Comment détecter les sites web non sécurisés ?
Guide pratique pour adopter les bons réflexes lorsque vous naviguez sur internet.
Les fraudes sur internet et cyber attaques se sont multipliées ces dernières années, amenant les internautes à communiquer des données sensibles ou à ouvrir la porte, sans le savoir, à des logiciels malveillants. Pour limiter ces risques, il est indispensable de savoir repérer si un site web est sécurisé ou non. Voici 5 points de diagnostic à vérifier avant d’aller plus loin dans la navigation sur un site web.
Un design obsolète, des pages buggées
Un design trop “old school” dans le graphisme ou les choix typographiques, des liens cassés ou des pages qui refusent de s’afficher… Vous êtes très probablement face à un site qui n’a pas été mis à jour depuis quelques années et/ou qui manque cruellement de maintenance.
Ces faiblesses induisent d’abord une mauvaise expérience utilisateur : vous aurez certainement envie de passer votre chemin ! Sachez ensuite qu’elles peuvent entraîner aussi des vulnérabilités de sécurité. Les mises à jour de sécurité sont importantes pour résoudre les vulnérabilités connues et améliorer la sécurité globale du site web. Par ailleurs, les pages buggées peuvent être exploitées par des attaquants pour compromettre le site web ou voler des informations sensibles. Certains d’entre eux utilisent effectivement des failles dans le code pour injecter des scripts malveillants ou accéder à des données confidentielles…
L’usage du protocole HTTP au lieu de HTTPS
L’utilisation du protocol http n’est quasiment plus possible aujourd’hui car les navigateurs modernes bloquent l’accès à ces sites et affichent un avertissement de sécurité. Mais si vous naviguez avec un navigateur ancien ou si vous choisissez de contourner le blocage en forçant l’affichage du site, sachez que vous tout le monde peut voir tout ce que vous écrivez sur le site, y compris vos mots de passe, vos informations de paiement, etc.!
À l’inverse, le protocol https permet de chiffrer toutes les communications entre vous et le site. Ce n’est pas une garantie de sécurité parfaite, mais c’est vraiment le strict minimum que vous pouvez exiger d’un site!
Note technique : plusieurs version de https
Toutes les connexions https ne se valent pas. Le protocol a évolué au cours du temps. Les premières versions du procotol (SSLv2 puis SSLv3) ne sont plus considérées comme sûres. Le protocol TLS qui leur a succédé a lui aussi évolué: TLS 1.0 et TLS1.1 sont désormais obsolètes et seul TLS 1.2 et TLS 1.3 sont aujourd’hui recommandés. Or les vieux navigateurs ne sont pas compatibles avec ces protocoles. Pensez donc à mettre à jour vos navigateurs pour éviter d’utiliser des protocoles de sécurité obsolètes.
Attention, des liens https:// peuvent aussi ne pas être sûrs si le certificat associé n’est pas reconnu. Dans ce cas votre navigateur vous affichera un avertissement de sécurité et un cadenas barré.
- Évitez de cliquer sur des liens commançant par http://, ne cliquez que sur des liens commençants par https://
- N’ignorez pas les avertissements de sécurité de votre navigateur, sauf si vous savez vraiment ce que vous faites.
La composition de l’url d’un site web
Attention, un site web https:// sans alrte de sécurité n’est pas forcément le site web que vous vous attendiez vraiment à visiter. Imaginons que vous cherchiez à contacter le site de votre banque. Son url légitime serait par exemple ma-banque.com.
Étape 1 : identifier le nom de domaine
Dans une URL, le nom de domaine est tout ce qui se trouve après https:// et avant le premier caractère ‘/’ ou ‘#’ ou ‘?’.
Par exemple, dans https://ma-banque.com/login, le nom de domaine est ma-banque.com.
De même, dans https://login.ma-banque.com/fr, le nom de domaine est login.ma-banque.com.
Étape 2 : comprendre la notion de sous-domaine
Dans un nom de domaine, on peut ajouter un sous-domaine en ajoutant le nom du sous-domaine suivi d’un point AVANT le domaine principal. Par exemple, login.ma-banque.com est un sous-domaine de ma-banque.com et non l’inverse. On peut ajouter autant de sous(-sous)-domaines que l’on souhaite.
Étape 3 : ne pas confondre les domaines
Les pirates utilisent plusieurs méthodes pour vous tromper :
- utilisation d’un nom de domaine avec la mauvaise extension (.org au lieu de .com par exemple)
- utilisation d’un nom de domaine proche, par exemple en ajoutant un point au milieu, en remplaçant un caractère spécial par un autre, ou en changeant un ‘o’ en ‘0’. Cela pourrait donner :
- https://ma.banque.com
- https://mabanque.com
- https://mabaqnue.com
- utilisation d’un sous-domaine de leur domaine à eux correspondant à celui que vous cherchez, par exemple :
- https://ma-banque.login.com
- https://ma-banque.secure-login.com
Ne vous y trompez pas ! vous n’êtes pas sur le bon site !
Ce point est crucial car c’est le moyen le plus courant pour les hackers pour faire du hameçonnage ! Avant de saisir vos données personnelles, vous devriez systématiquement vérifier que vous êtes bien sur la page officiel de l’organisme que vous recherchez, et d’autant plus si ce lien vous a été envoyé par mail ou sms.
Le renvoi d’un mot de passe par email
Les sites webs ne sont pas censés stockés vos mots de passe tels quels. Ils sont censés stocker seulement une empreinte de votre mot de passe pour être incapable de lire votre mot de passe eux-mêmes et pour qu’un pirate ayant pris le contrôle du site ne puisse pas non plus récupérer les mots de passe des utilisateurs.
Lorsque vous utilisez la fonction de mot de passe oublié, le site doit vous faire cliquer sur un lien puis vous demander de choisir un nouveau mot de passe.
Donc si un site vous renvoie votre mot de passe par email lorsque vous utilisez le bouton mot de passe oublié, c’est qu’il n’a absolument pas respecté ce principe de base. Fuyez et changez immédiatement votre mot de passe sur vos autres sites si vous avez eu la mauvaise idée de réutiliser le même partout.
La présence de publicités et pop-ups sur la page de connexion
Si le site que vous visitez affiche des publicités sur sa page de connexion, soyez très méfiant car c’est une très mauvaise pratique et cela peut générer des problèmes de sécurité critiques.