Lorsque vous utilisez une connexion HTTPS, les adresses que vous visitez sont censées être chiffrées, quel que soit le réseau auquel vous êtes connecté. Néanmoins, une vulnérabilité récemment découverte prouve que ce n’est pas nécessairement une vérité absolue.
Si vous êtes connecté à un réseau sans fil non sécurisé, en particulier un qui n’a jamais été vérifié, le HTTPS seul ne vous protégera pas, ont déclaré les chercheurs en sécurité Itzik Kotler et Amit Klein lors d’un discours à la conférence de sécurité Black Hat à Las Vegas. Avec la bonne configuration, un réseau malveillant peut découvrir chaque URL soi-disant protégée que vous avez visitée.
« Nous allons démontrer que, en forçant votre navigateur/système d’utiliser le fichier de Configuration Automatique de Proxy ou fichier malveillant .PAC, il est possible de récupérer les données d’une URL en HTTPS », explique les deux chercheurs. La vulnérabilité affecte potentiellement les ordinateurs Windows, Linux et Mac indépendamment du navigateur : IE, Safari et Chrome. Mais pas de panique en ce qui concerne vos connexions à la maison ou au travail. Si vous vous connectez à un réseau sécurisé, vous n’êtes pas affecté. À contrario, c’est quelque chose que les propriétaires de soi-disant réseaux Wi-Fi libres pourraient mettre en place dans le cadre d’une opération de phishing.
Il est intéressant de noter que le contenu des sites que vous visitez n’est pas révélé par cette vulnérabilité. Mais, de nombreux sites mettent des informations vitales, telles que les noms d’utilisateur et les mots de passe, même dans les URL en HTTPS. C’est une mauvaise pratique de sécurité que prennent certains développeurs qui supposent que le HTTPS protège les informations dans de tels cas.
Attention où vous vous connectez !
Dans d’autres cas, même le partage des URL que vous visitez fournit trop d’informations aux potentiels hackers.
La seule façon d’être vraiment à l’abri des exploits comme celui-ci est de ne pas se connecter à des réseaux que vous ne connaissez pas. Si vous êtes dans un café, vérifiez qu’il propose une connexion Wi-Fi et le nom du réseau avant de se connecter.
Et même si un réseau non sécurisé est attesté, sachez que certaines informations peuvent être visibles de tous même si vous utilisez une connexion HTTPS. Les failles comme celle-ci prouvent que les réseaux Wi-Fi publics ne sont pas sans risque. Restez donc vigilant…