La Hack Academy a t'elle fait correctement son travail de sélection ? Après avoir regardé faire Dimitri, qui se dit spécialiste des attaques de sites de commerce électronique, on peut se poser la question. A mon avis, Dimitri aurait dû être recalé car sa démonstration ne tient pas la route.
Pour regarder cette vidéo, vous devez consentir aux Cookies de notre partenaire Youtube Ces cookies permettent de partager ou réagir directement sur les réseaux sociaux auxquels vous êtes connectés ou d'intégrer du contenu initialement posté sur ces réseaux sociaux. Ils permettent aussi aux réseaux sociaux d'utiliser vos visites sur nos sites et applications à des fins de personnalisation et de ciblage publicitaire.
Consultez la vidéo directement sur youtube
C’est gros comme le nez au milieu de la figure : Dimitri attaque un site de commerce électronique qui n’utilise pas HTTPS (ou plus exactement SSL/TLS). Avez-vous vu récemment des sites d’ e-commerce dont la phase de paiement n’est pas sécurisée ? Moi, ça fait des lustres. Et les juges qui ne relèvent pas… c’est d’autant plus grave, ou alors c’est la preuve par l’absurde ! Admettons que le site de commerce électronique utilise effectivement HTTPS (SSL/TLS). Voici quelques conseils pour faire vos achats en ligne avec plus de sérénité.
Conseil n°1 : assurez-vous que vous êtes sur le bon site
Cela peut sembler simpliste mais il est essentiel de bien vérifier que l’adresse du site sur lequel vous êtes connecté est bien correcte. Ceci même si le « petit cadenas » à côté de l’adresse est bien là. En effet, l’affichage du cadenas n’indique nullement que vous êtes sur le bon site mais seulement que la connexion entre votre navigateur et le site est bien chiffrée (ou « cryptée »). Or une connexion chiffrée vers un site pirate est tout à fait possible !
Conseil n°2 : regardez-bien la présence du cadenas
Une fois, l’adresse du site confirmée comme étant bien exacte, regardez si un « petit cadenas » est bien présent à côté de l’adresse URL du site. Si c’est le cas, c’est bon signe. Mais cela n’est pas suffisant. Bien vérifier que le « petit cadenas » n’est ni « cassé », ni « barré », ni sur un fond « rouge ». En l’absence de « petit cadenas », fuyez ! Si le cadenas est « cassé » ou barré d’une croix fuyez !
Conseil n°3 : cliquez sur le cadenas et regardez
Les plus paranoïaques iront un cran au-dessus dans leurs vérifications. Car, outre le fait d’indiquer que la connexion est bien chiffrée, la présence du « petit cadenas » permet d’associer un nom de société (ou d’ organisation) à l’adresse du site web. Cette association est réalisée via un « certificat SSL » (ou certificat « X.509v3), une sorte de « carte d’identité nationale ». Ce certificat est délivré par une autorité de certification. Attention, certains organismes font tout ce qu’il faut pour que ces certificats délivrés soient bien exacts, d’autres délivrent parfois des certificats erronés ou même contrefaits comme l’explique ZDNet dans l’article : « Google vs Symantec : coup de pression sur les certificats .
Voici donc les points à vérifier… et fuyez si :
- le nom de la société/organisation associée au site ne correspond pas ;
- le certificat est « auto-signé » ;
- le certificat est signé par une autorité de certification inconnue ;
- le certificat est expiré (date de validité dépassée) ;
- le certificat a été révoqué ;
- … enfin, vous l’avez compris : toute anomalie doit déclencher votre instinct de fuite ! J
Pour ceux qui utilisent Firefox, je conseille l’extension SSLeuth qui permet de vérifier tout cela en un clic, et en plus d’avoir une « note » associée à tous ces paramètres. Cette extension SSLeuth fait partie de mes extensions « must have ».
Exemple du « rapport » lors d’une connexion SSL/TLS sur Amazon.com :
Conseil n°4 : un logiciel antivirus à jour reste essentiel
L’utilisation d’un logiciel antivirus régulièrement mis à jour est essentielle. Car si votre machine est infectée, alors les informations sensibles seront dérobées à la source depuis votre machine… avant même que celles-ci ne soient envoyées via la communication chiffrée.
… Il y aurait encore fort à dire
Au-delà de ces 4 conseils, le modèle actuel de délivrance des certificats SSL/x.509v3, qui reste une référence en termes de sécurité, présente certains défauts pour lesquels le « Certificate Transparency » apporte des pistes de solution. En outre, il existe d’autres techniques intéressantes comme DNSSEC ou HSTS capables de renforcer la sécurité d’une connexion chiffrée en HTTPS (SSL/TLS). Peut-être reviendrons-nous sur ces sujets dans de futurs articles ! ;-)
Relevez le défi !
J’espère que ces quelques conseils vous seront utiles et vous permettront de mieux protéger vos informations sensibles lors de vos prochaines connexions à des sites e-commerce, messageries électroniques et autres sites sensibles.
Allez, venez sur la Hack Academy et relevez le défi !
Jean-François (aka Jeff) Audenard.
Pour aller plus loin
Hack Academy : 3 conseils pour se protéger des attaques en phishing
Hack Academy : se protéger des vols de mots de passe
Une approche globale de la sécurité
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens