Certificat SSL

Un petit cadenas vert dans la barre d’adresse vous indique que le site visité dispose d’un certificat SSL valide, rien de plus, rien de moins …

Dans les faits, cela vous garantit que les communications entre votre ordinateur et la machine distante sont chiffrées, que la machine distante est bien celle qu’elle prétend être et que la communication n’a pas été altérée.

Pour être accepté par votre navigateur, le certificat doit avoir été émis (signé) par un tiers de confiance appelé « autorité de certification » (AC) et le certificat de cette AC doit être installé sur votre ordinateur. Les certificats des principales AC sont préinstallés sur votre ordinateur et régulièrement mis à jour.

Oui, mais …

Il existe différents scénarios dans lesquels il est possible que la communication SSL ne soit pas confidentielle, en entreprise cela se pratique régulièrement au moyen de l’inspection SSL (à des fins d’amélioration de la sécurité et non de la compromettre). Je parlais plus haut des AC et de leurs propres certificats, si un attaquant parvient à vous faire installer un faux certificat d’AC tous les certificats émis avec cette fausse AC seront reconnus comme valides.
De même, si obtenir un certificat était encore coûteux et long il y a encore quelques années, ce n’est plus le cas aujourd’hui, obtenir un certificat valide est très simple.

D’autres risques

Il y a quelques temps, au travers de composants malveillants distribués via le piragate d’une régie de publicité, de nombreuses données bancaires ont pu être dérobées à l’insu des utilisateurs qui se trouvaient pourtant sur une page sécurisée.

Ces dernières années, le monde du web a connu de nombreux changements, tout y est plus interconnecté (publicités, réseaux sociaux, …) cependant les recommandations de sécurité se sont peu adaptées. On ne peut plus s’appuyer sur une ou deux recommandations de surface et affirmer qu’elles suffisent à assurer la sécurité de l’acheteur.

Pour être tout à fait honnête, il n’y a pas de solution parfaite, on peut simplement se protéger au mieux :

• vérifier l’URL affichée dans la barre d’adresse du navigateur, qu’elle correspond au site visité, voire la resaissir manuellement
• vérifier que le certificat du site est valide, par qui il a été délivré et correspond bien à la société à qui l’on pense s’adresser
• vérifier la réputation du vendeur
• utiliser une carte de paiement temporaire (carte jetable ou rechargée à la demande)
• utiliser une carte demandant une validation (les SMS ne valent hélas pas grand chose dans ce domaine)

En conclusion

Comme souvent, il n’y a pas de réponse simple à des questions de plus en plus complexes, et les recommandations simplistes qu’on nous balance à la tête depuis quelques années ne sont plus du tout suffisantes. Sans pour autant tomber dans la paranoïa, il faut garder ces aspects à l’esprit.