Comment puis-je vérifier si un site Web est géré par une entreprise légitime?

Comme vous le savez probablement déjà, le Web ne manque pas de cybercriminels pour voler votre argent et / ou votre identité. Vous avez peut-être eu un avant-goût - il y a un peu plus d'un an, j'ai dû faire face à une facture de plus de 700 $ pour un smartphone commandé en mon nom! Ce que vous pourriez ne sauraient savoir combien il est facile de créer un faux site Web réaliste pour récolter des mots de passe, des numéros de carte de crédit et d'autres informations sensibles auprès de victimes sans méfiance. Des sites Web comme celui-ci sont souvent mis en place dans le cadre de phishing régimes - si vous cliquez sur un lien dans un e-mail frauduleux qui prétend provenir d'une organisation légitime comme une entreprise ou une école, vous serez redirigé vers une page de connexion bidon où les escrocs espèrent que vous abandonnerez les détails juteux.

Et voici la partie effrayante: Environ les trois quarts de tous les sites Web de phishing ont désormais un SSL /TLS certifié! Selon le groupe de travail Anti-Phishing Rapport sur les tendances des activités de phishing pour le 4ème trimestre 2019, 74% des sites Web de phishing utilisent HTTPS. Il est gratuit et facile pour les attaquants de configurer un certificat DV sur un site Web frauduleux, et votre navigateur Web vous fera volontiers savoir qu'il est «sécurisé». Google Chrome suggérera même que c'est parfaitement bien pour saisir votre mot de passe ou votre numéro de carte de crédit:

Google Chrome

Bien sûr, votre connexion est «privée», tant que cela ne vous dérange pas que tout cela puisse être juste entre vous et un escroc de bas de gamme à l'autre bout. L'abus de DV HTTPS gratuit est devenu si grave que le FBI a publié un Message de radio d'intéret public le 10 juin 2019 qui stipule, "Ne faites pas confiance à un site Web simplement parce qu'il a une icône de verrouillage ou" https "dans la barre d'adresse du navigateur." A étude détaillée 2019 de sites de phishing HTTPS, par Vincent Drury et Ulrike Meyer de RWTH Aachen University, fait écho à cette conclusion: "Le simple conseil à l'utilisateur de vérifier si un site Web est protégé par HTTPS n'est plus efficace contre le phishing."

Malgré ces graves problèmes, la plupart des principaux navigateurs Web ont récemment déménagé et d'afficher des informations validées sur les propriétaires de sites Web dans la barre d'adresse du navigateur pour les sites protégés par des certificats de validation étendue (EV). La plupart des navigateurs ont également éliminé l'interface utilisateur «barre verte» qui indiquait auparavant un site Web protégé par EV. En conséquence, certaines entreprises et autres organisations se sont éloignées des certificats EV et protègent leurs sites Web avec des certificats de domaine validé (DV) bon marché (ou gratuits).

Un certificat de site Web DV offre aux utilisateurs un certain degré de protection en garantissant que la communication est cryptée et que l'entité qui gère le site contrôle le nom de domaine lorsqu'elle a demandé le certificat, mais il ne garantit pas qui possède et exploite réellement le site Web. Seul un certificat EV ou OV (validation d'organisation) validé par l'AC fournit ces informations.

Voici comment vous pouvez vérifier dans ces navigateurs populaires pour voir si le propriétaire d'un site Web a fait l'effort supplémentaire de protéger et d'informer les visiteurs du site en utilisant des certificats EV ou OV:

Pour résumer les informations ci-dessous, Internet Explorer fait actuellement le meilleur travail de communication des informations EV aux utilisateurs. Safari utilise toujours l'interface utilisateur «barre verte» pour communiquer le statut EV aux utilisateurs, mais il suffit d'un clic pour identifier le propriétaire du site. Chrome, Firefoxet Edge ne présentent aucun indicateur EV dans la barre d'adresse et obligent les utilisateurs à rechercher des informations validées sur le propriétaire d'un site Web. Chrome pour macOS est particulièrement mauvais, nécessitant trois clics pour afficher ces informations (ou même déterminer si elles existent).

Google Chrome

Ces captures d'écran ont été réalisées dans Chrome 80.0.3987.149 sur Windows 10 Enterprise Version 1809.

1. Google Chrome affiche un verrou gris foncé fermé à gauche de l'URL pour tous les SSL /TLS certificats (DV, OV et EV):

Site Web SSL EV dans Chrome

2. Pour obtenir plus d'informations sur le certificat d'un site Web, cliquez sur le verrou.

Cliquez sur le verrou

3. Chrome montre que la connexion est sécurisée (cryptée) et nous pouvons voir que le certificat a été émis à SSL Corp. Vous pouvez obtenir des informations plus détaillées en cliquant sur Certificat.

Certificat émis à SSL Corp

Remarque: Sous macOS (Chrome 80.0.3987.132), le propriétaire du site Web n'apparaît pas ici - vous devez approfondir ces informations en cliquant sur Certificat.

La connexion est sécurisée

4. Dans la fenêtre qui s'ouvre, vous pouvez afficher les détails sur le propriétaire du site Web en sélectionnant Sujet ligne sur la Détails languette. (Remarque: Sous macOS, ces informations sont affichées dans un format différent similaire à Safari.)

détails du certificat

Un certificat DV affichera uniquement le nom de domaine du site Web dans le Sujet champ:

Champ d'objet pour le certificat DV

Mozilla Firefox

Ces captures d'écran ont été réalisées dans Firefox 73.0.1 sur macOS 10.14.6 (Mojave).

1. Firefox affiche un cadenas gris foncé à gauche de l'URL pour tous les SSL /TLS certificats (DV, OV et EV).

Site HTTPS dans Firefox

2. Pour obtenir plus d'informations sur le certificat d'un site Web, cliquez sur le verrou.

Cliquez sur le verrou

3. Nous pouvons maintenant voir que le certificat du site Web a été émis à SSL Corp:

Informations sur le site

Si le site Web dispose d'un certificat DV, les informations sur le propriétaire du site ne seront pas affichées:

Informations pour le certificat DV

 

4. Vous pouvez creuser pour plus d'informations en cliquant sur le > symbole sur le côté droit de la boîte de dialogue.

Cliquez sur la flèche pour plus d'informations

5. Nous pouvons maintenant voir que SSL Corp est situé à Houston, au Texas.

Informations sur le certificat

6. Si vous souhaitez voir des informations plus détaillées, cliquez sur Plus d'informations.

Plus d'informations

7. Une page s'ouvrira avec des informations complètes sur le certificat et la chaîne de confiance. Les informations sur le propriétaire du site Web sont affichées sous le Nom du sujet cap.

Nom du sujet

Pour un site Web avec un certificat DV, seul le nom de domaine sera affiché sous Nom du sujet:

Informations sur le sujet du certificat DV

Microsoft Edge

Ces captures d'écran ont été réalisées dans Edge 80.0.361.66 (Chromium) sur Windows 10 Enterprise Version 1809.

1. Edge affiche le contour d'un verrou fermé à gauche de l'URL pour tous les SSL /TLS certificats (DV, OV et EV):

Site EV à Edge

2. Pour obtenir plus d'informations sur le certificat d'un site Web, cliquez sur le verrou.

Cliquez sur le verrou

3. Edge montre que la connexion est sécurisée (cryptée), et nous pouvons voir que le certificat a été émis à SSL Corp. Vous pouvez obtenir des informations plus détaillées en cliquant sur Certificat.

Informations sur le certificat EV

Notez que sur un site Web protégé par un certificat DV, le Délivré à l'information est absente:

Informations sur le certificat du site Web DV

4. Dans la fenêtre qui s'ouvre, vous pouvez afficher les détails sur le propriétaire du site Web en sélectionnant Sujet ligne sur la Détails languette.

détails du certificat

Un certificat DV affichera uniquement le nom de domaine du site Web dans le Sujet champ:

Champ d'objet pour le certificat DV

Internet Explorer

Ces captures d'écran ont été réalisées dans Internet Explorer 11.11098.11763.0 sur Windows 10 Enterprise version 1809.

1. Pour les sites Web EV, Internet Explorer affiche la barre d'adresse sur fond vert. Un cadenas fermé et le nom du propriétaire du site s'affichent à droite.

Site Web EV dans IE

2. Pour les sites Web DV et OV, IE affiche un verrou, mais pas le nom de l'entreprise et l'arrière-plan vert:

Site Web DV dans IE

3. Pour afficher des informations sur le certificat de site Web, cliquez sur le verrou.

Cliquez sur le verrou

4. Ici, nous pouvons voir que le site est exploité par SSL Corp, de Houston, Texas.

Pour un site avec un certificat DV, seul le nom de domaine est affiché ici:

Site Web DV dans IE

5. Pour afficher plus d'informations sur le certificat de site Web, cliquez sur Afficher les certificats.

Afficher les certificats

4. Dans la fenêtre qui s'ouvre, vous pouvez afficher les détails sur le propriétaire du site Web en sélectionnant Sujet ligne sur la Détails languette.

détails du certificat

Un certificat DV affichera uniquement le nom de domaine du site Web dans le Sujet champ:

Champ d'objet pour le certificat DV

Apple Safari

Ces captures d'écran ont été réalisées dans Safari 13.0.5 sur macOS 10.14.6 (Mojave).

1. Pour les sites Web EV, Safari affiche un cadenas vert et un nom de domaine:

Site EV dans Safari

2. Pour les sites Web DV et OV, Safari affiche un cadenas gris et du texte noir:

Site Web DV dans Safari

3. Pour afficher des informations sur le certificat du site Web, cliquez sur le verrou:

Cliquez sur le verrou

4. Pour les sites Web EV, des informations sur le propriétaire du site Web seront affichées:

Informations sur le propriétaire du site Web dans Safari

Pour un site avec un certificat DV, les informations sur le propriétaire du site Web ne sont pas affichées:

Informations sur le certificat DV dans Safari

 

5. Vous pouvez obtenir plus d'informations en cliquant sur le Afficher le certificat bouton:

6. Ici, vous pouvez obtenir des informations détaillées sur le certificat du site Web et sur toute la chaîne de confiance menant à l'autorité de certification racine (dans ce cas, SSL.com).

Informations sur le certificat (Safari)

7. Vous pouvez afficher les détails du certificat en cliquant sur le triangle à gauche de Détails.

Détails

8. Vous pouvez voir des informations détaillées sur le propriétaire du site Web sous le Nom du sujet cap.

Détails du certificat

Pour un site avec un certificat DV, seul le nom de domaine sera affiché sous Nom du sujet:

Informations sur le nom du sujet pour le site DV dans Safari

Merci d'avoir choisi SSL.com! Si vous avez des questions, veuillez nous contacter par e-mail à Support@SSL.com, appel 1-877-SSL-SECUREou cliquez simplement sur le lien de discussion en bas à droite de cette page.

 

Abonnez-vous à la newsletter SSL.com

Ne manquez pas les nouveaux articles et mises à jour de SSL.com

Restez informé et en sécurité

SSL.com est un leader mondial de la cybersécurité, PKI et les certificats numériques. Inscrivez-vous pour recevoir les dernières nouvelles de l'industrie, des conseils et des annonces de produits de SSL.com.

Nous aimerions recevoir vos commentaires

Répondez à notre enquête et faites-nous part de votre avis sur votre récent achat.