Beaucoup de sites présentent un écran de logon sur une page non sécurisée, et transmettent le logon / password via un formulaire envoyé en https (sécurisé) vers le serveur distant.
Ce n’est pas suffisant.
https ne sert pas uniquement à encrypter la communication “sur le fil internet” mais aussi à s’assurer que le site d’en face est authentique.
Si le site affiché à l’écran est falsifié, on donnera son logon / password au truand qui a falsifié le site.
Dans l’article et la vidéo ci-dessous, l’auteur explique comment il capture vos informations sans altérer le fonctionnement du site original, de telle sorte qu’on ne s’aperçoit pas de la tricherie !
Description live (en anglais).
http://www.troyhunt.com/2013/05/your-login-form-posts-to-https-but-you.html