«Le cadenas dit: on reconnaît que le site a un certificat de sécurité, mais ça ne veut pas dire que le contenu est légal», ajoute le directeur du CCTT en cybersécurité, Charles Varin. (Photo: 123RF)
LA TECHNO PORTE CONSEIL est une rubrique qui vous fait découvrir des plateformes, de nouveaux outils ou de nouvelles fonctionnalités pouvant être implantés facilement et rapidement dans votre quotidien au travail, en plus de démystifier les tendances technos du moment.
LA TECHNO PORTE CONSEIL. «Pour les plus prudents d’entre nous, dès que nous arrivons sur un site web après avoir cliqué sur un lien, notre premier réflexe est de regarder l’URL et de vérifier que le protocole HTTPS est bien là [symboliser par le cadenas, NDLR]. Et pourtant, si c’était gage de sécurité, ça ne l’est plus: les pirates se sont adaptés.»
C’est ce qu’écrivait le Centre collégial de transfert de technologie (CCTT) en cybersécurité, CyberQuébec, dans une publication Facebook au début du mois d’octobre, dans le cadre du mois de la cybersécurité.
Joints par Les Affaires, l’enseignant-chercheur et responsable de l’équipe technique au centre, Jérémie Gagnon-Bischoff, tient à nuancer cette publication qui peut donner l’impression que le cadenas n’a plus de valeur.
«C’est encore sécuritaire, assure-t-il. Mais il ne faut pas le prendre comme une sécurité qui garantit ce qu’on fait sur le Web. Ça ne veut pas dire que le site qu’on consulte est non frauduleux et officiel.»
Jérémie Gagnon-Bischoff précise que le protocole HTTPS, qui signifie HyperText Transfer Protocol Secure, certifie trois choses: «Ça veut dire que nous communiquons bien avec le site sur lequel nous sommes, que l’information n’a pas été modifiée par quelqu’un qui aurait intercepté la communication [entre l’utilisateur et le site internet] et que la connexion est chiffrée, donc que personne ne peut lire le contenu [de la communication].»
«Le cadenas dit: on reconnaît que le site a un certificat de sécurité, mais ça ne veut pas dire que le contenu est légal», ajoute le directeur du CCTT en cybersécurité, Charles Varin.
Alors qu’est-ce qui fait que le sigle ne serait plus «gage de sécurité»? Jérémie Gagnon-Bischoff explique que les pirates informatiques vont concevoir des sites et des URL qui ressemblent à un site légitime et y attacher le protocole de sécurité HTTPS.
Le cas suivant est révélateur. Dans un article datant de 2017, un chercheur du nom de Xudong Zheng révélait que certaines suites de caractères comme la suivante https://www.xn--80ak6aa92e.com/ étaient converties automatiquement par certains navigateurs comme Firefox en alphabet latin. Dans le cas présent, la suite de caractères devient https://www.apple.com.
Ce cas d’hameçonnage potentiel est possible grâce à une méthode d’encodage standardisée du nom de «punycode», qui permet de convertir n’importe quels caractères du standard informatique Unicode en ASCII (American Standard Code for Information Interchange), soit une suite de caractères.
Cette pratique s’est normalisée au tournant des années 2000 pour faciliter la conversion des noms de domaine internationalisé, où les caractères des autres alphabets, entre autres, sont différents.
Le souci est que jumelé au cadenas à gauche du domaine reconverti par le navigateur, un utilisateur peut avoir l’impression de naviguer sur le site officiel, surtout si le contenu du site est calqué, le dupant du même coup.
Comment se protéger?
Premièrement, il est important de mentionner que l’utilisateur ne va pas tomber pas sur un site de ce type en naviguant sur internet, précise Jérémie Gagnon-Bischoff. Les moteurs de recherche ne les répertorient pas. Qui plus est, la menace est nulle sur Google Chrome, qui a corrigé ce problème du «punycode» avec sa version 59.
En entrant le site https://www.xn--80ak6aa92e.com/ dans Google Chrome, ce dernier affiche un message d'avertissement. (Capture d'écran)
Par contre, le risque se pose lorsqu’on reçoit une communication non sollicitée par courriel et qu’un hyperlien est ajouté sur le texte. «Il faut établir son propre canal de communication [avec la personne qui nous sollicite] et ne pas cliquer sur les liens», poursuit l’enseignant-chercheur. Établir son propre canal de communication peut signifier d’aller sur Google au lieu de passer par le lien dans le courriel pour rejoindre la personne qui nous contacte ou bien de les contacter par téléphone.
Pour sa part, Charles Varin mentionne qu’il faut être en mesure «de lire le terme qui est écrit quand on met notre souris sur le lien». Il ajoute que les navigateurs comme Google Chrome vont afficher, au bas à gauche de la fenêtre, le lien vers lequel mène un hyperlien, afin de le voir avant de cliquer dessus.
Les deux experts sont conscients que les conseils tournent autour du même problème, soit l’hameçonnage, mais c’est là que «les individus sont les plus vulnérables», précise Jérémie Gagnon-Bischoff.
Si auprès de la population générale, l’hameçonnage mène au vol d’identité, chez les entreprises, cette opération frauduleuse mène aux rançongiciels. À ce sujet, Charles Varin explique que les attaques peuvent prendre du temps, mais que les pirates informatiques ne sont pas pressés.
«Ce qu’ils cherchent, c’est le succès, poursuit-il. Ils vont prendre le temps pour y arriver.» D’où l’importance d’être vigilant.