Bernard Ourghanlian (Microsoft) : « Direct Access sera la 'killer feature' de Windows 7 »
Windows 7 et Server 2008 R2, Azure, Stirling, Direct Access, LiveMesh... Retour sur les développements…
4
Comment s?assurer qu?un site Internet est sûr ?
- 07-05-2009
Faire ses achats sur des sites Internet, s’inscrire sur des sites de réseaux sociaux, bref, saisir sur le web des données personnelles et confidentielles est devenu une habitude. Mais comment savoir qu'un site Internet est sûr ?
- Puis-je transmettre mes données personnelles sans risque de récupération par des personnes mal intentionnées?
- Suis-je vraiment sur le bon site?
La technologie SSL sécurise les sites web
La technologie SSL (Secure Socket Layers) est reconnue comme un bon moyen de protection des données échangées sur Internet. Ce certificat SSL permet de sécuriser les transactions en ligne. Ainsi, les informations saisies ne peuvent pas être interceptées, détournées ou modifiées à l’insu de l’utilisateur ou à l'insu du destinataire. Le certificat SSL est un certificat électronique. Il permet donc également d’authentifier (c’est-à-dire d’apporter une preuve de l’identité) le responsable du nom de domaine. Mais pour être efficace, le certificat SSL doit avoir été émis par une autorité de certification qui apporte des garanties suffisantes.
Comment vérifier qu’un site Internet est sécurisé
Quand on visite un site web, la connexion commence le plus souvent par « http:// ». Lorsqu’on passe en connexion sécurisée, l’adresse du site commence par « https:// », le « s » signifiant « sécurisé ». Une connexion sécurisée se manifeste aussi par l’affichage d’un cadenas ou d’une clé dans le navigateur.
Comment vérifier qu’un certificat SSL est valable
Au « clic » sur le cadenas, le certificat s’affiche. Dans l’onglet « général » du certificat, se trouvent des informations sur le nom de domaine qu’il authentifie, l’autorité de certification de délivrance, et les dates de validité.
Les points à vérifier alors sont les suivants :
- Les informations d’identité contenues dans le certificat correspondent-elles aux autres informations dont je dispose?
- Le certificat est-il toujours en cours de validité, et si oui, est-il dans la liste des certificats révoqués?
- Quel est l’organisme de délivrance du certificat, et quelles sont les conditions de garantie associées?
Dans la plupart des cas, ces vérifications sont faites automatiquement par le navigateur. Lorsque l’un de ces éléments doit être vérifié, un message d’alerte apparait.
Alertes de sécurité de votre navigateur : ça veut dire quoi?
Trois types d'alertes existent dans Ies navigateurs sur les certificats électroniques. Ces alertes concernent :
- Un problème de validité du certificat ("certificat révoqué" ou "certificat expiré") :
- Un problème d’adéquation entre les informations contenues dans un certificat, et les informations (nom de domaine du site visité) de l’émetteur.
Si l’une de ces deux alertes apparaissent, il ne faut pas faire de transaction sur le site en question, et demander des compléments d’information, voire alterter le webmaster (qui peut avoir oublié de renouveler son certificat).
- L’absence de référencement de l’autorité émettrice dans le magasin du navigateur.
Ce dernier point demande d’être expliqué. Les navigateurs référencent certaines autorités de certification, qui proposent des niveaux de garantie très disparates. A l'inverse, ne pas être référencé dans les navigateurs ne signifie pas qu'il n'y a aucune garantie. Il est donc impératif de vérifier l’identité de l’émetteur du certificat. Celui-ci peut apporter des garanties parfois équivalentes ou supérieures aux autorités référencées dans les navigateurs*.Ce sont les éléments qu'une autorité de certification publie qui donne le cadre des garanties de ses certificats. Ainsi, des politiques de certification, des déclarations de l'émetteur et une liste de certificats révoqués.
Des droits pour l'internaute
Depuis la loi Informatique et Libertés de 1978, le recueil et la gestion de fichiers de données informatisés comprenant des données personnelles font l’objet de règles strictes**. L’éditeur (propriétaire) d’un site Internet doit publier des mentions légales (qui est l’auteur du site, ses coordonnées et immatriculation s’il s’agit d’une société, etc.) et une information claire sur l’utilisation des données recueillies sur les internautes.
Marie Noëlle Gibon est directeur général de Certinomis, autorité de certification.
* Les certificats de serveur SSL émis par CertiNomis et utilisés sur des sites grand public, sont référencés dans les navigateurs pour plus de commodité.
** voir le site Internet de la CNIL (Commission nationale Informatique et Libertés) pour des informations précises, expliquées, et à jour.
Commentaires des lecteurs
La barre d'adresse verte - certificat norme EV
On peut ajouter à cet excellent article les certificats SSL de norme EV (Validation Etendue) qui se développent de plus en plus.
Les groupes VeriSign et GlobalSign par exemple proposent ces certificats qui assurent à l'internaute d'être sur un environnement totalement sécurisé: sa banque, zone de paiement e-commerce, etc.
Ces certificats ont l'avantage d'afficher la barre d'adresse des derniers navigateurs en vert (rouge si le certificat est expiré ou inexistant) et le nom de l'entreprise détentrice du site en question. Plus besoin de cliquer sur le certificat pour connaître l'identité du site, celle-ci est clairement affichée dans le navigateur.
SSL247 (www.SSL247.fr) est revendeur de ces certificats de norme EV des groupes VeriSign et GlobalSign reconnus nativement par 99% des navigateurs dans le monde.