Attention au cadenas vert : il peut s’agir d’un piège

Https_attenzione-al-lucchetto-verde

Il peut arriver qu’au moment où vous vous détendez en pensant être à l’abri des mauvaises surprises, vous vous faites plus facilement escroquer. La confirmation de ce principe élémentaire provient des résultats d’une étude menée par les laboratoires de recherche des PhishLabs qui nous dit que la moitié (49 %) des escroqueries informatiques de type hameçonnage se cachent juste derrière la connexion sécurisée Https et derrière ce cadenas vert rassurant qui devrait nous donner la tranquillité d’esprit d’être sur un site sécurisé.

Malheureusement, cette tranquillité ne doit pas être de mise car elle peut être le plus insidieux des pièges.

Https signifie Hypertext Transfer Protocol Secure, et est un protocole qui sert à protéger les données qui voyagent entre les ordinateurs et les sites.

Normalement, les données transmises via https sont protégées par le protocole Transport Layer Security qui fournit trois niveaux de protection : cryptage, intégrité des données et authentification, c’est-à-dire que l’utilisateur a la garantie que les données échangées sont cryptées, ne peuvent pas être modifiées et qu’il communique effectivement avec le site demandé.

Le cadenas vert est synonyme de sécurité pour tout le monde

Malgré cette garantie de connexion sécurisée, il reste cependant impossible de contrôler ce qui se trouve dans les coulisses, un détail non négligeable qui nous expose effectivement à toutes sortes de fraudes.

Obtenir un certificat SSL, aujourd’hui, est en fait une opération très simple : même, dans de nombreux cas, les fournisseurs qui offrent le service d’hébergement Web le proposent gratuitement comme service accessoire. De plus, pour ceux qui se déplacent dans la zone la plus sombre du réseau, il est assez facile de trouver des certificats SSL volés à racheter. Le criminel n’aura alors plus qu’à créer un clone réussi d’un site internet derrière lequel se cacher et le tour est joué. L’escroquerie est en marche et les hackers apprécieront également l’obscurcissement de leur crime puisque le trafic sera crypté.

À cela s’ajoute souvent l’internationalisation des noms de domaine, ce qui rend plus difficile la lecture des URL et crée plus de confusion chez les utilisateurs. Bref, un gros problème pour l’utilisateur ignorant et convaincu de naviguer en eaux calmes.

Que faire si le cadenas n’est plus aussi rassurant

Nous essayons de remédier à cette situation par le biais de mises à jour logicielles qui tenteront de bloquer les sites de hameçonnage, qu’ils utilisent ou non le cryptage SSL HTTPS. Mais cette mesure ne les identifiera pas tous. Donc, la meilleure défense reste toujours la prudence ainsi que de prendre certaines précautions :

  • faire attention à la typologie du site et vérifier qu’il n’y ait pas de popups ou fenêtres qui renvoient à des sites non protégés pendant la navigation,
  • vérifier qu’il n’y a pas de mots déplacés et de références suspectes dans le nom,
  • privilégier l’accès direct aux sites officiels en les recherchant sur le net plutôt que de suivre des liens qui arrivent par courriel ou par sms,
  • fournir aux appareils des protections antivirus adéquates,
  • analyser les URL, en les comparant aux bases de données de sites de hameçonnage. Il peut également suffire de copier-coller l’adresse Internet en question sur un scanneur d’URL.

Mais le plus important est que chaque fois que nous nous trouvons dans une situation à transmettre nos données privées, nos mots de passe ou nos coordonnées bancaires sur Internet, nous devons être conscients de chaque clic que nous faisons et toujours prendre en compte le danger potentiel.

Avoir une connaissance adéquate de chacune de nos actions numériques

Il est important de s’assurer de la bonne posture numérique de tout le personnel, sans distinction de rôles et de tâches, surtout dans le cas d’entreprises ou d’organisations où un seul comportement incorrect peut mettre en danger l’ensemble du système de production et peut faire perdre beaucoup d’argent et de temps à l’entreprise elle-même.

Disposer de ressources humaines préparées sur les meilleures plateformes de simulation, continuellement mises à jour et « sur le terrain » représentent en effet le système immunitaire le plus puissant dont une organisation puisse se doter. Face à cette barrière, aucun virus antivirus ne peut résister, et même le plus féroce des pirates informatique peut faire face à une résistance telle qu’il renonce à son entreprise malveillante.

En savoir plus sur les parcours de formation de Cyber Guru