Je sais qu'il est possible qu'un ordinateur soit infecté simplement en visitant un site Web. Je sais également que les sites Web HTTPS sont sécurisés.
À ma connaissance, "sécurisé" fait ici référence à "à l'abri des attaques MITM", mais comme ces sites Web ont des certificats et autres, est-il juste de supposer qu'ils sont "propres" et non malveillants?
Non, HTTPS ne signifie pas nécessairement qu'un site n'est pas malveillant. HTTPS signifie très peu de sécurité pour un site. Il est spécifiquement conçu pour garder votre communication avec le site à l'abri des écoutes et de la falsification, mais n'offre rien quant à la sécurité du site lui-même.
Oui, un site proposant du contenu via HTTPS dispose d'un certificat. Cela signifie que la personne qui a demandé le certificat à l'autorité de certification possède une adresse e-mail associée au domaine. Sauf dans le cas des certificats de validation étendue (ceux qui offrent une barre d'adresse verte), c'est littéralement tout ce que cela signifie. Personne de l'AC ne valide que le site est sûr, sécurisé et ne sert pas de logiciels malveillants. Tout site, avec ou sans certificat SSL, peut présenter des bogues et des vulnérabilités qui permettent à un attaquant de les exploiter pour exploiter un exploit. Ou un administrateur ou un utilisateur qui a la possibilité de provoquer de manière malveillante ou inconsciente sur le site des malwares. Même si le site lui-même ne le fait pas, s'il sert des publicités (ou tout autre contenu, d'ailleurs) d'un réseau publicitaire ou d'un autre site, que pourrait être vulnérable.
Ainsi, HTTPS signifie que personne ne devrait être en mesure d'afficher ou de falsifier votre trafic. C'est tout ce que cela signifie.
Pas du tout une garantie. HTTPS signifie que la page Web a SSL, ce qui signifie simplement que votre connexion à la page est cryptée. Le contenu de la page peut être tout ce qui peut être publié sur n'importe quel site Web, qu'il soit chiffré par SSL ou non.
De plus, comme indiqué dans les réponses dans les commentaires ci-dessous, vous pouvez être induit en erreur par un faux sentiment de sécurité lorsque (dans différents types d'exemples) le serveur cible est compromis ou qu'un pirate redirige les données de votre site https vers un autre emplacement chiffré https . Vous pouvez toujours être crypté sur un site, mais peut-être même un faux site qui ressemble au vrai à la place.
En bref: oui, cela peut en effet être malveillant!
L'accès à un site via HTTPS signifie que la connexion entre votre ordinateur et le serveur du site Web est cryptée et sécurisée.
Ce que fait HTTPS
Ce que HTTPS ne fait pas
Par conséquent, il est toujours possible pour les auteurs du site Web (ou quelqu'un qui a obtenu un accès non autorisé au site Web) que le site Web lui-même diffuse un contenu malveillant à votre navigateur.
Le sécurisé de https n'est pas lié au contenu d'un site Web/service.
Il est appelé "sécurisé" parce que théoriquement les protocoles de sécurité (ssl/tsl et quelques autres) ne permettent pas de comprendre facilement les informations échangées (il crypte le flux de données), donc, même si quelqu'un attrapait vos paquets, il le ferait devez le déchiffrer pour comprendre le message.
Maintenant, cela est utile car certaines informations telles que les mots de passe, le numéro de sécurité sociale, le numéro de carte de crédit, etc. peuvent causer beaucoup de problèmes si elles sont découvertes par quelqu'un qui a l'intention de causer des dommages.
En ce sens, https nous aide en rendant difficile pour un tiers de savoir quelles informations nous avons échangées avec un site Web (et c'est pourquoi la plupart des banques utilisent au moins https sur leurs services), mais cela n'empêche pas un site Web ou un service de être infecté par un logiciel malveillant ou un attaquant pour vous joindre indirectement en infectant un serveur.
Maintenant, j'ai déduit de votre question que lorsque vous avez utilisé le terme "sécurisé", vous le vouliez de manière différente (dans le sens de la sécurité contre le contenu malveillant), en ce sens, https ne vous protège pas du tout car il ne fait pas attention au contenu (ce qui est transmis via la connexion) lui-même.
Oui, cela peut être facilement - JavaScript ou virus malveillants peuvent être transférés via HTTPS aussi facilement qu'avec HTTP sans problème. Cela peut être un peu moins probable car la source du message HTTPS vérifié valide est connue.
Cependant, cela peut toujours se produire si le site HTTPS a eu une faille de sécurité, a été attaqué, compromis et du contenu malveillant y a été installé. Ce ne sera pas pour longtemps, bientôt l'administrateur connaîtra d'une manière ou d'une autre et supprimera le malware. Cependant, je préférerais éviter de faire confiance au contenu simplement parce qu'il a été livré via HTTPS.
Ajoutez à la liste que l'autorité de certification elle-même aurait pu être piratée (par exemple DigiNotar) et utilisée pour émettre de faux certificats, ou votre navigateur pourrait être contraint d'utiliser spécifiquement de fausses autorités de certification afin que votre connexion puisse être interceptée et falsifiée - comme cela est parfois utilisé sur réseaux d'entreprise.
Oh, le certificat peut également avoir été truqué car il utilisait MD5. Comme cela a déjà été dit, cette icône de verrouillage dans votre navigateur signifie autre chose que vous ne le pensez :).
Une connexion HTTPS authentifiée ne fait que valider que si https://www.example.com
est affiché dans la barre d'adresse, que vous êtes en fait connecté à www.example.com
.
Le certificat ne certifie pas que www.example.com
n'est en aucun cas malveillant. Un Extended Validation Certificate avec un surlignage vert affiché autour de la barre d'adresse vous permettra de connaître l'organisation réelle derrière le site, donc si vous leur faites confiance, vous pouvez faire confiance au site Web. Il existe également des certificats Organisation Verified, mais il est difficile pour les utilisateurs réguliers de les distinguer des certificats Domain Verified.
Les certificats DV sont très faciles à obtenir - donc à moins que vous ne connaissiez déjà le domaine du site et que vous ne lui fassiez confiance, vous ne devriez pas vous permettre de faire confiance au site simplement parce qu'il utilise https.
En plus des autres points soulevés, il convient de mentionner que même un site de confiance (par exemple, votre banque), pourrait encore être infecté par un virus qui le fait se comporter de manière malveillante. Donc, même si vous faites confiance à l'organisation, https ne garantit toujours pas que le site Web ne fait pas de choses malveillantes.
Un Pharming attack peut être utilisé pour rediriger votre trafic vers un serveur malveillant. Ce serveur se connectera au légitime et s'authentifiera comme si c'était vous. Ensuite, il vous présentera les informations ou la page Web du serveur légitime. Pour vous - cela apparaîtra lorsque vous serez connecté en toute sécurité au serveur légitime, mais il y a maintenant un MITM qui a accès au canal et il peut tout lire dessus. Ce type d'attaque est difficile à exécuter mais il peut rendre HTTPS inutile ...
Pour que la dose du site ne soit pas malveillante, il peut s'agir de votre banque. Mais, en utilisant cette approche, quelqu'un peut obtenir toutes les données de votre compte, vos informations d'identification, etc. même si le site est HTTPS.