Debutant : Avantages de https

Le
chasouris
Bonjour !

Petite question toute bête : Quels sont les avantages d'un site qui
commence par https au lieu de http ?

J'ai cherché sur le web, et "c'est plus sécurisé", ok, ça j'ai
compris :-)

Mais par exemple, si je me connecte à un webmail style
"www.monsupermail.com"

En quoi est-ce que le fait de me loguer sur "https://
www.monsupermail.com" est plus safe que "http://
www.monsupermail.com" ?

Même si la société "mon super mail" est authentifiée, à jour, avec
tous les certificats et tout, je leur envoie quand même mon nom, mon
pseudo, mon mot de passe Ils en font quand même bien ce qu'ils
veulent, non ?

J'en ai déduit que finalement, le https permet uniquement d'éviter de
se faire piquer les infos au passage sur le réseau internet Style
si je me suis chopé un keylogger, ou si je suis sur "écoute internet"
d'une autre manière, le fait d'être en https empêche quiconque de voir
ce que j'envoie parce que c'est crypté par https.

Désolé si je parle un peu "trivial", mais je voulais juste savoir si,
en gros, j'avais compris

Merciiiiiiiiiiiiiiiii
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Paul Gaborit
Le #7085291
À (at) 24 Jun 2008 09:28:18 GMT,
écrivait (wrote):
En quoi est-ce que le fait de me loguer sur "https://
www.monsupermail.com" est plus safe que "http://
www.monsupermail.com" ?

Même si la société "mon super mail" est authentifiée, à jour, avec
tous les certificats et tout, je leur envoie quand même mon nom, mon
pseudo, mon mot de passe... Ils en font quand même bien ce qu'ils
veulent, non ?



Oui.

J'en ai déduit que finalement, le https permet uniquement d'éviter de
se faire piquer les infos au passage sur le réseau internet...



Oui. Mais en plus, ça permet aussi de vérifier l'identité du serveur
distant (si leur certificat est valide). Ça empêche donc aussi le
"phishing" ou hameçonnage par un faux site qui se présenterai comme le
vrai.

Style si je me suis chopé un keylogger,



Non. Un "keylogger" est installé sur la machine locale. Il peut donc
intercepter les échanges avant que ça passe par le réseau et donc par
la phase de chiffrement.


ou si je suis sur "écoute internet" d'une autre manière, le fait
d'être en https empêche quiconque de voir ce que j'envoie parce que
c'est crypté par https.



Oui.

Désolé si je parle un peu "trivial", mais je voulais juste savoir si,
en gros, j'avais compris...



Persque... ;-)

--
Paul Gaborit -
chasouris
Le #7085411
[...]ça permet aussi de vérifier l'identité du serveur
distant (si leur certificat est valide). Ça empêche donc aussi le
"phishing" ou hameçonnage par un faux site qui se présenterai comme
le
vrai.

Heuuuu... oui, mais le phishing, tu le vois dans la barre d'adresse...
Style tu reçois un mail avec un lien hypertexte qui semble pointer
vers www.monsupermail.com, mais quand tu cliques dessus, tu vois bien
que tu arrives sur www.JeSuisUnEscroc.com...

Donc, dans mon navigateur, si je tape physiquement http://www.monsupermail.com
ou https.www.monsupermail.com, je sais que j'arrive chez
MonSuperMail... Qu'ils soient sécurisés, certifiés tout ce que tu
veux, ça change rien de rien niveau phishing, non ?

Je suis désolé d'insister avec mes questions un peu "bébêtes", mais
depuis le temps qu'on me parle du https comme si c'était le Graal, je
voudrais finalement savoir ce qu'il en est vraiment...
Nicolas George
Le #7085761
Paul Gaborit wrote in message
distant (si leur certificat est valide). Ça empêche donc aussi le
"phishing" ou hameçonnage par un faux site qui se présenterai comme le
vrai.



Ce serait vrai si (1) on a un moyen d'obtenir l'empreinte du certificat du
bon site par un moyen fiable indépendant et (2) on ne fait confiance qu'aux
certificats vérifiés de cette manière.

Si ce n'est pas le cas, en particulier si on se contente de faire confiance
aux CA présentes par défaut dans le navigateur, la protection contre le
phishing est essentiellement nulle.
Paul Gaborit
Le #7085881
À (at) 24 Jun 2008 10:56:22 GMT,
Nicolas George
Paul Gaborit wrote in message
distant (si leur certificat est valide). Ça empêche donc aussi le
"phishing" ou hameçonnage par un faux site qui se présenterai comme le
vrai.



Ce serait vrai si (1) on a un moyen d'obtenir l'empreinte du certificat du
bon site par un moyen fiable indépendant et (2) on ne fait confiance qu'aux
certificats vérifiés de cette manière.

Si ce n'est pas le cas, en particulier si on se contente de faire confiance
aux CA présentes par défaut dans le navigateur, la protection contre le
phishing est essentiellement nulle.



Dans l'absolu, c'est vrai... Mais, de fait, la plupart des sitesde
phishing actuels ne sont même pas en https ce qui les distingue
parfois du vrai site. Ça protège donc des forme de phishing simples.

Quant au moyen fiable et indépendant... Il y a toujours un moment où
il faut se décider à faire confiance à quelqu'un ! ;-)

--
Paul Gaborit -
Stephane Catteau
Le #7088041
Nicolas George devait dire quelque chose comme ceci :

distant (si leur certificat est valide). Ça empêche donc aussi le
"phishing" ou hameçonnage par un faux site qui se présenterai comme le
vrai.



Ce serait vrai si (1) on a un moyen d'obtenir l'empreinte du certificat du
bon site par un moyen fiable indépendant et (2) on ne fait confiance qu'aux
certificats vérifiés de cette manière.

Si ce n'est pas le cas, en particulier si on se contente de faire confiance
aux CA présentes par défaut dans le navigateur, la protection contre le
phishing est essentiellement nulle.



Et comme on doit le plus souvent se contenter d'une confiance
relative... Parce que bon, même les meilleurs font parfois des erreurs
stupides. Depuis ils ont corrigé le problème, mais n'empèche que :
Rapporté au site visité, le "quelqu'un est peut-être entrain de vous
espionner" est savoureux ;)
DAPL
Le #7088021
Stephane Catteau a écrit :

Rapporté au site visité, le "quelqu'un est peut-être entrain de vous
espionner" est savoureux ;)



Excellent !
mpg
Le #7092281
Le (on) mardi 24 juin 2008 12:04, a écrit (wrote) :

Heuuuu... oui, mais le phishing, tu le vois dans la barre d'adresse...
Style tu reçois un mail avec un lien hypertexte qui semble pointer
vers www.monsupermail.com, mais quand tu cliques dessus, tu vois bien
que tu arrives sur www.JeSuisUnEscroc.com...



Ça dépend si l'attaque est grossière ou sophistiquée. Un attaquant puissant
peut tout à fait faire en sorte que sur ta machine, www.monsupermail.com
pointe vers ses serveurs et tu n'y verra que du feu. Beaucoup plus simple
mais qui a sans doute ses chances : l'attaquant achète le nom de domaine
www.monsupremail.com. Le propriétaire légitime peut aussi oublier de
renouveller le nom de domaine, etc.

Bref, le nom de domaine n'est en aucun cas une garantie fiable de l'identité
du serveur à qui tu parles.

Donc, dans mon navigateur, si je tape physiquement
http://www.monsupermail.com ou https.www.monsupermail.com, je sais que
j'arrive chez MonSuperMail...



Non, pas avec une certitude absolue.

Qu'ils soient sécurisés, certifiés tout ce
que tu veux, ça change rien de rien niveau phishing, non ?



Si, le certification est très précisément faite pour ça.

Je suis désolé d'insister avec mes questions un peu "bébêtes", mais
depuis le temps qu'on me parle du https comme si c'était le Graal, je
voudrais finalement savoir ce qu'il en est vraiment...



Ce n'est pas le Graal. C'est juste une brique utile du mur fragile qui te
protège des méchants :-)

Manuel.
Publicité
Poster une réponse
Anonyme