Un site en HTTPS est-il réellement sûr ?

Ecrit par Peak Ace
le 24 / 03 / 2017

L’autorité de certification Let’s Encrypt est au cœur d’une polémique suite à la multiplication de sites frauduleux ayant eu recours à leurs services afin d’obtenir des certificats de sécurité leur permettant de tromper la vigilance des internautes.
Auparavant synonyme de sécurité, la seule présence du cadenas HTTPS est-elle aujourd’hui suffisante pour garantir aux internautes la sécurité de leurs données personnelles ?

Depuis plusieurs années, Google milite pour un web toujours plus sécurisé et a annoncé à de nombreuses occasions que la sécurité des utilisateurs est et sera toujours sa principale priorité.
Afin d’inciter les webmasters à également adopter cette philosophie, Google a publiquement annoncé plusieurs mises à jour du fonctionnement de son algorithme :

• Le 6 août 2014 : Les sites sécurisés via un système de cryptage HTTPS verraient leur positionnement dans les résultats de recherche (légèrement) amélioré.
• Le 17 décembre 2015 : Google favoriserait l’indexation des pages HTTPS par défaut.

Ces annonces ont été suffisantes pour que la grande majorité des sites web se mettent au diapason et suivent les recommandations préconisées par Google.

Evolution du % de pages chargées en HTTPS dans Google Chrome

Malheureusement pour les webmasters les moins fortunés, les certificats SSL/TS ont un prix. C’est pourquoi Let’s Encrypt, une autorité de certification fournissant gratuitement les certificats en question, a vu le jour afin d’accélérer le passage du web en HTTPS.
Cette annonce a alors fait le bonheur de milliers de webmasters mais également d’individus mal intentionnés.
En effet, via Let’s Encrypt, des centaines d’individus frauduleux ont désormais accès gratuitement à des certificats leur permettant de rendre sécurisés des sites ayant pour but de récolter les données personnelles des internautes.
 

Un internaute peut-il faire la différence entre un site « classique » et un site de phishing ayant créé un sous-domaine lié à Paypal ? 

Cette découverte, réalisée par un ingénieur de chez Google, soulève plusieurs questions :

• La volonté de distribuer des certificats de sécurité au plus grand nombre est louable ; mais les principales autorités concernées n’ont-elles pas été trop laxistes quant à la distribution des dits certificats ?
• Google n’a-t-il pas lancé, à son insu, une course à la mise en place du HTTPS malgré une certaine complexité de mise en place ?
• Les internautes s’engouffreraient-ils aveuglément dans des sites présentant le fameux « cadenas vert » sans pour autant vérifier la crédibilité du site sur lequel ils naviguent ?

Let’s Encrypt, Google et d’autres autorités du web rejettent toute responsabilité dans la multiplication de ce type d’arnaques estimant que leur rôle n’est pas de jouer au policier du web.
Suite à cette polémique, il est envisageable que les sites ayant recours à des certificats délivrés pas des acteurs n’ayant pas réussi à faire leurs preuves en matière de sécurité des internautes voient leur visibilité dans les pages de résultats dévaluée par Google.