Navigation privée VPN Enceintes Données Mots de passe Applications HTTPS Gratuit IoT Téléphone Antivirus
HTTPS

HTTPS ne veut pas dire sécurisé

Le cadenas dans la barre d'adresse indique que la connexion est chiffrée. Il n'indique pas que le site est légitime, honnête, ou qu'il ne vous veut pas de mal.


Ce qu'on croit

Le cadenas HTTPS dans la barre d'adresse signifie que le site est sécurisé et qu'on peut lui faire confiance. Les navigateurs ont d'ailleurs formé à regarder ce cadenas avant d'entrer des informations.

Ce qui est vrai

HTTPS certifie que la connexion entre votre navigateur et le serveur est chiffrée. Il ne dit rien sur l'identité du propriétaire du site, ses intentions, ni sur ce qu'il fait de vos données. 83% des sites de phishing utilisent HTTPS (APWG, 2023).

Ce que HTTPS garantit — et rien d'autre

HTTPS (HyperText Transfer Protocol Secure) utilise TLS pour chiffrer les données échangées entre votre navigateur et le serveur. Ce chiffrement protège contre l'interception en transit — un attaquant sur le même réseau ne peut pas lire le contenu de vos échanges. C'est utile et nécessaire. Ce n'est pas suffisant pour garantir la légitimité d'un site.

Un certificat TLS peut être obtenu gratuitement en quelques minutes via Let's Encrypt, une autorité de certification non commerciale qui émet des millions de certificats automatiquement. N'importe qui peut créer un site www-ma-banque-fr.example.com avec un certificat valide et un cadenas vert dans la barre d'adresse. Le cadenas certifie que la connexion vers ce faux site est chiffrée — pas que le site est votre vraie banque.

Le phishing avec HTTPS — une réalité documentée

Selon l'Anti-Phishing Working Group, 83% des sites de phishing utilisaient HTTPS en 2023. Cette proportion n'a cessé d'augmenter depuis 2016, quand HTTPS était encore rare sur les sites frauduleux. L'accessibilité des certificats gratuits a inversé la situation : ne pas avoir HTTPS est désormais plus suspect qu'en avoir un.

Les navigateurs ont progressivement abandonné l'affichage du cadenas vert pour ne plus afficher que l'absence de sécurité (le cadenas barré ou la mention "Non sécurisé") sur les sites HTTP. Cette décision reconnaît implicitement que le cadenas positif n'apporte plus d'information utile — il est trop répandu pour être discriminant.

Comment identifier un site légitime

Vérifier l'URL complète dans la barre d'adresse — pas seulement le cadenas. Le domaine racine (ce qui précède le premier slash après les deux barres) doit correspondre exactement à celui que vous attendez. "ma-banque.fr" et "ma-banque.compte.fr" sont deux domaines différents, le second appartenant au détenteur de "compte.fr". Les variations subtiles — tirets, lettres supplémentaires, extensions différentes — sont les techniques les plus courantes.

Pour les services financiers et les accès sensibles, utiliser un gestionnaire de mots de passe qui mémorise l'URL exacte du service est une protection efficace contre le phishing — le gestionnaire ne remplira pas automatiquement les credentials sur un faux site dont l'URL ne correspond pas. Voir la page sur les mots de passe et gestionnaires pour les détails de cette protection.

Ce que HTTPS ne garantit pas

Légitimité du site — non. Intentions honnêtes du propriétaire — non. Absence de malware — non. Respect de vos données — non. Ce que HTTPS garantit : le contenu de votre échange avec ce serveur n'est pas lisible par un tiers en position d'interception réseau. C'est tout.

Les différents types de certificats TLS

Il existe trois niveaux de validation pour les certificats HTTPS. Les certificats DV (Domain Validation) vérifient uniquement que le demandeur contrôle le domaine — c'est le niveau minimal, obtenu automatiquement via Let's Encrypt, utilisé par la quasi-totalité des sites incluant les sites de phishing. Les certificats OV (Organization Validation) vérifient l'identité juridique de l'organisation — plus contraignants à obtenir, ils offrent une indication que l'entité existe légalement. Les certificats EV (Extended Validation) imposaient jusqu'en 2019 un affichage du nom de l'entreprise dans la barre d'adresse des navigateurs — les principaux navigateurs ont supprimé cet affichage, réduisant leur différenciation visible.

Pour l'utilisateur, la différence pratique entre ces niveaux est difficile à percevoir sans cliquer sur le cadenas pour voir les détails du certificat. Et même cette vérification nécessite de savoir ce qu'on cherche — un certificat OV pour "Example Security Ltd" n'est pas plus rassurant si vous ne savez pas que c'est une entreprise frauduleuse légalement constituée.

Ce qui permet réellement de vérifier l'authenticité d'un site

La vérification de l'URL complète reste la méthode la plus fiable et la plus accessible. Le domaine racine — ce qui précède le premier slash après le protocole — est la seule information certifiée par le certificat TLS standard. "secure.ma-banque.fr" et "ma-banque.secure-login.com" sont deux domaines complètement différents ; le premier appartient à ma-banque.fr, le second à secure-login.com.

Les signaux d'alerte pratiques : une URL avec des tirets nombreux, des chiffres inhabituels, ou une extension de domaine inattendue (votre banque française sur un .ru ou .xyz). Une demande d'informations sensibles non sollicitée. Une interface légèrement différente de d'habitude — couleurs légèrement décalées, fontes différentes, mise en page approximative. Ces signaux visuels ne sont pas infaillibles mais alertent sur une vérification plus approfondie.

HTTPS est une condition nécessaire mais pas suffisante pour faire confiance à un site. Ne pas avoir HTTPS en 2026 est un signal d'alerte — tout site sérieux l'implémente. L'avoir ne dit rien sur l'identité de l'opérateur ni ses intentions. C'est un outil de chiffrement du transit, pas un certificat d'honorabilité.