Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Marie Noëlle Gibon, Certinomis : Comment s’assurer qu’un site Internet est sûr ?

mai 2009 par

Marie Noëlle Gibon, Directeur Général de Certinomis, donne quelques
conseils préventifs pour utiliser Internet en toute confiance et en toute
sécurité.
Faire ses achats sur des sites Internet, s’inscrire sur des sites de réseaux
sociaux, bref, saisir sur le web des données personnelles et confidentielles
est devenu une habitude. Mais comment savoir qu’un site Internet est sûr ?

Au moment de saisir ces informations, ou de payer sur un site marchand,
chacun doit se poser deux questions :
 Puis-je transmettre mes données personnelles sans risque de récupération
par des personnes mal intentionnées ?
 Suis-je vraiment sur le bon site ?

La technologie SSL sécurise les sites web

La technologie SSL (Secure Socket Layers) est reconnue comme un bon
moyen de protection des données échangées sur Internet. Ce certificat SSL
permet de sécuriser les transactions en ligne. Ainsi, les informations saisies
ne peuvent pas être interceptées, détournées ou modifiées à l’insu de
l’utilisateur ou à l’insu du destinataire. Le certificat SSL est un certificat
électronique. Il permet donc également d’authentifier (c’est-à-dire d’apporter
une preuve de l’identité) le responsable du nom de domaine. Mais pour être
efficace, le certificat SSL doit avoir été émis par une autorité de certification
qui apporte des garanties suffisantes.

Comment vérifier qu’un site Internet est sécurisé

Quand on visite un site web, la connexion commence le plus souvent par « 
http:// ». Lorsqu’on passe en connexion sécurisée, l’adresse du site
commence par « https:// », le « s » signifiant « sécurisé ». Une connexion
sécurisée se manifeste aussi par l’affichage d’un cadenas ou d’une clé dans
le navigateur.

Comment vérifier qu’un certificat SSL est valable

Au « clic » sur le cadenas, le certificat s’affiche. Dans l’onglet « général » du
certificat, se trouvent des informations sur le nom de domaine qu’il authentifie,
l’autorité de certification de délivrance, et les dates de validité.

Les points à vérifier alors sont les suivants :
 Les informations d’identité contenues dans le certificat correspondent-elles
aux autres informations dont je dispose ?
 Le certificat est-il toujours en cours de validité, et si oui, est-il dans la liste
des certificats révoqués ?
 Quel est l’organisme de délivrance du certificat, et quelles sont les
conditions de garantie associées ?

Dans la plupart des cas, ces vérifications sont faites automatiquement par le
navigateur. Lorsque l’un de ces éléments doit être vérifié, un message
d’alerte apparait.
Alertes de sécurité de votre navigateur : ça veut dire quoi ?

Trois types d’alertes existent dans Ies navigateurs sur les certificats
électroniques. Ces alertes concernent :
 Un problème de validité du certificat ("certificat révoqué" ou "certificat
expiré") :
 Un problème d’adéquation entre les informations contenues dans un
certificat, et les informations (nom de domaine du site visité) de l’émetteur.

Si l’une de ces deux alertes apparaissent, il ne faut pas faire de transaction
sur le site en question, et demander des compléments d’information, voire
alterter le webmaster (qui peut avoir oublié de renouveler son certificat).

 L’absence de référencement de l’autorité émettrice dans le magasin du
navigateur.

Ce dernier point demande d’être expliqué. Les navigateurs référencent
certaines autorités de certification, qui proposent des niveaux de garantie très
disparates. A l’inverse, ne pas être référencé dans les navigateurs ne signifie
pas qu’il n’y a aucune garantie. Il est donc impératif de vérifier l’identité de
l’émetteur du certificat. Celui-ci peut apporter des garanties parfois
équivalentes ou supérieures aux autorités référencées dans les
navigateurs*.Ce sont les éléments qu’une autorité de certification publie qui
donne le cadre des garanties de ses certificats. Ainsi, des politiques de
certification, des déclarations de l’émetteur et une liste de certificats
révoqués.

Des droits pour l’internaute

Depuis la loi Informatique et Libertés de 1978, le recueil et la gestion de
fichiers de données informatisés comprenant des données personnelles font
l’objet de règles strictes**. L’éditeur (propriétaire) d’un site Internet doit publier
des mentions légales (qui est l’auteur du site, ses coordonnées et
immatriculation s’il s’agit d’une société, etc.) et une information claire sur
l’utilisation des données recueillies sur les internautes.


* Les certificats de serveur SSL émis par CertiNomis et utilisés sur des sites
grand public, sont référencés dans les navigateurs pour plus de commodité.

** voir le site Internet de la CNIL (Commission nationale Informatique et
Libertés) pour des informations précises, expliquées, et à jour.


Voir les articles précédents

    

Voir les articles suivants