De nombreux sites Web du gouvernement américain affichent désormais un message bien en vue en haut de leurs pages d’accueil, destiné à aider les visiteurs à mieux distinguer les propriétés officielles du gouvernement américain des pages de phishing. Malheureusement, une partie de ce message est trompeuse et peut contribuer à perpétuer un malentendu répandu sur la sécurité et la confiance des sites Web que les hameçonneurs exploitent depuis des années maintenant.
Par exemple, le fonctionnaire Bureau du recensement des États-Unis site Internet https://my2020census.gov porte un message qui se lit comme suit : « Un site Web officiel du gouvernement des États-Unis. Voici comment vous le savez. Cliquer sur la dernière partie de cette déclaration fait apparaître un panneau avec les informations suivantes :
Un message affiché en haut de nombreux sites Web américains .gov.
Le texte avec lequel j’ai un boeuf est le morceau à droite, sous la déclaration « Ce site est sécurisé ». Plus précisément, il est écrit : « Le https:// garantit que vous vous connectez au site Web officiel… ».
Voici l’affaire : la partie https:// d’une adresse (également appelée « Secure Sockets Layer » ou SSL) signifie simplement que les données transmises entre votre navigateur et le site sont cryptées et ne peuvent pas être lues par des tiers.
Cependant, la présence de « https:// » ou d’un cadenas dans la barre d’adresse du navigateur ne signifie pas que le site est légitimeet cela ne prouve pas non plus que la sécurité du site a été renforcée contre les intrusions de pirates.
En d’autres termes, alors que les lecteurs ne doivent jamais transmettre d’informations sensibles à un site qui n’utilise pas https://, la présence de cette fonctionnalité de sécurité ne vous dit rien sur la fiabilité du site en question.
Voici une statistique qui donne à réfléchir : selon PhishLabs, à la fin de 2019, environ les trois quarts (74%) de tous les sites de phishing utilisaient des certificats SSL. PhishLabs a trouvé ce pourcentage est passé de 68 % au T3 à 54 % au T2 de 2019.
« Les attaquants utilisent des certificats gratuits sur les sites de phishing qu’ils créent et abusent du cryptage déjà installé sur les sites Web piratés », a déclaré le fondateur et directeur technique de PhishLabs. Jean LaCour mentionné.
Image : PhishLabs.com
La vérité est que n’importe qui peut obtenir un certificat SSL gratuitement, et c’est l’une des principales raisons pour lesquelles la plupart des sites de phishing en disposent désormais. L’autre raison est qu’ils aident les hameçonneurs à mieux déguiser leurs sites en sites légitimes, car de nombreux navigateurs Web émettent désormais des avertissements de sécurité sur des sites autres que https://.
BreachTrace n’a trouvé aucune information fiable sur la difficulté d’obtenir un certificat SSL pour un site .gov une fois que l’on a un domaine .gov, mais il n’est apparemment pas difficile pour n’importe qui d’obtenir son propre domaine .gov Nom.
le Administration des services généraux des États-Unis (GSA), qui supervise la délivrance des domaines .gov, a récemment rendu la tâche un peu plus difficile – en exigeant que toutes les applications soient notariées – mais cela semble un petit obstacle à franchir pour les escrocs.
Quoi qu’il en soit, il semble que le gouvernement fédéral rende un mauvais service aux consommateurs avec ce message, en perpétuant le mythe selon lequel la présence de « https:// » dans un lien dénote toute sorte de légitimité.
« » Https « ne signifie pas que vous êtes sur le bon site Web ou que le site est sécurisé », a déclaré LaCour. « Cela indique seulement que la connexion est cryptée. Le serveur peut encore être mal configuré ou présenter des vulnérabilités logicielles. C’est bien qu’ils mentionnent de chercher ‘.gov’. Il n’y a aucune garantie qu’un site Web .gov soit sécurisé, mais cela devrait aider à garantir que les visiteurs se trouvent sur le bon site Web.
Je dois souligner que ce message trompeur ne semble être présent que sur certains sites Web du gouvernement fédéral. Par exemple, alors que les sites de la GSAla ministère du Travail, Département des transportset Département des anciens combattants comportent tous le même libellé, ceux du département du Commerce et Département de la justice sont dépourvues du texte trompeur indiquant :
« Ce site est également protégé par un certificat SSL (Secure Sockets Layer) qui a été signé par le gouvernement américain. Le https:// signifie que toutes les données transmises sont cryptées – en d’autres termes, toute information ou historique de navigation que vous fournissez est transmis en toute sécurité.
D’autres sites fédéraux — comme dhs.gov, irs.gov et epa.gov – ayez simplement la déclaration «Un site Web officiel du gouvernement des États-Unis» en haut, sans offrir de conseils sur la façon de se sentir mieux à propos de cette déclaration.