Le cadenas dans mon navigateur, ça veut dire quoi exactement ?

Réponse rapide

Le cadenas signifie que la connexion entre votre appareil et le site est chiffrée, donc personne sur votre Wi-Fi, votre réseau d'entreprise ou chez votre opérateur ne peut lire ce que vous envoyez ou recevez — mais il ne signifie PAS que le site lui-même est honnête, légitime ou digne de confiance pour vos données.

Ce que ce n'est PAS

Le cadenas n'est PAS un label « site sûr ». Les sites de phishing, les boutiques d'arnaque et les fausses banques affichent tous le même cadenas — obtenir un certificat de chiffrement est gratuit, automatique et prend quelques minutes. « Il y a le cadenas donc c'est le vrai site » est l'un des malentendus les plus dommageables du web moderne.

Pour aller plus loin

L’icône cadenas dans la barre d’adresse signifie une seule chose précise : la conversation entre votre appareil et le site auquel vous parlez est chiffrée avec TLS (Transport Layer Security — le nom moderne de ce qu’on appelait SSL). Trois garanties en découlent :

  1. Confidentialité. Qui se trouve entre les deux — le Wi-Fi du café, le réseau d’entreprise, votre opérateur, qui écouterait le câble — ne voit que du bruit chiffré, pas votre mot de passe ou vos messages.
  2. Intégrité. La page que vous recevez n’a pas été modifiée en transit — personne n’a injecté de pub, de malware ou de faux contenu entre le vrai site et vous.
  3. Une forme faible d’identité. Le site a présenté un certificat qui prouve qu’il contrôle le domaine affiché dans la barre — paypal.com ne peut pas être servi par quelqu’un qui ne contrôle pas paypal.com.

C’est sur le troisième point que se niche le malentendu. Le certificat prouve que le serveur est le propriétaire légitime de ce domaine précis. Il ne prouve pas que le domaine lui-même est celui que vous croyez. Si vous arrivez sur paypa1.com (avec un chiffre 1 au lieu d’un L), le cadenas apparaîtra, le chiffrement fonctionnera, et vous taperez votre mot de passe chez les attaquants.

Ce que le cadenas ne dit PAS :

  • Il ne dit pas que l’entreprise existe vraiment. N’importe qui peut enregistrer un domaine et obtenir un certificat TLS gratuit de Let’s Encrypt en quelques minutes.
  • Il ne dit pas que l’entreprise est honnête. Boutiques d’arnaque, fausses banques, vitrines d’arnaques sentimentales ont toutes le cadenas.
  • Il ne dit pas que la page est sûre à utiliser. Un site peut être entièrement chiffré et chercher à installer un malware, récupérer votre carte ou faire passer une fausse arnaque à l’investissement.
  • Il ne dit pas que le contenu est exact. Le chiffrement protège le transit, pas la véracité.

Comme presque tous les sites sont en HTTPS en 2026, les navigateurs ont largement cessé de mettre en avant le cadenas comme signal positif et préfèrent vous avertir quand il est manquant. La barre d’adresse dans Chrome, Firefox et Safari est désormais optimisée pour la question « à quel domaine est-ce que je parle réellement ? » — c’est cette question qui attrape le phishing.

L’habitude de lecture qui vous protège, à chaque fois :

  1. Cherchez le cadenas — mais considérez-le comme une hygiène minimale, pas une preuve.
  2. Lisez le domaine de droite à gauche. Trouvez le premier slash. Les deux segments immédiatement à sa gauche sont le vrai domaine. Tout ce qui se trouve avant peut être n’importe quoi.
    • paypal.com/login → le vrai domaine est paypal.com.
    • paypal.com.secure-login-alert.io/reset → le vrai domaine est secure-login-alert.io. Pas PayPal.
    • account.paypal.com/sign-in → toujours paypal.com. C’est bon.
  3. Demandez-vous comment vous êtes arrivé sur cette page. Si c’est par un lien dans un e-mail, un SMS ou une pub, traitez la page comme coupable jusqu’à preuve du contraire — même avec le cadenas.

Le cadenas est une fondation, pas un verdict. Tout le reste — phishing, malware, arnaques, faux support — se passe par-dessus des connexions parfaitement chiffrées et cadenassées.

On nous pose aussi

Quelle est la différence entre HTTP et HTTPS ? +

HTTP envoie les pages et les formulaires en clair — n'importe qui entre vous et le site peut lire votre mot de passe, vos messages, vos recherches. HTTPS ajoute le chiffrement TLS par-dessus, donc le même trafic ressemble à du bruit incompréhensible pour qui regarde. En 2026, presque tous les sites légitimes sont en HTTPS, et la plupart des navigateurs avertissent ou bloquent les sites en HTTP simple.

Les sites de phishing peuvent-ils avoir le cadenas ? +

Oui, et la plupart l'ont. Quiconque possède un nom de domaine peut obtenir un certificat TLS gratuit de Let's Encrypt en moins de cinq minutes. Donc « faux-amazon-login.com » affichera tranquillement le cadenas ; le chiffrement entre vous et le serveur de l'escroc fonctionne parfaitement. Le cadenas confirme le chiffrement, pas l'honnêteté.

Pourquoi la barre verte et le nom d'entreprise ont-ils disparu des navigateurs ? +

C'était la « validation étendue » qui affichait le nom vérifié de l'entreprise en vert à côté de l'URL. Les navigateurs (Chrome, Firefox, Safari) l'ont retirée vers 2019-2020 parce que les recherches montraient que les utilisateurs ne remarquaient pas la différence, que les attaquants trouvaient des moyens de faire enregistrer des entités juridiques d'apparence similaire, et que la commercialisation des EV créait des incitations perverses. Le modèle actuel fait confiance à la barre d'adresse elle-même.

Que faut-il vraiment vérifier avant de taper un mot de passe ? +

Trois choses, dans cet ordre. (1) Y a-t-il un cadenas ? (pas de cadenas = refus absolu de se connecter). (2) Le domaine dans la barre d'adresse est-il exactement celui attendu ? Lisez de droite à gauche, en vous concentrant sur la partie juste avant le premier slash. (3) Êtes-vous arrivé sur cette page en tapant l'adresse ou via un favori, ou en cliquant un lien d'e-mail/SMS/pub ? Le troisième est le signal qui attrape la plupart des phishings — les liens dans les messages sont la principale voie de livraison.

Aussi expliqué

C'est quoi le phishing, et comment le reconnaître ?

Le phishing (ou hameçonnage), c'est quand quelqu'un vous envoie un message truqué — généralement par e-mail, SMS ou messagerie — qui ressemble à un message de votre banque, de votre patron, d'un livreur ou d'un proche, dans l'espoir que vous cliquiez sur un lien, tapiez un mot de passe ou viriez de l'argent avant de remarquer les petits détails qui trahissent.

Que cache vraiment la navigation privée (incognito) ?

La navigation privée (appelée Incognito, InPrivate selon le navigateur) dit à votre navigateur de ne pas enregistrer historique, cookies et saisies sur cet appareil — c'est tout ; votre employeur, votre école, votre opérateur, les sites que vous visitez et n'importe quel réseau publicitaire de la page voient exactement la même chose qu'en navigation normale.

C'est quoi un malware, et quelle est la différence entre virus, rançongiciel et cheval de Troie ?

Un malware est tout logiciel écrit pour faire quelque chose de nuisible à vous ou à votre appareil — les virus se propagent, les rançongiciels chiffrent vos fichiers et exigent un paiement, les chevaux de Troie se font passer pour utiles, et les logiciels espions vous observent en silence ; en 2026 la plupart des infections grand public passent par des téléchargements piégés, des logiciels piratés et des liens de phishing, pas par de mystérieuses pièces jointes.
← Retour au glossaire grand public