Retour vers le HTTPS...

L’injonction des marketeurs de Google a passer nos sites en HTTPS relevait en fait de leur angoisse de voir les utilisateurs accuser le moteur de leur retourner des sites frauduleux. Ce qui diminuerait leur sentiment de confiance et donc l’usage du moteur, et au final de mettre à mal le modèle économique de la firme.

J’avais écrit à l’époque cette petit phrase :

« Presque tout le monde peut désormais, selon la politique de son hébergeur disposer d’un certificat gratuit pour son site. Ce qui signifie en creux que même les pirates qui veulent réellement détourner des fonds ou des données peuvent sans trop débourser obtenir le visa d’honnêteté du HTTPS et faire une copie de pages web au nom proche de l’original.  »

Aujourd’hui, mes élucubrations de Cassandre sont devenus réalité. Les SMS d’hameçonnage contiennent des liens HTTPS, que j’ai sur-imprimé en rouge ou en bleu sur ces captures d’écrans :

1. Sur ce premier exemple, voici un SMS assez bien écrit imitant le style du Crédit Agricole dont le bouton d’action mène vers la page d’atterrissage, moins réussie, d’un site frauduleux en HTTPS :

2. Second exemple avec ce SMS frauduleux de la Banque des Territoires :

3. Troisième exemple avec ce SMS frauduleux usurpant Mondial Relay et qui pointe vers un site HTTPS très bien fait :

4. Et ici un autre courriel bien réalisé simulant une relance de procès-verbal impayé avec un lien trompeur vers www.amendes.gouv.fr :

5. Et pour terminer, la capture d’une page du célèbre hébergeur OVH qui explique comment dépister les courriels d’hameçonnage :