c'est pas pke c'est pas du https que c'est pas securise, ils peuvent avoir un truc genre JavaScript qui permet d'encrypter cote client...
Mais bon, c'est rare pour des sites comme ca (mais courant pour des grosses appli web genr standalone)