Wiki LLV

Outils pour utilisateurs

Outils du site

Piste : menace_https
wiki:securite:menaces:menace_https

Table des matières

HTTPS

Scamdoc — https://info-fr.scamdoc.com/guide/scoring/https
HTTPS et mythe de la sécurité — https://info.signal-arnaques.com/bonnes-pratiques/https-cadena-vert-cassons-mythe-de-securite/
HTTP/2 — https://www.zdnet.fr/blogs/infra-net/http2-une-evolution-importante-du-protocole-du-web-notamment-pour-les-mobiles-39798198.htm
Signal Arnaques — https://info.signal-arnaques.com/bonnes-pratiques/comment-detecter-un-site-darnaqueur

.

Le protocole HTTP transfert les informations en clair, non chiffrées.

Le protocole HTTPS utilise un chiffrement avancé pour sécuriser la transmission entre votre navigateur et le site web (cadenas vert ou fermé à gauche de l’adresse du site). Ce protocole est désormais disponible gratuitement et largement répandu. Il combine le chiffrement SSL et autorités de certifications.

HTTPS ne garantit pas l'honnêteté ni la légitimité du site. HTTPS ne veut pas dire “site de confiance”.

Let’s Encrypt est une autorité de certification (SSL) à but non lucratif qui s’est donné pour mission de faciliter la mise en place d’https gratuitement, contrairement aux autres organismes. Elle le fait très rapidement selon un processus qui peut être complètement automatisé.

Grâce à HTTPS :

  • meilleur positionnement dans les moteurs de recherche
  • meilleures performances grâce à HTTP/2

Mais SSL est un protocole qui peut être mal mis en œuvre :

  • taille des clés de chiffrement
  • algorithmes de chiffrement
  • version du protocole
  • mode de compression des données
  • version du logiciel qui gère tout ça…

SSL Labs vous fait un diagnostic en direct : https://www.ssllabs.com/ssltest

Sites d’aide à la détection des sites d’arnaques

  • Scam Adviser : analyse différentes données sur l’âge et la localisation d’un site. — https://www.scamadviser.com
  • URLVoid : se base sur un ensemble de listes répertoriant les problèmes de spams, de malwares, de piratage ou de fraudes connues. — http://www.urlvoid.com
  • Scamdoc (Signal Arnaques) : utilise Scam Adviser et URLVoid. Il évalue en plus la fiabilité d’un e-mail. — https://www.scamdoc.com/fr

Scamdoc

Scamdoc analyse automatiquement la fiabilité d’un site internet ou d’une adresse e-mail. Il fournit une évaluation de la confiance basée sur l’analyse d'informations collectées en ligne. — https://info-fr.scamdoc.com

  • HTTPS
  • Âge du nom de domaine.
  • Pays d’origine.
  • Popularité du site, avec les algorithmes de Google.
  • Avis des utilisateurs.
  • Transparence des informations d’identification du propriétaire sur son site (coordonnées claires, cohérentes, numéro d’identification (SIRET…) contrôlable sur Infogreffe. Nom d'un responsable légal, hébergeur, responsable de publication, conditions générales de vente…
  • Transparence des informations du propriétaire dans la base de données Whois.
  • Cohérence entre le lieu du siège social de l’éditeur et le public ciblé.
  • et bien d’autres critères qui évoluent…

Extension navigateur spécialisée en « e-reputation »

wiki/securite/menaces/menace_https.txt · Dernière modification : de palas
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki