Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Marie Noëlle Gibon, Certinomis : Comment s’assurer qu’un site Internet est sûr ?

mai 2009 par

Marie Noëlle Gibon, Directeur Général de Certinomis, donne quelques conseils préventifs pour utiliser Internet en toute confiance et en toute sécurité. Faire ses achats sur des sites Internet, s’inscrire sur des sites de réseaux sociaux, bref, saisir sur le web des données personnelles et confidentielles est devenu une habitude. Mais comment savoir qu’un site Internet est sûr ?

Au moment de saisir ces informations, ou de payer sur un site marchand, chacun doit se poser deux questions :
- Puis-je transmettre mes données personnelles sans risque de récupération par des personnes mal intentionnées ?
- Suis-je vraiment sur le bon site ?

La technologie SSL sécurise les sites web

La technologie SSL (Secure Socket Layers) est reconnue comme un bon moyen de protection des données échangées sur Internet. Ce certificat SSL permet de sécuriser les transactions en ligne. Ainsi, les informations saisies ne peuvent pas être interceptées, détournées ou modifiées à l’insu de l’utilisateur ou à l’insu du destinataire. Le certificat SSL est un certificat électronique. Il permet donc également d’authentifier (c’est-à-dire d’apporter une preuve de l’identité) le responsable du nom de domaine. Mais pour être efficace, le certificat SSL doit avoir été émis par une autorité de certification qui apporte des garanties suffisantes.

Comment vérifier qu’un site Internet est sécurisé

Quand on visite un site web, la connexion commence le plus souvent par «  http:// ». Lorsqu’on passe en connexion sécurisée, l’adresse du site commence par « https:// », le « s » signifiant « sécurisé ». Une connexion sécurisée se manifeste aussi par l’affichage d’un cadenas ou d’une clé dans le navigateur.

Comment vérifier qu’un certificat SSL est valable

Au « clic » sur le cadenas, le certificat s’affiche. Dans l’onglet « général » du certificat, se trouvent des informations sur le nom de domaine qu’il authentifie, l’autorité de certification de délivrance, et les dates de validité.

Les points à vérifier alors sont les suivants :
- Les informations d’identité contenues dans le certificat correspondent-elles aux autres informations dont je dispose ?
- Le certificat est-il toujours en cours de validité, et si oui, est-il dans la liste des certificats révoqués ?
- Quel est l’organisme de délivrance du certificat, et quelles sont les conditions de garantie associées ?

Dans la plupart des cas, ces vérifications sont faites automatiquement par le navigateur. Lorsque l’un de ces éléments doit être vérifié, un message d’alerte apparait. Alertes de sécurité de votre navigateur : ça veut dire quoi ?

Trois types d’alertes existent dans Ies navigateurs sur les certificats électroniques. Ces alertes concernent :
- Un problème de validité du certificat ("certificat révoqué" ou "certificat expiré") :
- Un problème d’adéquation entre les informations contenues dans un certificat, et les informations (nom de domaine du site visité) de l’émetteur.

Si l’une de ces deux alertes apparaissent, il ne faut pas faire de transaction sur le site en question, et demander des compléments d’information, voire alterter le webmaster (qui peut avoir oublié de renouveler son certificat).

- L’absence de référencement de l’autorité émettrice dans le magasin du navigateur.

Ce dernier point demande d’être expliqué. Les navigateurs référencent certaines autorités de certification, qui proposent des niveaux de garantie très disparates. A l’inverse, ne pas être référencé dans les navigateurs ne signifie pas qu’il n’y a aucune garantie. Il est donc impératif de vérifier l’identité de l’émetteur du certificat. Celui-ci peut apporter des garanties parfois équivalentes ou supérieures aux autorités référencées dans les navigateurs*.Ce sont les éléments qu’une autorité de certification publie qui donne le cadre des garanties de ses certificats. Ainsi, des politiques de certification, des déclarations de l’émetteur et une liste de certificats révoqués.

Des droits pour l’internaute

Depuis la loi Informatique et Libertés de 1978, le recueil et la gestion de fichiers de données informatisés comprenant des données personnelles font l’objet de règles strictes**. L’éditeur (propriétaire) d’un site Internet doit publier des mentions légales (qui est l’auteur du site, ses coordonnées et immatriculation s’il s’agit d’une société, etc.) et une information claire sur l’utilisation des données recueillies sur les internautes.


* Les certificats de serveur SSL émis par CertiNomis et utilisés sur des sites grand public, sont référencés dans les navigateurs pour plus de commodité.

** voir le site Internet de la CNIL (Commission nationale Informatique et Libertés) pour des informations précises, expliquées, et à jour.




Voir les articles précédents

    

Voir les articles suivants