit sur leur serveur. Toutes les données sensibles sont stockées sur les serveurs Stripe, conformes aux normes de sécurité les plus strictes. > L’obligation de 3D Secure : ce protocole de sécurité (également appelé « Verified by Visa » ou « Mastercard SecureCode ») est un système de sécurité pour les transactions en ligne. Il permet aux banques et aux émetteurs de cartes de crédit de vérifier l’identité du titulaire de la carte avant d’autoriser une transaction en ligne. Les sites web réduisent ainsi le risque de fraude par carte de crédit.