Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


Organismes d'approbation de sites et sceaux de certification

Dernière mise à jour : 2016-12-03T00:00 - 03.12.2016 - 00h00
06.10.2014 - 00h00 - Paris - (Assiste - Pierre Pinard) - Ajout de nombreux autres outils de Web réputation (plutôt pour chercheurs en sécurité que pour le grand public)

Sites et organismes approuvant d'autres sites. Sites émettant des sceaux de certification...

Organismes d'approbation de sites et sceaux de certificationOrganismes d'approbation de sites et sceaux de certificationOrganismes d'approbation de sites et sceaux de certification

Certaines sociétés commerciales agissent en organismes d'approbation (moyennant finance), créditant quelques millions de sites Internet (à coups de 60 à 100 € par site et par an) d'un logo (un label - un sceau de certification, en anglais " a seal certification ") dans divers domaines dont :

  • la vie privée
  • les actes de commerce
  • la sécurité informatique
  • Etc. ... avec autant de multiplication de sceaux et d'inventivité commerciale (car il faut payer pour être candidat aux sceaux de certification), que les sots sceaux « Produit de l’année », « Saveur de l'année », « Victoire de la beauté », « Trophée de la maison », etc. ... testés par des consommateurs formatés "grandes surfaces" et "saveurs industrielles" (une horreur de camembert pasteurisé sera meilleur qu'un camembert au lait cru, ...), pour lesquels chaque marque, chaque année, paye 3 950 € HT par produit soumis au test et 19 950 € HT le droit d'utiliser le coup de tampon (1).

Ces organismes d'approbation, certains étant un service d'un société spécialisée dans la sécurité informatique (les éditeurs d'antivirus, etc. ...), d'autres s'étant auto-proclamées organisme de certification, édictent des chartes (des règles) auxquelles les sites certifiés doivent adhérer et qu'ils doivent respecter et appliquer.

Ces labels ne garantissent rien et surtout pas que le site est un site de confiance. Ils signifient simplement, sans que cela ait réellement un sens, et sans que cela soit contraignant, que le site Web respecte, en apparence, certains critères prétendument exigés par l’organisme d’approbation (l’organisme d’approbation étant une société commerciale dont la priorité est d'avoir le plus de clients payant possibles, et envers lequel le doute doit aussi exister, le WEB n'étant globalement pas une zone de confiance, où les évènement vont trop vite et les écrits n'ont pas valeurs d'écrits).

Il s'agit essentiellement de vérifier que :

  • En matière de vie privée :
    En théorie, ces labels sont censés garantir que le site a une certaine politique de gestion des données personnelles recueilles au cours de la navigation de ses utilisateurs et que cette politique est formalisée dans un document clairement accessible et consultable (clausdes vie privée, privacy).

    • Le site possède bien une déclaration sur ce qu'il fait des données personnelles qu'il est amené à connaître sur ses visiteurs / utilisateurs. Cette déclaration est connue, de manière standard, sous le nom de " Vie privée " ou " Privacy ".
    • Le site donne à l'utilisateur un contrôle sur l'usage qui est fait de ces données (dont les cookies).
  • En matière d'actes de commerce :

    • Le site est clairement identifié en tant que société commerciale réellement existante, avec adresse géographique, inscriptions administratives existantes (registre du commerce, registre des métiers, etc. ...).
    • Le site commercialise ce qu'il prétend commercialiser (contrefaçons, etc. ...)
    • Le site à des conditions générales de vente et de livraison et respecte ces clauses
    • Les paiements sont sécurisés, les données collectées sont totalement confidentielles
    • La plateforme de paiement est clairement identifiée, figure dans les registres des organismes de paiement agréés, se trouve dans une zone géographique où le droit s'applique, etc. ...
  • En matière de sécurité informatique :

    • Le site se trouve sur un serveur sécurisé (il ne peut pas être hacké par un cybercriminel, à l'insu de son webmaster, pour attaquer ses visiteurs).
    • Le site ne pratique pas le phishing
    • Le site n'exécute pas de script hostile
    • Le site ne pratique pas de drive-by download
    • Le site ne propose pas en téléchargement des fichiers contenant des malveillances (virus, cheval de Troie embarquant une charge active, etc. ...)
    • Etc. ...

A de nombreuses reprises, il a été observé des sites titulaires d'un sceau de certification alors que rien ne le justifiait, prouvant par là la légèreté avec laquelle ces sceaux sont distribués (facturés).

Par ailleurs, de nombreux sites Web, sans scrupule, affichent ces logos d’approbation de manière purement frauduleuse. L'internaute est souvent naif et croit ce qu'il voit. Lorsqu'il ne l'est pas, il ne sait pas où ni comment vérifier si le logo affiché, qui prétend labelliser le site, est réel (le site figure bien dans les registres de l'organisme d'approbation) ou frauduleux.

Quelques exemples de sceaux d'approbation / certification / vérificationQuelques exemples de sceaux d'approbation / certification / vérificationQuelques exemples de sceaux d'approbation / certification / vérification

Quelques exemples de sceaux

Organisme Sceau Commentaire
BBB Sceau BBB
TRUSTe Sceau BBB
VeriSign Secured Sceau VeriSign Secured La société Verisign a été acquise par Symantec (Norton) le 09.08.2010.
Le sceau ViriSign Secured devient Norton Secured à partir d'avril 2012.
VeriSign Trusted Sceau VeriSign Secured La société Verisign a été acquise par Symantec (Norton) le 09.08.2010.
Le sceau ViriSign Trusted devient Norton Secured à partir d'avril 2012.
Verisign Check Sceau VeriSign Secured La société Verisign a été acquise par Symantec (Norton) le 09.08.2010.
Le sceau ViriSign Check devient Norton Check à partir d'avril 2012.
Norton Secured Sceau VeriSign Secured La société Verisign a été acquise par Symantec (Norton) le 09.08.2010.
Les ex ViriSign Secured et ViriSign Trusted sont devenus Norton Secured.
Verisign Produits :
VeriSign® SSL Certificates
VeriSign® Code Signing Certificates
VeriSign® Trust Center
VeriSign Trust™ Seal
VeriSign® Secure Site
VeriSign® Secure Site Pro
VeriSign® Secure Site with EV
VeriSign® Secure Site Pro with EV
Sont devenus !
Norton™ SSL Certificates
Norton™ Code Signing Certificates
Norton™ Trust Center
Norton™ Trust™ Seal
Norton™ Secure Site
Norton™ Secure Site Pro
Norton™ Secure Site with EV
Norton™ Secure Site Pro with EV
PayPal Sceau VeriSign Secured N'existe pas ! C'est un faux !
PayPal peut vérifier que le compte et la carte bancaire d'un vendeur / acheteur appartiennent bien à la personne physique ou morale qui prétend être titulaire du compte. Cette vérification n'est, en rien, une certification. PayPal n'a pas, à ma connaissance, de procédure de certifiction d'un vendeur. On peut trouver un sceau de certification PayPal sur certains sites marchands : c'est un faux. Il existe une foule d'images de ce type. Ce sont tous des faux. Comme d'habitude, la présence d'un tel faux doit immédiatement rendre le site suspect.
La FAQ " vérification " de PayPal.
VB100 Véritable sceau, crédible, délivré par le Virus Bulletin aux logiciels antivirus, et remis en cause en continu.
Microsoft Partner Gold, Silver, Bronze.
Il faut qu'il y ait un lien vers le site officiel de Microsoft. Si ce n'est pas vérifiable, ça n'existe pas.
Usage généralement usurpé.
Lorsque l'éditeur de logiciels a obtenu un sceau Microsoft Partner, c'est, généralement, pour un petit logiciel inoffensif et non distribué. Avec ça, l'éditeur affiche son sceau Microsoft partout sur son site, pour tout autre chose, y compris s'il distribue des malveillances.
CertPlus
CertPlus était le leader français de la certification. Il a été racheté par Keynitecs.
Keynectis-Opentrust
Software Informer Sceau VeriSign Secured Ces sceaux de type " Choix de la rédaction ", etc. ..., sur des sites dont le modèle économique repose, entre autre, sur la vente de logiciels, sont généralement le signe d'une grosse marge commerciale sur le produit choisi (beaucoup d'argent à gagner) par le site qui fait ce choix. Il s'agit donc de produits dans lesquels on ne doit pas faire confiance. Ce n'est pas comme cela que l'on doit choisir un logiciel, mais par des tests et comparatifs crédibles et par l'usage du logiciel durant sa période d'essai gratuite. S'il n'a pas de période d'essai, fuir le logiciel.

Consulter les registres des organismes d'approbationConsulter les registres des organismes d'approbationConsulter les registres des organismes d'approbation

Consultez les bases de données des organismes d'approbation pour vérifier si le site Web affichant un de leurs sceaux figure bien dans leurs registres.

TRUSTe

BBB Online

WebTrust

 Requêtes similairesRequêtes similaires" Requêtes similaires "