Si un site affiche le cadenas / HTTPS, est-il sûr ?
Réponse courte
Non. Le cadenas signifie que le transport est chiffré et que le certificat est valide pour ce domaine : il ne dit rien sur l'honnêteté de l'opérateur ni sur le caractère malveillant du contenu. Des certificats gratuits et automatisés font que les sites d'hameçonnage et de logiciels malveillants ont presque toujours un cadenas parfaitement valide. HTTPS protège le canal, pas la destination.
C'est un piège de sensibilisation des utilisateurs qui attrape même les personnes techniques, parce que « cherchez le cadenas » a été un conseil de sécurité pendant une décennie. L'examinateur veut voir si vous comprenez ce que ce cadenas certifie réellement.
Ce que signifie vraiment le cadenas
Le cadenas indique deux choses et seulement deux : la connexion est chiffrée avec TLS, et le navigateur a validé avec succès un certificat qui correspond au domaine que vous visitez. C'est tout. C'est une affirmation sur le canal, pas sur le caractère du site. Une connexion chiffrée vers un criminel reste une connexion chiffrée.
Pourquoi « certificat valide » n'est plus un signal de confiance
Les certificats à validation de domaine sont gratuits et automatisés (par ex. via ACME/Let's Encrypt). Un attaquant enregistre un domaine sosie, obtient un certificat en quelques secondes, et met en place une page d'hameçonnage avec un cadenas impeccable. Des études ont montré qu'une large part des sites d'hameçonnage utilisent désormais HTTPS, en partie parce que le cadenas rassure les victimes. Le distracteur affirmant que les certificats nécessitent un « examen de sécurité » décrit un processus qui n'existe pas pour le DV.
Ce qui signale réellement la confiance
Le nom de domaine lui-même (lisez-le attentivement à la recherche de typosquattage), la réputation de l'opérateur, et la vérification hors bande. Les navigateurs ont même retiré l'ancienne « barre verte EV » parce que les utilisateurs ne pouvaient pas l'interpréter de façon fiable.
Ce que recherchent les recruteurs
Un « non » ferme, la distinction canal/destination, et l'exemple décisif : les sites d'hameçonnage ont aussi des certificats valides. Les candidats qui assimilent cadenas et sécurité révèlent un modèle mental dépassé.
Questions de suivi probables
- Que prouve exactement un certificat à validation de domaine (DV), et que ne prouve-t-il pas ?
- Pourquoi les navigateurs ont-ils cessé d'afficher les « barres vertes EV » pour les certificats à validation étendue ?
- Comment juge-t-on réellement si un site est digne de confiance ?