Le sigle HTTPS n’est plus un gage de sécurité pour un site web
-
Cela fait quelques temps déjà mais il est vrai, il est vrai !!!
-
Comme souvent chez Numerama on n’a pas peur de raconter n’importe quoi pour vendre leurs pseudo-articles.
HTTPS n’a jamais été un gage de sécurité, cela a été conçu pour s’assurer que le client communique bien avec le serveur qu’il cherche à joindre (authentifié par un tiers, l’Autorité de certification) e que les échanges entre client et serveur sont chiffrés pour garantir la confidentialité des données.
Si on accède à un site pourri, par un lien ou autre moyen, ça reste un site pourri que ce soit par l’utilisation du HTTP ou du HTTPS…
Et je conchie ces développeurs de merde qui veulent à tout prix masquer les urls aux utilisateurs alors que c’est la meilleure source pour lutter contre les sites frauduleux.
-
Il fut un temps où c’était un gage d’une sécurité vu que les échanges client /serveur était chiffré et que cela nous paraissait suffisant… Ce que n’est bien sûr plus le cas…
-
HTTPS pas un gage de sécurité, qui l’eut cru…
-
tudikoi Ciné-Séries Club Rebelle Windowsien Torrent user DDL PW Addicta répondu à Strauss le dernière édition par
@strauss a dit dans Le sigle HTTPS n’est plus un gage de sécurité pour un site web :
HTTPS pas un gage de sécurité, qui l’eut cru…
LUSTUCRU ? ^^
-
Ce titre putaclick et faux de Numerama… tout change !
Si, HTTPS est toujours un gage de sécurité. Des échanges client <-> serveur. Il n’a jamais servi à rien d’autre.
Ce que veut dire l’auteur de l’article c’est que ce qu’ils ont contribué, comme d’autres, à faire passer comme message pendant des années était biaisé et est maintenant grillé : “Vérifiez que vous êtes sur un site HTTPS, vous serez alors en sécurité.”
Je comprends pas que personne ou presque n’ai jamais dit aux gens de tout simplement lire et faire attention à l’URL. ma-banque.fr.kevin.com c’est pas ma-banque.fr. Et on se fiche que ce soit HTTP ou HTTPS. Faut juste 2 neurones et savoir s’en servir pour lutter contre le phishing. Le MIM etc c’est autre chose mais très rare ça vise surtout les pro.
Hélas, quand on voit certains messages ici (pire sur feu WZ), on comprend que tout le monde n’a pas la jugeote pour détecter un phishing. C’est bien ce qui est affligeant. -
Le problème, c’est que bcp ne regarde pas cette URL…
Comme c’est dit que c’est juste chiffré, c’est une sécurité comme une autre et les gens restent la dessus… facile donc de faire une copie d’un site connu et ni vu ni connuAprès je préfère chiffrer les échanges entre le client serveur même pr mes serveurs perso, c’est tjrs mieux que rien…
Pour l’usurpation HTTTPS via un MITM, c’est rare mais ça existe mais bcp de choses à mettre en oeuvre…
On pourrait aussi citer l’authentification en 2 étapes avec un numéro de téléphone qui n’est plus assez sécurisé et assez facilement hackable mais je m’égare…
-
Le problème, c’est que même l’url n’est pas forcément rassurant, par exemple pour swisscom, l’url est swisscom.ch et le login est actuellement redirigé sur login.scl.swisscom.ch (et ça a été pire avec des trucs genre login.sso.ch) alors, si on ne fait pas confiance dans ce genre de cas (qui n’est pas exceptionnel), pas de connexion possible…
-
Perso, ma technique basique de sécurité est de passer le plus souvent possible par mes marques-pages, en particulier pour les sites bancaires, de e-commerce et administratifs.
Comme ça, peu de risque de se faire avoir.
