Jan 29 , 2019
Cadenas vert des navigateurs internet : synonyme de sécurité ?

Nos amis les navigateurs internet ont le souci de vouloir améliorer notre expérience utilisateur.
Ils ont d’ailleurs tendance à utiliser des raccourcis visuel pour nous signaler des éléments importants, comme par exemple un pictogramme en forme de cadenas présent en début d’URL.
Peut-on faire confiance aveuglément à cet indicateur, et est-ce le seul élément auquel se fier ?
Vous devez apporter une réponse à ces questions pour votre audience afin de protéger votre site du phishing !

Le cadenas vert représentant un chiffrement SSL

Il semblerait que les utilisateurs accordent beaucoup d’importance au cadenas de sécurité présent dans la barre d’adresse des navigateurs internet.
Est-ce pour autant un gage sécurité ? Oui … et non !
L’entreprise FishLabs dont le coeur de métier est la sécurité informatique s’est posé la question ! Il s’avère que le Phishing, ou “hameçonnage” en français n’est plus réellement représenté par des sites kitsch, transpirant la fraude !
La moitié des sites dits de phishing sont considérés comme “sécurisés” par les navigateurs internet. Ils utilisent donc une connexion chiffrée.
En effet, le phishing se serait adapté au comportement utilisateur des internautes.

Ce qui est inquiétant, c’est que le pourcentage de site frauduleux utilisant une connexion sécurisée ne cesse de croître.
Difficile de reconnaître un site frauduleux, si le design est bien reproduit, le texte parfaitement dupliqué et que la connexion est également chiffrée ; comment faire valoir votre légitimité ?
Sachez tout de même qu’il existe une plateforme appelée phishtank qui recense des sites signalés comme tel, n’hésitez pas à alimenter cette plateforme si vous en trouver un 😉 .
D’ailleurs, les navigateurs web ont tendance à faire croire à tort qu’il faut fuire les sites dont la connexion n’est pas sécurisée.
Peut-être avez-vous déjà vu une page vous bloquant et vous demandant d’accepter pour continuer vers un site internet ?

Mais au fait c’est quoi un chiffrement sécurisé (TLS ou SSL) ?

La petite favicon en forme de cadenas a pour objectif d’indiquer aux utilisateurs que leur connexion est sécurisée.
Effectivement, si ça ne vous a jamais interpellé au premier abord, c’est parce que cette liaison sécurisée est assez transparente.
Cela repose sur un chiffrement sécurisé, en l’occurrence le chiffrement SSL, ou Secure Socket Layer en entier.
Le protocole SSL est le prédécesseur du protocole TLS (Transport Layer Security) qui représente la couche sécurité de votre connexion.
Le TLS est donc une nouvelle version du protocole SSL. Il faut s’attendre à ce que les normes en matière de sécurité évoluent de plus en plus, bientôt les certificats SSL ne seront peut-être plus nécessaires pour être vu comme “assez sécurisés” par votre navigateur, ils exigeront sûrement un certificat TLS.  Affaire à suivre !

HTTPS : l’envoi de paquets chiffrés

Pour comprendre comment le chiffrement SSL fonctionne, il faut comprendre qu’il y a 2 acteurs qui le composent.

 

Schema représentant le chiffrement des paquets par le protocole HTTPS
Schéma représentant le chiffrement des paquets par le protocole HTTPS.
  1. Le premier acteur c’est le client HTTPS, c’est à dire votre navigateur internet.
    Par le biais de ce navigateur, vous allez formuler une requête ( d’ou le nom requête HTTP / HTTPS) qui va être transmise par d’autres protocoles au deuxième acteur de notre schéma.
  2. Le deuxième acteur, c’est le serveur web qui héberge le service que votre navigateur demande. Il va répondre à la demande que vous avez formulé et vous envoyer une réponse sous la forme d’un paquet chiffré.

Et c’est tout ? Non, ça c’est la version simplifiée !
Si le protocole HTTPS est dit chiffré, c’est parce qu’il y a un chiffrement du paquet, donc du message qui transite.
Le chiffrement se fait à l’aide d’un certificat SSL, ce dernier est distribué par une autorité de certification. Son rôle est de vérifier que vous êtes bien administrateur du nom de domaine que vous souhaitez utiliser.
Sachez qu’il existe d’ailleurs plusieurs types de certificats SSL, dont le certificat SSL nominatif utilisé par exemple par Paypal.

Image représentant le certificat SSL nominatif détenu par la société Paypal.

Ce type de certificat permet de justifier votre légitimité en exploitant votre nom de domaine parce que votre nom est juxtaposé du petit cadenas vert.
Bien-sûr, pour cela il faut fournir des documents administratifs pouvant justifier votre entité.
Bien qu’il soit possible de trouver des certificats SSL gratuitement, il est préférable d’opter pour des certificats plus “haut de gamme”.
Lors de l’obtention de votre certificat SSL, vous recevez une clé publique ainsi qu’une clé privée. Comme son nom l’indique la clé privée, ne doit pas être divulguée, elle permet de déchiffrer les messages reçus.
Au contraire, lors d’un échange entre le navigateur web et le serveur, les clés publiques de chacun sont échangées. La clé publique a pour rôle de chiffrer un message alors que la clé privée permet de déchiffrer ce message.
Ainsi lorsque A veut envoyer un message à B ; A utilise la clé publique de B pour chiffrer ce message. De ce fait, seul B peut déchiffrer le message à l’aide de sa clé privée.

Une connexion sécurisée pas si fiable que ça

En réalité, le chiffrement SSL est réellement nécessaire lors de l’envoi d’un formulaire.
De ce fait, si une personne malveillante utilise un Sniffer de paquets, et intercepte votre échange, celui-ci ne pourra déchiffrer le message.
Si vous avez compris le fonctionnement du chiffrement SSL, vous savez qu’il s’agit simplement d’une méthode pour chiffrer les messages envoyés lors d’un échange.
Seulement, rien ne garantit que le site internet avec lequel vous échangez est digne de confiance.
C’est un amalgame, vous pouvez très bien avoir un échange chiffré et sécurisé avec un site frauduleux. Vous aurez donc juste la certitude que si une personne se met entre elle et vous, elle ne pourra pas lire vos échanges.

Comment mettre en avant votre légitimité et éviter le phishing ?

Faire une veille régulière et administrer son e-réputation

  1. Pour cela, vous pouvez premièrement créer des Google alertes sur le nom de votre entreprise ce qui permettra de mieux gérer votre image de marque, en sachant exactement qui parle de vous et à quel moment.
  2. De plus, si vous ne l’avez pas déjà fait lors de la réservation de votre nom de domaine, pensez à verrouiller les noms de domaines disponibles qui s’apparentent au vôtre. Pour celà vous pouvez réserver les noms de domaines qui diffèrent selon :
    1. l’extension ( .com, .fr, et autres extensions ), attention tout de même à ne pas utiliser d’extensions réservées à un type d’organisation.
    2. l’orthographe : Il peut s’agir d’une lettre manquante voire en trop, ou même de votre nom de domaine séparé par un tiret.

Il est également possible de faire appel à une société spécialisée, comme Compumark qui moyennant une prestation, s’occupera de veiller sur votre marque et ses noms de domaines.

  1. Egalement, vous pouvez optimiser votre branding en faisant des campagnes de mailing pour informer votre auditoire. Cela permettra également d’indiquer à votre auditoire la bonne adresse de votre site internet par le biais de Call to Action.
  2. Vous pouvez également à l’instar de certaines banques, avertir vos utilisateurs par le biais de campagnes de sensibilisation. “ Nous vous demanderons jamais “.

Faire une redirection permanente du protocole HTTP vers le protocole HTTPS

Petit conseil SEO, faites une redirection permanente ( 301) de votre nom de domaine vers votre HTTPS.
Ce petit QuickWin pourtant simple vous permettra :

  • d’optimiser votre référencement naturel, parce que votre site internet sera alors présent plus qu’à une seule et même adresse
  • d’éviter d’être sanctionné par les moteurs de recherches pour duplicate content
  • d’améliorer l’expérience utilisateur en évitant la confusion chez l’internaute “pourquoi ces deux sites sont les mêmes mais un est sécurisé et pas l’autre ?”.

Pour cela, vous devez accédez au fichier .htaccessprésent à la racine de votre site internet  ou bien à la configuration du vhost et indiquer une redirection entière du protocole HTTP vers le HTTPS.
De façon concrète, le serveur de votre site internet va détecter à partir de quel port vous vous connectez (port 80 pour le HTTP et port 443 pour le HTTPS), puis va faire une redirection vers la version HTTPS du site.
Sachez qu’il est également possible de rediriger le HTTP vers le HTTPS grâce à certains plugins configurables directement depuis le BackOffice de votre site internet

Faire une redirection permanente pour Nginx : 

server {

  listen      80;

  server_name signup.mysite.com;

  rewrite     ^ https://$server_name$request_uri? permanent;

}

Faire une redirection permanente pour Apache

  • Depuis le fichier .htaccess

RewriteEngine On RewriteCond %{HTTPS} off RewriteCond %{HTTP_HOST} ^www\.domain\.com RewriteRule (.*) https://www.domain.com%{REQUEST_URI} [L,R=301]

  • Depuis le Vhost

<VirtualHost *:80> ServerName www.example.com Redirect permanent / https://secure.example.com/ </VirtualHost>

Enfin pour conclure, le HTTPS est un critère prépondérant dans le SEO à privilégier, tout comme les données structurées.
On espère que cet article vous a mieux permis de comprendre le fonctionnement des certificats SSL et que vous resterez maintenant plus vigilant face au phishing.