Safari : utilisation du cryptage et des connexions sécurisées

Quand utiliser une connexion sécurisée

Bien souvent, ce n’est pas vous qui prendrez la décision d’utiliser une connexion sécurisée. Imaginons que vous souhaitiez créer un nouveau compte sur un site Web commercial. Cette procédure impliquant la saisie de données de nature privée ou financière, la connexion passera normalement en mode sécurisé (voir plus loin pour apprendre à identifier une connexion sécurisée). De manière générale, les sites doivent automatiquement basculer en mode sécurisé en cas de demande de saisie ou d’affichage d’informations de nature confidentielle.

Dans d’autres cas, vous avez le choix entre une connexion standard ou sécurisée. Dans ce cas, optez pour le mode sécurisé. Parmi les sites connus qui offrent le choix entre une connexion standard ou sécurisée, on peut citer Yahoo, eBay et Amazon. Les sites à contenu majoritairement sensible ne fonctionnent qu’en mode sécurisé. Nombre de sites continuent d’offrir le mode de connexion standard pour les navigateurs de versions antérieures qui ne permettent pas d’utiliser le cryptage 128 bits.

Astuce : de manière générale, il est déconseillé de saisir des informations de nature confidentielle dans un formulaire non sécurisé. Si une société légitime vous demande de saisir des informations de nature privée dans un formulaire non sécurisé, il est préférable de le faire par téléphone.

Astuce : lorsque vous vous connectez à un site Web et que vous êtes invité à choisir entre une connexion standard et une connexion SSL, sachez que la première est non sécurisée, par opposition à la seconde (SSL - “ Secure Sockets Layer ” - désigne le protocole de cryptage du Web).

Une connexion sécurisée, dans quel but ?

La connexion sécurisée empêche qu’une tierce personne n’accède à votre nom et à votre mot de passe. Par conséquent, il est conseillé d’y avoir recours même si votre compte sur un site Web ne contient pas d’informations confidentielles. Avec vos informations de connexion, une personne peut en effet utiliser votre identité sur ce site ou sur un autre où vous vous êtes connecté sous la même identité. Il est généralement recommandé d’utiliser au moins deux mots de passe différents pour les sites Web que vous consultez : un pour les sites sécurisés et un autre pour les sites non sécurisés. Si vous utilisez le même mot de passe sur tous les sites, il se peut qu’une tierce personne y accède sur un site non sécurisé et s’en serve ensuite dans un but malveillant sur un site sécurisé.

Astuce : gardez à l’esprit que les mots de passe non fiables peuvent être piratés par des personnes compétentes en la matière. Choisissez un mot de passe sécurisé.

Comment identifier une connexion sécurisée

Deux éléments permettent d’identifier une connexion sécurisée. Tout d’abord, une icône représentant un cadenas s’affiche dans le coin supérieur droit de la fenêtre de Safari :

Ensuite, l’adresse du site Web commence par "https" au lieu de "http" :

Souvent, vous accéderez à des pages non sécurisées à la suite d’une connexion en mode sécurisé. Ceci ne constitue pas de risque pour la sécurité. Généralement, dans ce cas, seules les pages contenant des informations de nature confidentielle sont sécurisées. Exemple : une page dans laquelle vous saisissez vos informations de carte bancaire doit être sécurisée, mais une page de présentation d’un produit n’a pas besoin de l’être. Lorsque vous revenez sur une page où sont affichées ou demandées des informations de nature confidentielle, l’icône “ cadenas ” doit apparaître.

Astuce : parfois, il peut arriver qu’un formulaire de connexion sécurisée sur un site fiable ne semble pas sécurisé de prime abord. Il est possible qu’un bouton s’affiche indiquant "Connectez-vous à notre serveur sécurisé" sur une page non sécurisée et que vous basculiez en mode sécurisé lorsque vous cliquez sur ce bouton. Si vous ne savez pas comment un site fonctionne, faites un test simple : saisissez le mot "hôte" comme nom d’utilisateur et mot de passe. Observez si la connexion bascule en mode sécurisé lorsque vous cliquez sur le bouton Envoyer.

Que signifie le terme “ sécurisé ” ?

Le terme "sécurisé" implique deux choses. Tout d’abord, cela veut dire que vos données sont cryptées pendant le transfert de façon à ce que des personnes tierces ne puissent pas les intercepter. Ceci peut servir à protéger les informations de connexion, les numéros de carte bancaire, les adresses ou toute autre information de nature confidentielle.

Ensuite, cela signifie que les éditeurs du site Web sont bien ceux qu’ils prétendent être puisqu’ils proposent un système de certification tiers. Pour procéder à cette “ authentification ”, Safari vérifie le certificat de sécurité du site, qui doit avoir été accordé (ou “ signé ”) par un tiers de confiance, appelée “ autorité de certification ” (AC). L’icône “ cadenas ” ne s’affiche qu’une fois la sécurisation certifiée. Si celle-ci n’est pas certifiée, un message d’avertissement tel que celui-ci vous indiquera que l’identité du site Web n’a pas pu être vérifiée :

Si vous choisissez de poursuivre vos opérations sur le site, ce dernier ne sera sécurisé que pour une seule session. Si vous quittez puis rouvrez Safari, le message d’avertissement s’affichera à nouveau.

Astuce avancée : il se peut que vous souhaitiez connaître l’identité de l’autorité de certification du site. Pour ce faire, utilisez la commande ‘curl’ du terminal avec l’option -v (verbose). Pour vérifier le certificat de l’Apple Store, par exemple, vous devez utiliser la commande suivante :

# curl https://store.apple.com -v

Comment identifier les “ faux ” sites sécurisés

Pour protéger vos informations, il ne suffit pas de savoir identifier les connexions sécurisées. Vous devez également apprendre à repérer les fausses. En faisant croire aux individus qu’ils se trouvent sur un site sécurisé, les usurpateurs d’identité espèrent recueillir des noms, des mots de passe et d’autres informations. Pour ne pas vous faire prendre au piège, il vous suffit d’appliquer deux règles simples :

Règle n° 1 : ne vous fiez pas aux indicateurs de sécurité autres que ceux indiqués plus haut.

En effet, certains sites placent de fausses icônes “ cadenas ” ou autres attestations de sécurité dans le texte de la page. Tout symbole de sécurisation sur la page elle-même ne signifie rien. La connexion est sécurisée uniquement à partir du moment où l’icône “ cadenas ” s’affiche et que l’adresse commence par “ https ”.

Règle n° 2 : après avoir cliqué sur un lien contenu dans un e-mail, ne vous identifiez pas et ne fournissez aucune information.

Ouvrez plutôt une nouvelle fenêtre de navigateur et saisissez l’adresse du site Web vous-même, en évitant d’utiliser la saisie semi-automatique. Vous pouvez également utiliser un signet. Identifiez-vous comme vous le feriez habituellement et consultez votre compte pour vérifier si celui-ci a été mis à jour.

Cette opération vous protégera des situations dans lesquelles un e-mail vous est envoyé comme provenant d’un site Web de confiance et vous demande de vous connecter pour mettre à jour les informations de votre compte. Ce type d’e-mail peut avoir pour objectif de vous diriger vers un “ faux ” site en vue de recueillir vos informations dans un but malveillant. Dans certains cas, seul un utilisateur Internet expérimenté ou un webmaster est capable de faire la différence entre les “ faux ” et les “ vrais ” e-mails, c’est pourquoi vous devez appliquer cette procédure à chaque fois que vous avez des doutes sur l’origine d’un message.

Quelle que soit la façon dont un e-mail trompeur fonctionne, il a toujours pour objectif de faire passer la véritable adresse du faux site pour celle du vrai. Voici trois situations que vous pouvez rencontrer :

Adresse volontairement déroutante

Ce peut être une adresse de type suivant :

http://cgi.apple.com.jl234.5j209.50k20.95h02.3a84.38.aa28@169.09.19.35/useraccount/verify=

Ce “ jeu ” sur la syntaxe d’une URL peut vous faire penser à tort qu’il s’agit du site apple.com. En fait, cette URL indique au serveur l’adresse IP 169.09.19.35. Tout élément placé avant le symbole (@) représente un nom de compte d’utilisateur pour ce serveur.

Image d’un lien

Parfois, vous pouvez avoir affaire à un lien texte qui est en fait un fichier image (une capture d’écran tirée d’un texte). Le fichier image renvoie à un faux site. Pour identifier l’image, essayez de copier le texte. Si vous ne parvenez pas à sélectionner et à copier le texte dans un e-mail, c’est qu’il ne s’agit pas d’un texte.

Liens masqués

Vous pouvez rencontrer une adresse qui vous paraîtra parfaitement normale, comme par exemple :

https://store.apple.com/

En utilisant le langage HTML ou un script intégré à l’e-mail, l’émetteur peut néanmoins faire en sorte que le lien vous dirige vers une autre adresse. Pour identifier la véritable destination de l’URL, vous devez consulter le code source de l’e-mail, généralement au format HTML ou texte riche (RTF). Cette ruse s’appuie sur la méconnaissance que nous avons des e-mails en général. La plupart des applications de messagerie possèdent une fonctionnalité qui transforme automatiquement une adresse Web en lien actif lors de la saisie de celle-ci, sans la mise en forme HTML en principe requise pour obtenir cet effet. C’est pourquoi nous ne sommes pas entraînés à faire la différence entre un lien de texte pur, qu’une fonctionnalité permet de transformer en lien actif, et un véritable lien HTML, dont la destination est spécifiée dans le code source. En résumé, ceci signifie qu’un lien vers une adresse Web ne dirige pas forcément l’utilisateur vers la destination qu’il semble indiquer. Un émetteur peut vous duper en indiquant une destination différente dans le code source. Ce peut être le cas si l’adresse qui s’affiche dans la fenêtre de navigateur de Safari n’est pas la même que celle indiquée dans l’e-mail.