C'est exactement le problème que HTTPS est conçu pour résoudre. Si vous visitez Facebook (ou tout autre site d'ailleurs) en utilisant une URL commençant par https: //
( pas http: //
), il existe alors un certain nombre de mesures de sécurité que votre navigateur utilisera automatiquement pour s'assurer que le site auquel il vous connecte est vraiment celui affiché immédiatement après https: //
dans la barre d'URL, et avertir si ce n'est pas le cas.
Passons brièvement en revue ces mesures de sécurité afin que vous ayez une meilleure compréhension de leur fonctionnement et des conditions dans lesquelles elles sont efficaces (ou inefficaces).
Fonctionnement des noms de domaine
Lorsque vous visitez pour la première fois une URL telle que https://www.facebook.com/
, la première chose que fera votre navigateur est d'extraire le nom de domaine du site de l'URL que vous avez fournie. Le nom de domaine est la partie de l'URL qui vient après "https: //" au début de l'URL, et avant le prochain "/". Dans ce cas, le nom de domaine est "www.facebook.com".
Dans le nom de domaine, il y a plusieurs libellés séparés par des points (.
). Le libellé le plus à droite, dans ce cas, com
, est le domaine de premier niveau. Le libellé à gauche de celui-ci, dans ce cas facebook
, est un sous-domaine du domaine de premier niveau ( .com
), et tout autre libellé à gauche de qui , comme www
, sont des sous-domaines contrôlés par le propriétaire de ce domaine. Ainsi, alors qu'un domaine comme secure.facebook.com
est contrôlé par Facebook (puisqu'ils possèdent le nom de domaine facebook.com
), un domaine différent comme www.facebook .com.login.site
serait contrôlé par celui qui possède le domaine login.site
(probablement pas Facebook).
Ceci est important que vous compreniez, car si https://www.facebook.com/
est l'URL correcte pour Facebook, https://other.site.com/ www.facebook.com
n'est pas , ni https://www.faceb0ok.com/
, https: //www.faceboook. com /
ou https://www.facebook.com.secure.site/
. Si le nom de domaine que vous voyez dans la barre d'URL ne se termine pas exactement par facebook.com
, votre navigateur ne saura pas que vous voulez vraiment vous connecter à Facebook et ne peut donc pas vous empêcher de vous connecter à un autre site qui se fait passer pour Facebook.
Vérification du nom de domaine
Une fois que votre navigateur aura le nom de domaine du site que vous visitez, il se connectera à celui-ci site à l'aide d'un processus appelé établissement de liaison TLS. (Encore une fois, cela suppose que vous visitez le site via https.) Dans le cadre de ce processus, le serveur auquel vous vous connectez (que ce soit le vrai serveur ou un faux) doit présenter à votre navigateur un fichier spécial appelé certificat TLS. . Ce fichier doit contenir une déclaration signée d'une tierce partie connue sous le nom d'autorité de certification à laquelle votre navigateur fait déjà confiance. La déclaration indiquera à votre navigateur la clé cryptographique à utiliser pour contacter le site Web que vous avez demandé, et votre navigateur demandera au serveur auquel vous vous êtes connecté (réel ou faux) de prouver qu'il contrôle cette clé avant d'envoyer des informations supplémentaires à ce serveur. .
Comme le certificat TLS doit être signé par un tiers auquel votre navigateur fait déjà confiance, le serveur auquel vous parlez ne peut pas simuler les informations de ce certificat. Et comme le certificat contient la vraie clé du serveur que vous essayez de contacter (dans notre cas, facebook.com), un faux serveur ne pourra pas convaincre votre navigateur qu'il est légitime et votre navigateur affichera un avertissement à vous, vous indiquant que le site auquel vous vous connectez est peut-être faux.
Pour en savoir plus sur ce processus, consultez Comment fonctionne SSL / TLS?.
Mais est-ce suffisant?
Votre navigateur peut-il être amené à charger une page à partir d'une fausse version de Facebook même si la barre d'URL indique https: // www.facebook.com/
?
Dans des circonstances normales, non. Si vous vérifiez que vous utilisez https et que le nom de domaine est le bon, ces protections intégrées suffiront généralement à vous assurer que vous parlez vraiment au vrai facebook.com
.
Il peut cependant y avoir de rares circonstances où quelqu'un pourrait se faire passer pour Facebook malgré ces protections. Par exemple, si vous installez une autorité de certification de confiance personnalisée sur votre ordinateur, le propriétaire de cette autorité de certification peut se faire passer pour Facebook. Au travail, votre employeur a peut-être déjà fait quelque chose de ce genre sur votre ordinateur de travail, alors soyez prudent lorsque vous naviguez sur le Web avec un ordinateur que vous ne possédez pas. (Il en va de même pour les ordinateurs d'une école ou d'une bibliothèque.) Les logiciels malveillants sur votre ordinateur peuvent également être en mesure d'installer sa propre autorité de certification ou de contourner les protections de votre navigateur d'une autre manière.
Il existe également d'autres moyens plus rares. un attaquant pourrait être en mesure de tromper votre navigateur pour qu'il se connecte à un faux facebook.com, par exemple en compromettant une autorité de certification approuvée par votre navigateur, mais je n'entrerai pas dans ces méthodes en détail, car elles sont très peu probables. >
Si vous pensez que, malgré ces protections, votre navigateur peut se connecter à un faux facebook.com sans vous en avertir, vous pourriez savoir si tel est le cas en utilisant certains des les méthodes explorées dans la réponse d'Adonalsium, mais même ces méthodes ne sont en aucun cas infaillibles.
Mais encore une fois, pour la plupart des utilisateurs, vérifier que vous vous connectez via HTTPS et que le nom de domaine affiché dans la barre d'URL est correct devrait être suffisant pour que vous soyez raisonnablement sûr que vous parlez bien au vrai Facebook.