Les acheteurs en ligne sont souvent encouragés à s’assurer que leurs magasins en ligne choisis sont « sécurisés », que le « s » en HTTPS est visible et que le navigateur Web affiche un symbole de cadenas. Propager ces indicateurs visibles en tant que confirmation de la sécurité du site Web n’est pas seulement irresponsable; c’est aussi dangereux.
Comme Brian Krebs l’a récemment souligné à propos de Krebs sur la sécurité, même aux États-Unis. les sites web gouvernementaux et fédéraux sont coupables de cette pratique, comme si le cadenas garantissait le caractère officiel et sécurisé du site. Ce n’est pas le cas. Le symbole de verrouillage et l’URL associée contenant « https » signifient simplement que la connexion entre votre navigateur Web et le serveur du site Web est cryptée. C’est bien, non? Oui, une connexion cryptée est positive, du moins en apparence, et implique un niveau de confiance élevé qui est censé être atteint par l’utilisation d’un certificat SSL.
Comme discuté dans un article précédent, les certificats SSL eux-mêmes se présentent sous de nombreuses formes, des efforts de bricolage utilisant OpenSSL (vous pouvez même être votre propre autorité de certification) et des certificats gratuits de Let’s Encrypt aux solutions achetées auprès d’autorités de certification « reconnues ». Aucun ne fait autre chose que confirmer la propriété d’un domaine, et autre que la confirmation du cryptage, ne confirme en aucune façon les pratiques de sécurité de ce site Web. Il confirme que le propriétaire du site Web a un accès administrateur au serveur Web et a vérifié son identité d’une manière qui varie en fonction du certificat SSL sélectionné.
Illustrons les étapes nécessaires que les utilisateurs doivent prendre pour décider de faire confiance à un site Web et, dans certains cas, à quel point il est facile pour les cybercriminels de contourner les processus dits de vérification.
Selon PhishLabs, au dernier trimestre de 2019, 74% des sites Web de phishing signalés étaient « sécurisés », à la fois HTTPS et avec le symbole du verrou. Je pourrais terminer ce post ici, après avoir prouvé que les deux critères ne valent rien en termes de sécurité. Mais je ne le ferai pas
HTTPS Ne veut rien dire
Le seul avantage de HTTPS est qu’il force plus ou moins les connexions cryptées en ligne car, sans cela, de nombreux navigateurs refuseront d’accéder au site et afficheront un avertissement. Si l’utilisateur souhaite toujours se connecter au « site non sécurisé », c’est possible, mais l’avertissement est donné, ce qui dissuadera la plupart des utilisateurs. Malheureusement, les cybercriminels ne sont pas stupides, donc la plupart utiliseront le cryptage SSL, comme mentionné précédemment. Félicitations, vous disposez désormais d’une connexion cryptée directe au site Web d’un cybercriminel, spécialement conçue pour les attaques de phishing, la diffusion de logiciels malveillants ou d’autres motivations telles que la récolte de données.
On ne peut pas faire confiance aux domaines
Tout le monde peut configurer un site Web avec des coûts d’hébergement allant du gratuit (qu’il s’agisse de sous-domaines légitimes ou piratés) et du budget aux serveurs dédiés. Certains domaines sont plus fiables que d’autres, mais comme l’a démontré Brian Krebs (oui, je suis un lecteur régulier), même les domaines .gov (réservés aux organisations gouvernementales aux États-Unis).) peuvent facilement être usurpés lorsque ceux qui recherchent le domaine pour les escroqueries sont prêts à utiliser des méthodes illégales. Le niveau de recherche requis était minime. Je suppose que les domaines .mil et .edu sont plus robustes, mais qui sait, non ? Un de mes propres domaines utilise.com.hk et n’est disponible que pour les sociétés enregistrées à Hong Kong. Ce fut une douleur à mettre en place – nécessitant plusieurs e-mails, des copies de mon certificat d’enregistrement d’entreprise, de mon compte bancaire d’entreprise, de mon passeport et des détails de résidence. Mais au moins, je sais que le processus est un bon, impliquant une vérification croisée avec plusieurs ministères. Il n’en va pas de même pour .com et les autres domaines de premier niveau, quel que soit leur emplacement. Si quelqu’un peut en obtenir un, comment peut-il ajouter de la confiance à un site Web?
La Vérification Whois Est Généralement Sans valeur
Pour éviter le spam, la plupart des sites Web masquent les informations de contact du site Web ou, au mieux, ne fournissent que des contacts généraux. En outre, le fournisseur d’hébergement peut être situé n’importe où et reflète rarement l’emplacement physique de l’entreprise.
Une diligence raisonnable Est Toujours nécessaire
Comme mentionné dans les articles précédents, je possède et gère quelques sites Web à faible trafic. Je suis allé avec des certificats SSL Let’s Encrypt gratuits (gracieuseté de mon fournisseur d’hébergement) pour plus de commodité. Je n’ai pas de commerce électronique en place pour le moment et j’utilise des passerelles de paiement et un dépôt direct vers les comptes de l’entreprise comme options de paiement préférées. Par conséquent, je n’ai pas d’exigences PCI-DSS, laissant les autres gérer ce cauchemar.
Cependant, conformément à plusieurs réglementations (y compris le RGPD), chaque site dispose d’une politique de confidentialité et de cookies détaillée qui indique exactement quelles informations sont collectées auprès des visiteurs du site. Je sais que mes sites suivent les meilleures pratiques de l’industrie, sont rapidement mis à jour avec des correctifs de sécurité, etc. Comment puis-je m’assurer que les sites que je visite sont tout aussi sûrs et dignes de confiance ? Plus important encore, quels sont les risques?
Les risques De S’Appuyer Sur HTTPS Comme Principale Indication de sécurité
Les cybercriminels utilisent HTTPS pour la plupart, et les sites Web eux-mêmes sont souvent liés à des campagnes de phishing ou de logiciels malveillants. Vous pouvez y arriver à partir d’un lien e-mail, à la suite d’une requête d’un moteur de recherche ou d’une référence d’un autre site. Oui, ils sont également conscients du référencement. Le fait est, bien sûr, qu’ils possèdent les sites Web afin qu’ils puissent installer tout ce qu’ils souhaitent pour réussir leurs objectifs.
Un téléchargement gratuit pourrait faire des ravages sur votre système ou lancer des outils d’enregistrement de frappe, cliquer sur un lien pourrait lancer un programme ou modifier le registre en arrière-plan car les fenêtres de notification sont souvent délibérément évitées. Cliquer sur n’importe quoi sur ces sites pourrait causer des problèmes. En fait, même le chargement d’une page Web pourrait le faire car de nombreux plugins sont disponibles pour récolter les données des visiteurs une fois qu’ils se connectent au site. Si votre système d’exploitation ou votre navigateur Web présente une vulnérabilité (même les outils de suivi des visiteurs de base peuvent obtenir des détails sur le navigateur et le système d’exploitation), vous êtes ouvert à une attaque. Ils auront votre adresse IP (sauf si vous utilisez un VPN) pour lancer l’outil de piratage approprié.
Quelques Conseils Et Signes Avant-Coureurs Pour Vous Protéger En Ligne
Les conseils suivants (liste non exhaustive) réduiront les risques lors de la navigation sur le Web:
Mises à jour et correctifs de sécurité pour les navigateurs, les systèmes d’exploitation et les logiciels
Installez-les rapidement car les pirates informatiques et les testeurs d’intrusion ont accès aux données accessibles au public sur les dernières vulnérabilités et peuvent utiliser des outils pour rechercher des vulnérabilités spécifiques.
Utilisez des navigateurs sécurisés (avec des options de sécurité intégrées)
Votre sélection est une préférence personnelle. J’utilise cinq ou six navigateurs différents, dont Brave, Firefox et Tor.
Utilisez des Addons et des extensions pour protéger la navigation
Ajouter à la sécurité de votre navigateur Web est une bonne idée. Tout ce qui vient de l’Electronic Frontier Foundation est un ajout digne, tout comme les essentiels de confidentialité de DuckDuckGo.
VPN
Utilisez un VPN pour masquer votre adresse IP réelle et la faire défiler toutes les 30 minutes environ. Même les gratuits vous cacheront des cybercriminels. Faites votre choix judicieusement car certains VPN ne font que récolter des données pour les spécialistes du marketing et sont eux-mêmes ciblés par des pirates informatiques. J’utilise une solution commerciale.
SEO
L’utilisation d’un outil tel que SEO Quake peut fournir des indices sur la légitimité d’un site Web, notamment l’âge, le nombre de liens externes et internes, et bien plus encore.
Le site Web
Les sites Web suspects manquent souvent des bases. L’anglais peut être faible. Il peut manquer de véritables informations sur le propriétaire du site Web, telles que les coordonnées. Il ne nécessitera généralement pas de pages de politique de confidentialité et de cookies. Il peut pousser BitCoin ou d’autres monnaies numériques comme méthodes de paiement préférées. Dans la plupart des cas, il se sentira juste « off » ou offrira quelque chose pour un prix trop incroyable pour être vrai. Dans le climat actuel, les escroqueries au COVID-19 sont courantes, alors soyez prudent.
Conclusion
En conclusion, lorsque vous visitez de nouveaux sites Web, ne vous fiez pas au symbole de verrouillage ou à HTTPS. Prenez ce site et considérez pourquoi vous êtes ici. Progress est une marque bien connue avec une portée mondiale. La plupart d’entre nous s’en tiennent à des marques établies, mais une recherche pourrait vous mener vers un nouveau fournisseur de produits ou de services. Faites votre diligence raisonnable avant de faire un achat ou même d’explorer un nouveau site. Recherchez le nom de domaine entre guillemets et ajoutez « avis » ou « arnaque » pour faciliter la vérification (en gardant à l’esprit que de faux avis et sites connexes sont également possibles). Oui, les escrocs pensent à tout. Bonne chance