Quels riques sur les pages avec cadenas grisés et triangles jaune ?

[carine262000]

Bonsoir à tous !

J'ai une question qui me turlupine... Quels risques on a sur les pages internet (et sur le forum) avec les cadenas grisés avec un triangles jaune, dans la barre d'adresse ?? J'ai remarqué cela dans les règles du forum et la FAQ et les sujets anciens aussi... Là je voulais me présenter à vous mais j'avoue que ce truc me turlupine... J'utilise firefox...

J'en profite pour vous poser une autre question au sujet de la sécurité... J'utilise un pack sérénité de la Fnac (F-secure) comme antivirus et je sais qu'on dois pas mettre 2 antivirus mais du coup je me demande si je peux laisser actif l'antivirus qui apparait dans le centre de sécurité de mon windows 10 (car une fois un informaticien m'avais laisser les 2 par feux activé quand j'avais McAfee en me disant que avec McAfee ont pouvait..). Et il me semble que l'antivirus de windows étais aussi activé...

Par avance je vous remercie de vos éclaircissements !!

[calisto06]

Bonjour @carine262000 pour les pare feux ce n'est pas gênant (tu risque juste un partage réseau difficile) mais pour les antivirus oui . ceci dit si tu installes un antivirus tiers celui de Windows doit automatiquement se désactiver au profit du nouveau .

Pour les cadenas https://support.mozilla.org/fr/kb/comment-savoir-si-ma-connexion-est-securisee 

Modifié le 31 août 2019 par calisto06

[carine262000]

Bonsoir @calisto06 !

Merci pour les explications et le lien !!

 

[Delta]

pour savoir si votre pare feu marche tres bien aller ici

http://assiste.com.free.fr/p/scan_de_ports_gratuits_en_ligne/grc_scan_de_ports.html

cliquer sur

une page s'ouvre cliquer sur proceed

une page s'ouvre et la cliquer sur GRC's instant [---] plaquete orange et laisser aller

si tout vas bien vous recevrez en vert ceci :

THE EQUIPMENT AT THE TARGET IP ADDRESS
DID NOT RESPOND TO OUR UPnP PROBES!

(That's good news!)

[carine262000]

Merci @Delta !

Est-ce normal qu’il n’y ai pas de s après http sur le lien que vous m'avez donné ?  J'avoue que j'ai un peu peur de faire ça...vous l'aurez surement compris je suis une flippée !! ;-))

[Azrahel]

Bonsoir Carine,

Ce n'est pas un problème d'aller sur un site en http non s, à partir du moment ou tu ne te connectes pas via identifiant et mot de passe. Il ne faut pas non plus transmettre le moindre renseignement confidentiel (numéro de carte pour des achats, etc...)

Pour ce qui est du point d'exclamation sur un site en HTTPS, ça peut être dû à un certificat expiré ou à un site qui contient à la fois du contenu mixte : sécurisé et non sécurisé (une image du site qui pointe sur une source en HTTP par exemple). Ça peut arriver à certains webmasters pressés 

[Mreve]

Bonjour @carine262000 et bienvenue sur le forum !

Je complète la réponse d'@Azrahel et t'offre une explication maison pour débutant
 

Le 31/08/2019 à 17:35, carine262000 a dit :

Quels risques on a sur les pages internet (et sur le forum) avec les cadenas grisés avec un triangles jaune, dans la barre d'adresse ??

Déjà il faut comprendre à quoi correspond ce cadenas. Le cadenas symbolise l'utilisation ou non du protocole sécurisé HTTPS.

• Si le cadenas est vert et fermé cela signifie que le site repose entièrement sur du HTTPS.
• Si le cadenas est fermé avec un triangle jaune cela signifie que la page web utilise le protocole HTTPS mais que certains contenus (typiquement les images) sont récupérés de façon non sécurisé (HTTP). Ce triangle jaune appairait aussi sur les sites web avec des certificats auto-signés ou des certificats qui ne sont pas délivrés par une autorité de confiance (je vais expliquer)
• Si le cadenas est ouvert cela signifie que la page n'utilise pas le protocole HTTPS.
   

Concrètement quels sont les risques ? De quoi me protège le HTTPS ?

Pour faire le plus simple possible, le protocole HTTPS ajoute une couche de chiffrement qui permet de garantir la confidentialité et l'intégrité des données échangées.
Sans ce chiffrement on peut écouter ton trafic réseau et savoir tout ce que tu fais (cela inclut donc tout ce que tu tapes sur ton clavier) : il n'y a pas de confidentialité

Garantir l'intégrité signifie qu'une personne qui est capable d'intercepter les échanges de données ne pourra pas modifier ces données. Par exemple imaginons que tu fasses un virement bancaire en ligne de 50€ à M. MaloNet. Sans le HTTPS, ce monsieur pourrait potentiellement transformer ce virement de 50€ en virement de 5000€.

Il n'est en soit pas dangereux d'aller sur des sites non sécurisés mais il faut garder en tête que tout ce qui est fait dessus est compromis.

 

Alors ce petit triangle jaune c'est grave ou pas ?

La page web importe du contenu web depuis de façon non sécurisé. Cela veut donc dire que tous les échanges impliquant ce contenu ne seront pas chiffrés.

Pour te rassurer, toutes les données que tu vas "envoyer" à la page web "avec le cadenas jaune" seront chiffrées.

Pour savoir quels contenu n'est pas chiffré, fais un clic droit sur une partie vide de la page web et clique sur Informations sur la page puis dans la section Médias.

Une personne malveillante pourrait donc potentiellement modifier ce contenu non chiffrée de façon à faire afficher du contenu malveillant.

 

Pourquoi il y a encore du HTTP ?

La plupart du temps c'est la flemme ou qu'il n'y en a pas le besoin. Pour pouvoir mettre en place du HTTPS, les développeurs de site internet doivent disposer de certificat TLS (parce quel le chiffrement repose sur le protocole TLS). Le rôle du certificat est d'assurer l'identité de la personne avec laquelle on communique. Cela serait dommage d'envoyer des données à une personne malveillante qui essaierait de se faire passer pour quelqu'un d'autre.

Dans le cas où le développeur a décidé installer un certificat sur le serveur alors faut faire en sorte que toutes les pages sur site utilisent le HTTPS. Parfois il y a des oublis ce qui veut dire que certains liens sont en HTTP alors qu'ils fonctionnent très bien en HTTPS.

Il est aussi possible que certaines personnes envoient des liens HTTP alors que ces liens fonctionnent aussi en HTTPS.

Exemple : http://wikipedia.fr/index.php (le lien n'est pas sécurisé)

Mais https://wikipedia.fr/index.php fonctionne aussi correctement

Il existe une extension Firefox qui s'appelle HTTPS Everywhere qui active automatiquement le chiffrement HTTPS sur les sites le prenant en charge. Une fois installé, si tu cliques sur le lien HTTP de mon exemple, tu verras qu'il a été automatiquement transformé en HTTPS

Super ! Donc quand je vois un site qui utilise du HTTPS ça veut dire que tout est sécurisé.

Attention ! Seulement le transit est sécurisé. Je vais faire une analogie :

HTTPS (le cadenas), c'est un peu comme un fourgon blindé: Il vous assure la sécurité du transport. Mais vraiment que du transport.
Le fourgon blindé ne te garantira pas que la banque utilise de bons coffre-forts et qu'elle les ferme bien. Le fourgon ne garantit pas non plus que la banque soit honnête.

De la même manière que des truands peuvent louer les services d'un fourgon blindé, des pirates peuvent très bien créer un site sécurisé (avec le petit cadenas).

Il faut être vigilant et ne pas confier n'importe quelle information à n'importe quel site, cadenas ou pas !

Bon c'était un peu long mais je pense que ça valait le coup. Non ?

EDIT : Je viens de voir le lien de @calisto06 . Bon j'ai fait un peu de redite du coup mais comme ça tu as une deuxième explication un peu différente avec quelques bonus

Modifié le 9 novembre 2019 par Mreve
Je viens de voir une faute d'orthographe !

[carine262000]

Il y a 18 heures, Azrahel a dit :

Bonsoir Carine,

Ce n'est pas un problème d'aller sur un site en http non s, à partir du moment ou tu ne te connectes pas via identifiant et mot de passe. Il ne faut pas non plus transmettre le moindre renseignement confidentiel (numéro de carte pour des achats, etc...)

Pour ce qui est du point d'exclamation sur un site en HTTPS, ça peut être dû à un certificat expiré ou à un site qui contient à la fois du contenu mixte : sécurisé et non sécurisé (une image du site qui pointe sur une source en HTTP par exemple). Ça peut arriver à certains webmasters pressés 

Bonjour à tous et bonjour @Azrahel !

Merci pour le complément d'explications !!

[carine262000]

Bonjour @Mreve !

Merci pour ton accueil !!

Et merci beaucoup pour les explications si détaillées et pour le temps que ça a du te prendre !! J'y relirais pour mieux y intégrer !! ;-)

[carine262000]

Il y a 19 heures, Azrahel a dit :

Bonsoir Carine,

Ce n'est pas un problème d'aller sur un site en http non s, à partir du moment ou tu ne te connectes pas via identifiant et mot de passe. Il ne faut pas non plus transmettre le moindre renseignement confidentiel (numéro de carte pour des achats, etc...)

Pour ce qui est du point d'exclamation sur un site en HTTPS, ça peut être dû à un certificat expiré ou à un site qui contient à la fois du contenu mixte : sécurisé et non sécurisé (une image du site qui pointe sur une source en HTTP par exemple). Ça peut arriver à certains webmasters pressés 

Désolée encore avec mes questions ! :-( Mais cela n'est pas risqué quand on est déjà connecté à son compte du forum si on veux se présenter dans le sujet en question et que le cadena est grisé avec le triangle jaune  ?

J'ai bien lu le lien que m'a donné calisto06 et les explications très détaillées de mreve (que je re re re relis) !!

Merci encore à tous pour vos explications et promi je vais faire attention de pas vous embêter trop souvent !!

[zelandonii]

Comme toujours, d'excellentes explications de @Mreve

[calisto06]

Il y a 2 heures, carine262000 a dit :

Désolée encore avec mes questions ! :-( Mais cela n'est pas risqué quand on est déjà connecté à son compte du forum si on veux se présenter dans le sujet en question et que le cadena est grisé avec le triangle jaune  ?

J'ai bien lu le lien que m'a donné calisto06 et les explications très détaillées de mreve (que je re re re relis) !!

Merci encore à tous pour vos explications et promi je vais faire attention de pas vous embêter trop souvent !!

Mais comment ça tu as un cadenas grisé sur le forum du crabe ? as tu installé https everywhere sur ff ? Perso tout est ok . Déconnecte toi et vide le cache FF https://support.mozilla.org/fr/kb/comment-vider-le-cache-de-firefox et regarde si c'est toujours grisé .

[carine262000]

Il y a 21 heures, calisto06 a dit :

Mais comment ça tu as un cadenas grisé sur le forum du crabe ? as tu installé https everywhere sur ff ? Perso tout est ok . Déconnecte toi et vide le cache FF https://support.mozilla.org/fr/kb/comment-vider-le-cache-de-firefox et regarde si c'est toujours grisé .

Bonsoir @calisto06 !

Merci de m'avoir répondu !!

Alors j'ai installer le module que tu m'a conseillé (merci de m'avoir fais connaitre ce module) et désolée mais sur le sujet "présentations des membres" (sujet trop ancien je pense), sur la "faq" et sur les "règles" du forum j'ai toujours ce cadena grisé et avec un triangle jaune...

Pour firefox je faisait toujours cela pour les caches et historiques sauf que cette fois quand j'ai du réinitialiser mon pc j'ai oublié d'y reparamétrer mais par défaut c'était en mode navigation privée... j'ai pu y remettre comme conseillé dans le lien que tu m'a donné...

Bon je remercie tout les membre de ce sujet de m'avoir appris des choses et d'avoir essayé de m'aider sur le sujet et du mal que vous vous êtes donné pour bien m'expliquer les choses !! Mais on vas en rester là car je sens que je vous exaspère et ça m'ennuie car je ne voulais pas en arriver là avec vous peur être que c'est moi qui m'exprime mal ou qui ne sais pas m'y prendre... C'est pas grave mais j'ai pas envie d'aggraver les choses avec vous alors que c'était bien parti !! Alors je vous remercie encore pour toute l'aide et j'espère a bientôt !! ;-)

[calisto06]

Il y a 1 heure, carine262000 a dit :

car je sens que je vous exaspère et ça m'ennuie

Alors là je ne vois pas pourquoi tu dis ça  car vraiment ce n'est pas le cas crois moi .

[carine262000]

Il y a 21 heures, calisto06 a dit :

Alors là je ne vois pas pourquoi tu dis ça  car vraiment ce n'est pas le cas crois moi .

Bonsoir @calisto06 !

Merci de m'avoir répondu ! Ok d'accord ! Désolée si je me suis trompée ! ;-)

Certaines choses me l'ont fait penser mais c'est peut être moi qui interprète mal les choses... J'imagine que mes questions de débutante, et le faite que je suis une flipée en informatique (et pourtant ça me plait beaucoup et j'ai envie d'apprendre et ré-apprendre et surmonter mes flippes), peuvent être un peu lourdes pour des pros de l'informatique... Peut être que je me trompe...

Je pense que si j'ai un gros problème concret je reviendrais demander de l'aide sur le forum mais plus de questions qui me turlupines... ;-)

Merci encore et bonne soirée !

[Mreve]

Content que mes explications aient plus !

Le 01/09/2019 à 16:45, carine262000 a dit :

Mais cela n'est pas risqué quand on est déjà connecté à son compte du forum si on veux se présenter dans le sujet en question et que le cadena est grisé avec le triangle jaune  ?

J'ai bien lu le lien que m'a donné calisto06 et les explications très détaillées de mreve (que je re re re relis) !!

Le 02/09/2019 à 17:27, carine262000 a dit :

Bon je remercie tout les membre de ce sujet de m'avoir appris des choses et d'avoir essayé de m'aider sur le sujet et du mal que vous vous êtes donné pour bien m'expliquer les choses !! Mais on vas en rester là car je sens que je vous exaspère et ça m'ennuie car je ne voulais pas en arriver là avec vous peur être que c'est moi qui m'exprime mal ou qui ne sais pas m'y prendre... C'est pas grave mais j'ai pas envie d'aggraver les choses avec vous alors que c'était bien parti !! Alors je vous remercie encore pour toute l'aide et j'espère a bientôt !! ;-)

Un débutant a toujours l'impression d'exaspérer lorsque qu'il pose des questions. Ne t'inquiète pas, tu ne nous ennuies pas !

Je suis au contraire content qu'une novice comme toi s'intéresse à ce genre de chose. La sécurité sur internet est importante et tu as raison de poser ces questions.

 

J'ai déjà répondu à ta deuxième question dans mon premier message. Relis-le et essaie de répondre à cette question : 

Quel est le risque de naviguer sur une page HTTP ?

Essaie vraiment d'y répondre avant de regarder la réponse :

Révélation

La communication avec une page HTTP n'est pas chiffrée. Si quelqu'un l'intercepte alors il pourra la comprendre et la modifier. Pour info (si tu veux te la raconter auprès de tes ami(e)s) cette interception s'appelle attaque Man in the middle. C'est facile à comprendre. Pour intercepter un communication, il parait logique de se trouver au milieu :

Comme je le disais dans mon premier message, il faut donc toujours garder en tête que tout peux être compromis. Il ne faut jamais rien renseigner de confidentiel sur une page HTTP. Il faut aussi se dire que du contenu a potentiellement pu être modifié à des fins malveillantes.

Ici sur le du forum, le risque est très très faible puisqu'il y a seulement certaines images qui ne sont pas en HTTPS. Cela veut donc dire que la pire chose qui pourrait arriver est que ces images soient modifiées à des fins malveillantes. Je précise que ces fausses images ne seront visibles que par toi (dans l'image au dessus, si Bob est un serveur alors Mallory peut modifier ce que Alice va envoyer en HTTP et/ou modifier ce que Bob va envoyer en HTTP à Alice)

Au final, est-ce vraiment important dans le cas d'une présentation sur un forum ? Tu ne vas rien écrire de confidentiel et je rappelle que le but de la présentation c'est que ton message soit public et que tout le monde le voit...

 

Le 01/09/2019 à 19:32, calisto06 a dit :

Mais comment ça tu as un cadenas grisé sur le forum du crabe ?

Elle voulait dire cadenas fermé avec triangle jaune. Sur les pages avec des images c'est assez courant que des images soient encore importées en HTTP.

Par exemple toutes les discussions dans lesquelles notre ami @Le PoissonClown est intervenu ont forcément ce joli triangle jaune parce que la vaguelette dans sa signature est en HTTP !

Le 03/09/2019 à 17:57, carine262000 a dit :

Je pense que si j'ai un gros problème concret je reviendrais demander de l'aide sur le forum mais plus de questions qui me turlupines... ;-)

Si si justement je veux que tu me poses toutes les petites questions que te turlupinent.

Il m'arrive de faire des interventions pour des associations ou le département dans lesquelles je  rappelle les bases de la sécurité informatique donc j'en ai vu des questions comme les tiennes !

J'aime beaucoup me prêter à cet exercice de vulgarisation. Essayer d’expliquer à un néophyte de l'informatique le fonctionnement des choses, c'est vraiment un truc qui me stimule.

Modifié le 5 septembre 2019 par Mreve
Ajout cas présentation sur le forum

[carine262000]

Bonsoir @Mreve et bonsoir à tous !

Merci Mreve de m'avoir répondu et rassurée ! J'en profite pour m'excuser pour ma petite crise de parano auprès de tous le monde ainsi qu’auprès de @calisto06 ! J'ai mal interpréter le silence de Delta (en plus de ne pas avoir retrouver mon sujet facilement le jour même du silence, j'ai par la suite lu sur le forum qu'il y avais un problème de cache parfois) et j'ai tout mal interpréter le "ton" des messages suivants des personnes suivantes qui me répondaient dont calisto06... Et je ne voulais pas créer de conflits et de HS sur le forum donc j'ai pas été très explicite dans mes explications... J'allais justement expliquer par MP a calisto06 le pourquoi de ma petite crise parano et m'excuser car je m'en suis rendu compte...

Pour en revenir au sujet : Merci beaucoup Mreve encore pour tes explications détaillées que je relis et que je vais re re lire promi car vraiment j'ai beaucoup de mal à tout comprendre (je crois que j'ai plus 20 ans loll avant je comprennais vraiment plus vite loll) je crois que ce qui m'inquiète c'est : est-ce qu'ils peuvent avec ces images récupérer les mdp et les modifié rien qu'en allant sur les site ou il y a le trianlge jaune alors que je suis déjà connectée donc que le mdp a été taper sur une page sécurisée complètement ? Je ne sais pas si ma question est claire ?

Encore merci beaucoup et je vais étudier tout celà !! :-) Et vraiment pardon à tous et en particulier à calisto !!

 

[carine262000]

Le 01/09/2019 à 01:36, Mreve a dit :

Exemple : http://wikipedia.fr/index.php (le lien n'est pas sécurisé)

Mais https://wikipedia.fr/index.php fonctionne aussi correctement

Il existe une extension Firefox qui s'appelle HTTPS Everywhere qui active automatiquement le chiffrement HTTPS sur les sites le prenant en charge. Une fois installé, si tu cliques sur le lien HTTP de mon exemple, tu verras qu'il a été automatiquement transformé en HTTPS

Oui j'ai installer HTTPS Everywhere et elle avais fonctionner sur un site ou j'osais plus aller sur certaines pages et cela avais refonctionner en https mais sur les liens que tu m'a donner pour tester j'ai eu des pages bizarres (pas restée assez longtemps pour voire comme il faut, surtout la deuxième qui m'a mis en grand non sécurisé et je me suis barrée vite fais loll ) Peut être est ce à cause que j'ai paramétré hier soir en mode strict firefox ? j'aimerais faire un print screen pour te montrer mais j'ai peur d'y retourner et de faire un print screen ?? ;-)))

Encore merci pour toutes tes explications et pour ta patience !!

PS: Je vais devoir quitter le forum et je reviendrais soit demain soit ce weekend...

Bonne soirée à tous !

[Mreve]

Ouuups ! J'ai complémentent raté ton message ! Désolé

Le 05/09/2019 à 18:50, carine262000 a dit :

est-ce qu'ils peuvent avec ces images récupérer les mdp et les modifié rien qu'en allant sur les site ou il y a le triangle jaune alors que je suis déjà connectée donc que le mdp a été taper sur une page sécurisée complètement ? Je ne sais pas si ma question est claire ?

Non ce n'est pas possible.

Et encore une fois je le répète. Ce n'est pas parce que tu visites des sites en HTTP que tu es forcément en danger. Cela veut simplement dire que le contenu que tu vois peut être modifié par des tiers s'ils sont capables d'intercepter la communication. Cela reste un risque relativement faible.

Il est par exemple bien plus dangereux de traîner sur des sites louches mais sécurisés (avec le cadenas fermé) que sur un Wikipédia en HTTP (cadenas ouvert).

Depuis la version 70 de Firefox, le cadenas fermé n'est plus vert. Il est gris. L'idée derrière ce choix (qui est discutable) c'est que le HTTPS devrait être la norme et pas un simple plus.

Le 05/09/2019 à 19:19, carine262000 a dit :

j'ai eu des pages bizarres (pas restée assez longtemps pour voire comme il faut, surtout la deuxième qui m'a mis en grand non sécurisé et je me suis barrée vite fais loll ) Peut être est ce à cause que j'ai paramétré hier soir en mode strict firefox ? j'aimerais faire un print screen pour te montrer mais j'ai peur d'y retourner et de faire un print screen ?? ;-)))

Je vois de quelle page d'avertissement tu parles !
C'est quoi le nom du site ? HTTPS Everywhere te faisait simplement savoir qu'il ne pouvait pas forcer l'usage du HTTPS sur ce site (puisque le web master n'avait pas de certificat HTTPS)

Passe un bon week-end !

Modifié le 9 novembre 2019 par Mreve