Skip to content

Si un site affiche le cadenas / HTTPS, est-il sûr ?

Réponse courte

Non. Le cadenas signifie que le transport est chiffré et que le certificat est valide pour ce domaine : il ne dit rien sur l'honnêteté de l'opérateur ni sur le caractère malveillant du contenu. Des certificats gratuits et automatisés font que les sites d'hameçonnage et de logiciels malveillants ont presque toujours un cadenas parfaitement valide. HTTPS protège le canal, pas la destination.

C'est un piège de sensibilisation des utilisateurs qui attrape même les personnes techniques, parce que « cherchez le cadenas » a été un conseil de sécurité pendant une décennie. L'examinateur veut voir si vous comprenez ce que ce cadenas certifie réellement.

Ce que signifie vraiment le cadenas

Le cadenas indique deux choses et seulement deux : la connexion est chiffrée avec TLS, et le navigateur a validé avec succès un certificat qui correspond au domaine que vous visitez. C'est tout. C'est une affirmation sur le canal, pas sur le caractère du site. Une connexion chiffrée vers un criminel reste une connexion chiffrée.

Pourquoi « certificat valide » n'est plus un signal de confiance

Les certificats à validation de domaine sont gratuits et automatisés (par ex. via ACME/Let's Encrypt). Un attaquant enregistre un domaine sosie, obtient un certificat en quelques secondes, et met en place une page d'hameçonnage avec un cadenas impeccable. Des études ont montré qu'une large part des sites d'hameçonnage utilisent désormais HTTPS, en partie parce que le cadenas rassure les victimes. Le distracteur affirmant que les certificats nécessitent un « examen de sécurité » décrit un processus qui n'existe pas pour le DV.

Ce qui signale réellement la confiance

Le nom de domaine lui-même (lisez-le attentivement à la recherche de typosquattage), la réputation de l'opérateur, et la vérification hors bande. Les navigateurs ont même retiré l'ancienne « barre verte EV » parce que les utilisateurs ne pouvaient pas l'interpréter de façon fiable.

Ce que recherchent les recruteurs

Un « non » ferme, la distinction canal/destination, et l'exemple décisif : les sites d'hameçonnage ont aussi des certificats valides. Les candidats qui assimilent cadenas et sécurité révèlent un modèle mental dépassé.

Questions de suivi probables

  • Que prouve exactement un certificat à validation de domaine (DV), et que ne prouve-t-il pas ?
  • Pourquoi les navigateurs ont-ils cessé d'afficher les « barres vertes EV » pour les certificats à validation étendue ?
  • Comment juge-t-on réellement si un site est digne de confiance ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.