Le cadenas du navigateur trompe-t-il les utilisateurs ?

Les internautes se sont habitués au petit cadenas de leur navigateur préféré. Sur Google Chrome, Mozilla Firefox et les autres, il renforce la confiance des utilisateurs. Mais beaucoup n’interprètent pas correctement cette icône : ils pensent, à tort, que ce cadenas valide le caractère bienveillant d’un site web. Et c’est un vrai problème…

Phishing : 49% des sites web qui volent des informations personnelles sont sécurisés

PhishLabs, une entreprise spécialisée dans la sécurité informatique, a réalisé une étude sur le caractère « sécurisé » des sites qui font du phishing. Cette technique, joliment intitulée « hameçonnage » en français, consiste à obtenir des informations personnelles en faisant croire à un internaute qu’il se situe sur un site qu’il connaît. Les pirates copient alors l’interface des sites web sur lesquels les internautes sont habitués à saisir des informations sensibles : mots de passe, carte de crédit…

Résultat : 49% des sites web qui font du phishing sont sécurisés. Ils n’étaient que 25% il y a un an et 35% au second trimestre 2018. En d’autres termes, ces sites web malicieux utilisent un protocole SSL (Secure Sockets Layer) qui garantie la protection des données transmises à travers l’interface. Vous remarquez qu’un site internet est sécurisé grâce à l’adresse, qui commence par https, et au cadenas qu’arborent fièrement les sites web dont la transmission des données est sécurisée.

Une confusion dangereuse entre sécurisation du transfert et légitimité du destinataire des données personnelles

Le problème réside dans l’interprétation du cadenas – vert sur certains navigateurs – par les utilisateurs. En cliquant sur cette icône, située à gauche de la barre d’adresse, on apprend (sur Google Chrome) que « La connexion est sécurisée. Vos informations, par exemple vos mots de passe et vos numéros de carte de paiement, sont privées lorsqu’elles sont transmises à ce site ». Cela signifie simplement que la transmission des données est sécurisées ; cela ne valide en aucun cas la bonne foi et l’identité du site web que vous visitez. Et pourtant : toujours selon PhishLabs, 80% des internautes pensent que ce cadenas indique que le site web est sûr et légitime.

Dans ses pages d’aide, le navigateur met tout de même en garde ses utilisateurs. « Même si cette icône est visible, faites toujours preuve de vigilance lorsque vous communiquez des informations privées. Regardez la barre d’adresse pour vous assurer que vous êtes bien sur le site que vous souhaitez consulter ».

C’est sans doute *le* conseil à suivre : avant de transmettre des données, regardez toujours la barre d’adresse et vérifiez précisément le nom de domaine pour comprendre avec qui vous vous apprêtez à communiquer. Beaucoup de sites web malicieux affichent un logo PayPal, une adresse qui ressemble à celle du service de paiement et un cadenas pour piéger les internautes. Ce signe rassurant ne doit pas tromper votre vigilance : il ne garantit en aucun cas que vous naviguez sur un site web digne de confiance à qui vous pouvez transmettre des données sans risque. En optant pour cette icône, les navigateurs ont sans doute contribué à cette confusion dangereuse entre le sécurisation du transfert et la légitimité du destinataire.