Archives par étiquette : web

Savoir si un site est sécuritaire

La question

« Comment puis-je faire pour savoir si un site web est sécuritaire pour y passer une transaction? ».  Cette question peut paraître bien simple a répondre mais il est pratiquement impossible d’expliquer simplement le tout.  Voici donc quelques petites choses que vous pouvez vérifier lorsque vous désirez acheter en ligne.

1. Le certificat de sécurité (SSL)

Le certificat de sécurité est en fait, le petit cadenas que nous voyons dans notre navigateur web qui indique que le site web est techniquement sécuritaire.  Le certificat assure le client que les données échangées entre son ordinateur et le serveur où le site web se trouve sont encryptées de façon à ce que si quelqu’un intercepte la communication, il ne verra pas les informations personelles et de paiement du client.

Par contre, ceci n’indique pas que le serveur sur lequel résident les données est sécuritaire et bien entretenu.  Encore pire, le serveur sur lequel se trouve le site n’appartient peut être même pas à la compagnie de laquelle vous achetez des produits ou services.  De plus, le serveur en question est fort possiblement partagé avec d’autres compagnies, d’autres sites web, ce qui implique que la sécurité interne du serveur doit être bien contrôlée, ce qui n’est possiblement pas le cas.

Une chose certaine à propos des certificats de sécurité : vous avez plus de chances de vous faire braquer dans une banque que de vous faire intercepter vos informations lorsqu’elles circulent entre le serveur et votre ordinateur.

2. Les types de certificats

Il existe plusieurs types de certificats, par contre, les navigateurs ne font la différence qu’entre deux types : les certificats à validation de domaine et les certificats à validation étendue.

La validation de domaine consiste à envoyer un courriel d’approbation au contact administratif du nom de domaine pour confirmer que c’est bien la bonne personne qui l’utilise.  C’est tout!  Par contre, la qualité d’encryption du certificat est toujours la même.

La validation étendue consiste à contacter et à parler à quelqu’un, vérifier que la compagnie existe bien au registre des entreprises, qu’elle ait une bonne cote de crédit, que le nom affiché est bien le même que le nom sur la charte de l’entreprise, etc..   Le deuxième certificat démontre le sérieux de la compagnie dans sa démarche.  Par contre, la qualité d’encryption du certificat n’est pas nécessairement meilleure et la compagnie ne traite pas nécessairement mieux les données une fois la commande reçue.

Voici des images de différents navigateurs sur un certificat basé sur la validation de domaine :

Safari

Safari

Internet Explorer

Internet Explorer

FireFox

FireFox

Chrome

Chrome

Voici des images de différents navigateurs sur un certificat basé sur la validation étendue :

Safari

Safari

Internet Explorer

Internet Explorer

FireFox

FireFox

Chrome

Chrome

Voici des images de différents navigateurs sur un certificat erroné (sous le mauvais nom, le mauvais site, passé date, etc.) :

Safari

Safari

Internet Explorer

Internet Explorer

FireFox

FireFox

Chrome

Chrome

Avec ces images, vous aurez une idée de ce que vous verrez lorsque vous serez sur une boutique en ligne.

3. La compagnie

Plus la compagnie est riche, plus il est possible qu’elle ait ses propres serveurs et que le tout soit géré à l’interne.  Moins la compagnie est riche, plus il y a de chances qu’elle laisse ce travail à une tierce partie.  Logiquement, moins il y a d’intervenants, moins les risques de failles de sécurité sont élevés.  Par contre, il est toujours possible, peu importe où vous faites affaire, que l’employé attitré aux serveurs et à la sécurité n’ait pas les compétences nécessaires.  De plus, certaines tierces parties font un très bon travail, desfois même mieux que les employés à l’interne, question de réputation.

Lorsqu’on achète en ligne, on doit se poser les mêmes questions que lorsqu’on achète dans un magasin.  Est-ce que cette compagnie est connue et sans taches?  En ouvrant le site web, est-ce qu’il a une allure professionelle ou non?  Vous n’êtes pas certain?  Si vous avez toujours des doutes et qu’il y a un numéro de téléphone sur le site, essayez d’appeler et de poser des questions.  Si vous êtes en doute et qu’il n’y a pas de numéro ou que vous avez appelé sans avoir de réponses convenables et claires, n’achetez simplement pas sur ce site.

4. Les sites de paiement

Dans certains cas, vous naviguez sur le site d’une compagnie et lorsque vous ajoutez quelque chose au panier ou lorsque vous voulez payer, vous êtes redirigés sur un autre site internet.  Vous êtes en droit de vous poser des questions mais il est aussi possible que le marchand fasse affaire avec un portail de paiement reconnu au lieu de monter son propre portail de paiement.  Ceci arrive souvent lorsque de petites compagnies ou des individus veulent vendre des produits sur internet mais n’ont pas l’expertise et n’ont pas l’argent pour payer des experts pour développer le tout.  Développer ce genre de site peut couter plusieurs milliers de dollars.

Dans cette optique, des compagnies se sont spécialisées dans ce type de service et s’assurent que leurs serveurs de paiement sont sécuritaires et vérifiés par des consultants externes en sécurité, ce qui atteste que les services sont de qualité et que vos informations sont en sécurité sur ce site.  Il existe plusieurs passerelles de paiement de ce type mais les plus connues sont sans doute PayPal, Moneris et Authorize.net.

5. Le navigateur

La plupart des navigateurs connus (FireFox, Chrome, Safari et Internet Explorer) supportent la majorité des certificats de sécurité existant sur le marché.  Vous pouvez donc faire vos achats sans crainte avec ces navigateurs.

Par contre, étant donné que Internet Explorer est le navigateur le plus utilisé (environ 2/3 des internautes), il est aussi le plus attaqué et donc le plus vulnérable.  Il est donc important de toujours tenir à jour très régulièrement Internet Explorer par le biais de Windows Update.  Les autres navigateurs ont des mécanismes de mise-à-jour intégré et vous le diront lorsqu’une mise-à-jour sera disponible.  Il est donc important d’appliquer ces mises-à-jour régulièrement.

Conclusion

Comme dans la vie de tous les jours, les transactions en ligne ont leur lot de complications pour le simple utilisateur.  C’est pourquoi il est important de se poser quelques questions avant d’acheter sur un site internet, de la même façon que vous vous posez des questions à toutes les fois que vous entrez dans un nouveau magasin, dans une banque, chez un courtier hypothécaire, etc..