Le HTTPS, synonyme de sécurité… vraiment ?

Un petit article sur la cybersécurité pour les nuls, c’est à dire – en la matière – pour la plupart d’entre nous. On lit trop souvent que les sites en https sont des sites dits sécurisés, que vous pouvez y aller les yeux fermer en matière de remplissage de formulaire, de paiement et autre joyeusetés qui remplissent les bases de données de nos amis GAFAS et de leurs petits.

Prudence quand même…

En effet on voit de plus en plus souvent, et c’est heureux, des URL de pages web commençant par HTTPS, le  S signifiant « Sécurisé ». Ceci est essentiellement dû au fait que Google a décidé de donner une prime SEO (référencement) aux sites proposant le protocole https au détriment d’un simple http et ce dans le but fort louable d’avoir un Internet mieux sécurisé. Et bien entendu dés qu’on parle SEO alors les gestionnaires de sites s’empressent de répondre favorablement aux injonctions de dieu Googlebot… plus rapidement en tout cas qu’à celles de la CNIL par exemple.

 

https et certificat SSL sont importants en matière de cybersécurité

 

Mais attention, la présence de la serrure verte associée au https, signifie simplement que le site a reçu un certificat et qu’une paire de clés de chiffrement a été générée pour lui et donc que ce site chiffre les informations transmises entre vous et lui. Bien sûr, ce chiffrement des données est une bonne chose. En clair cela signifie que les informations échangées entre votre navigateur et le site ne sont pas accessibles à des tiers, qu’il s’agisse de FAI, de hackers, etc. Il vous permet de saisir des mots de passe ou des données de carte de crédit sans vous soucier des regards indiscrets, pas d’espionnage donc.

Mais c’est tout…

Un site en https peut être une vraie passoire

Cela ne signifie pas que le site présente toutes les garanties de sécurité. Vous pouvez tout aussi bien avoir un site de phishing en https mais mais aussi plus basiquement une simple boutique en ligne basée sur un CMS pas à jour et donc exposée à des fuites de données.

Le https ne dit absolument rien de la qualité et de la sécurité du site auquel il est associé, s’il est codé avec les pieds, et c’est souvent le cas, si le CMS qui le motorise n’est pas à jour, la présence d’un certificat n’y changera rien…

Donc sur Internet, comme dans la rue, prudence… Essayez toujours de savoir à qui vous avez à faire avant de laisser des informations. Les mentions légales, la politique de confidentialité, des recherches complémentaires sur la société possédant le site vous permettront d’y voir plus clair.

Et vous, comment vous assurez-vous qu’un site est digne de confiance ?

Reply