Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


Web réputation - Les sceaux (tampons) de confiance ou de certification et les organismes d'approbation

Dernière mise à jour : 2017-02-01T00:00 - 01.02.2017 - 00h00
06.10.2014 - 00h00 - Paris - (Assiste - Pierre Pinard) - Ajout de nombreux autres outils de Web réputation (plutôt pour chercheurs en sécurité que pour le grand public)

Sceaux (tampons) de confiance ou de certification et organismes d'approbation - Faut-il faire confiance aux sceaux de confiance.

Web réputation - Les sceaux (tampons) de confiance ou de certification et les organismes d'approbationWeb réputation - Les sceaux (tampons) de confiance ou de certification et les organismes d'approbationWeb réputation - Les sceaux (tampons) de confiance ou de certification et les organismes d'approbation

La notion de "Site de confiance" est tiraillée entre celle de l'analyse froide et objective des sites par des robots qui déterminent si un site est propre ou est piégé, et celle de la "Certification Site de Confiance" qui est une action commerciale où une société achète un Trust Seal : un tampon "Site de confiance" pour son site, auprès d'organismes commerciaux auto-érigés en censeurs du Web, tels que TRUSTe, COMODO, VERISIGN, etc. ....

Dans la Web Réputation, il y a les milliers de sceaux d'approbation ou de certification dont s'affublent certains et certains logiciels.

Certaines sociétés commerciales agissent en organismes d'approbation ou de certification (moyennant finance), créditant quelques millions de sites Internet (à coups de 60 à 100 € par site et par an) d'un ou plusieurs logos de confiance (un label de confiance - un sceau de certification, en anglais on parle de " seal certification "). Ceci est compartimenté en divers domaines, de manière à vendre plusieurs sceaux à chaque site. Parmi ces domaines, on trouve :

  • La vie privée
  • Les actes de commerce
  • La sécurité informatique
  • Etc. ...

Certains de ces organismes d'approbation ou de certification sont un service d'une société spécialisée dans la sécurité informatique, comme les éditeurs d'antivirus, d'autres se sont autoproclamés organismes d'approbation ou de certification.

Ces organismes d'approbation ou de certification édictent des chartes (des règles) auxquelles leurs clients, les sites qu'ils certifient, doivent adhérer et qu'ils doivent respecter et appliquer.

Ces tampons (labels) ne garantissent rien et surtout pas que le site est un site de confiance. Ils signifient simplement, sans que cela ait réellement un sens, et sans que cela soit contraignant, que le site Web a payé (a acheté) un coup de tampon, c'est tout. Il s'est engagé à respecter certains critères prétendument exigés par l’organisme d’approbation (dont la priorité est d'avoir le plus de clients payant possibles).

Les organismes d'approbation ou de certification sont tout aussi douteux que le Web, qui n'est pas une zone de confiance. Les évènements vont trop vite et les écrits n'ont pas valeurs d'écrits.

Dans l'esprit, les engagements d'un site tamponné devraient garantir à l'internaute que l'organisme d'approbation ou de certification vérifie en continu le respect par le site, des règles édictées (et non pas encaisse l'argent et laisse le soin au site de respecter ses engagements sans les vérifier, jusqu'au renouvellement du coup de tampon et nouvel encaissement) :

  • En matière de vie privée :
    En théorie, ces labels sont censés garantir que le site a une certaine politique de gestion des données personnelles recueilles au cours de la navigation sur le site et utilisation du site et que cette politique est formalisée dans un document clairement accessible et consultable (Clauses vie privée, Privacy).

    • Le site possède bien une déclaration sur ce qu'il fait des données personnelles qu'il est amené à connaître sur ses visiteurs / utilisateurs. Cette déclaration est connue, de manière standard, sous le nom de " Vie privée " ou " Privacy ". Elle est accessible depuis le site, à tout moment, sans être obligé d'entrer dans une procédure quelconque avant d'y accéder.
    • La déclaration, qui est un contrat entre une entité juridique et le visiteur / utilisateur, est clairement nominative (identité réelle et vérifiable, jamais masquée, de la personne physique ou morale derrière le site. S'il s'agit d'une personne morale, inscription au registre des métiers ou au registre du commerce, vérifiable sur des sites comme Infogreffe pour la France). Un simple nom de site n'identifie rien ni personne.
    • Le site donne à l'utilisateur un contrôle sur l'usage qui est fait de ces données (dont les cookies).
  • En matière d'actes de commerce :

    • Le site est clairement identifié en tant que société commerciale réellement existante, avec adresse géographique, inscriptions administratives existantes (registre du commerce, registre des métiers, etc. ...). Le tout est vérifiable.
    • Le site commercialise ce qu'il prétend commercialiser (pas de contrefaçons, etc. ...)
    • Le site à des conditions générales de vente et de livraison et respecte ces clauses qui sont accessibles depuis le site, à tout moment, sans être obligé d'entrer dans une procédure quelconque avant d'y accéder.
    • Les paiements sont sécurisés, les données collectées sont totalement confidentielles
    • La plateforme de paiement est clairement identifiée, figure dans les registres des organismes de paiement agréés, se trouve dans une zone géographique où le droit s'applique, etc. ...
  • En matière de sécurité informatique :

    • Le site se trouve sur un serveur sécurisé (il ne peut pas être hacké par un cybercriminel, à l'insu de son webmaster, pour attaquer ses visiteurs).
    • Le site ne pratique pas le phishing
    • Le site n'exécute pas de script hostile
    • Le site ne pratique pas de drive-by download
    • Le site ne propose pas en téléchargement des fichiers contenant des malveillances (virus, cheval de Troie embarquant une charge active, etc. ...)
    • Etc. ...

A d'innombrables occasions, il est observé des sites qui se couvrent de sceaux de certification alors que rien ne le justifie, ou l'ont payé une année et l'affiche à vie, ou ces sceaux sont renouvelés automatiquement, années après années, sans aucune vérification (ce qui prouvent la légèreté avec laquelle ces sceaux sont distribués (facturés)).

Par ailleurs, de nombreux sites Web, sans scrupule, affichent des sceaux d’approbation de manière purement frauduleuse.

L'internaute est souvent naïf et croit ce qu'il voit.

Lorsqu'il ne l'est pas, il ne sait pas où ni comment vérifier si le logo affiché est réel ou frauduleux. Il n'y a aucun lien Web qui puisse être suivi, du sceau vers la page Web de l'organisme d'approbation ou de certification.

Enfin, d'innombrables sites se couvrent de sceaux fantaisistes, qu'ils ont dessinés eux-mêmes.

Le sentiment général est que dès qu'un site arbore un sceau de confiance, il faut s'en méfier. Les bons sites, qui n'ont rien à prouver, n'ont pas besoin de collectionner des badges (collectionner des pins est totalement ringard).

Quelques exemples de sceaux d'approbation / certification / vérificationQuelques exemples de sceaux d'approbation / certification / vérificationQuelques exemples de sceaux d'approbation / certification / vérification

Quelques exemples de sceaux

Organisme Sceau Commentaire
BBB Sceau BBB
TRUSTe Sceau BBB
VeriSign Secured Sceau VeriSign Secured La société Verisign a été acquise par Symantec (Norton) le 09.08.2010.
Le sceau ViriSign Secured devient Norton Secured à partir d'avril 2012.
VeriSign Trusted Sceau VeriSign Secured La société Verisign a été acquise par Symantec (Norton) le 09.08.2010.
Le sceau ViriSign Trusted devient Norton Secured à partir d'avril 2012.
Verisign Check Sceau VeriSign Secured La société Verisign a été acquise par Symantec (Norton) le 09.08.2010.
Le sceau ViriSign Check devient Norton Check à partir d'avril 2012.
Norton Secured Sceau VeriSign Secured La société Verisign a été acquise par Symantec (Norton) le 09.08.2010.
Les ex ViriSign Secured et ViriSign Trusted sont devenus Norton Secured.
Verisign Produits :
VeriSign® SSL Certificates
VeriSign® Code Signing Certificates
VeriSign® Trust Center
VeriSign Trust™ Seal
VeriSign® Secure Site
VeriSign® Secure Site Pro
VeriSign® Secure Site with EV
VeriSign® Secure Site Pro with EV
Sont devenus !
Norton™ SSL Certificates
Norton™ Code Signing Certificates
Norton™ Trust Center
Norton™ Trust™ Seal
Norton™ Secure Site
Norton™ Secure Site Pro
Norton™ Secure Site with EV
Norton™ Secure Site Pro with EV
PayPal Sceau VeriSign Secured N'existe pas ! C'est un faux !
PayPal peut vérifier que le compte et la carte bancaire d'un vendeur / acheteur appartiennent bien à la personne physique ou morale qui prétend être titulaire du compte. Cette vérification n'est, en rien, une certification. PayPal n'a pas, à ma connaissance, de procédure de certifiction d'un vendeur. On peut trouver un sceau de certification PayPal sur certains sites marchands : c'est un faux. Il existe une foule d'images de ce type. Ce sont tous des faux. Comme d'habitude, la présence d'un tel faux doit immédiatement rendre le site suspect.
La FAQ " vérification " de PayPal.
VB100 Véritable sceau, crédible, délivré par le Virus Bulletin aux logiciels antivirus, et remis en cause en continu.
Microsoft Partner Gold, Silver, Bronze.
Il faut qu'il y ait un lien vers le site officiel de Microsoft. Si ce n'est pas vérifiable, ça n'existe pas.
Usage généralement usurpé.
Lorsque l'éditeur de logiciels a obtenu un sceau Microsoft Partner, c'est, généralement, pour un petit logiciel inoffensif et non distribué. Avec ça, l'éditeur affiche son sceau Microsoft partout sur son site, pour tout autre chose, y compris s'il distribue des malveillances.
CertPlus
CertPlus était le leader français de la certification. Il a été racheté par Keynitecs.
Keynectis-Opentrust
Software Informer Sceau VeriSign Secured Ces sceaux de type " Choix de la rédaction ", etc. ..., sur des sites dont le modèle économique repose, entre autre, sur la vente de logiciels, sont généralement le signe d'une grosse marge commerciale sur le produit choisi (beaucoup d'argent à gagner) par le site qui fait ce choix. Il s'agit donc de produits dans lesquels on ne doit pas faire confiance. Ce n'est pas comme cela que l'on doit choisir un logiciel, mais par des tests et comparatifs crédibles et par l'usage du logiciel durant sa période d'essai gratuite. S'il n'a pas de période d'essai, fuir le logiciel.

Consulter les registres des organismes d'approbationConsulter les registres des organismes d'approbationConsulter les registres des organismes d'approbation

Consultez les bases de données des organismes d'approbation pour vérifier si le site Web affichant un de leurs sceaux figure bien dans leurs registres.

TRUSTe

BBB Online

WebTrust

La Web-Réputation d'un site Web (d'un domaine Web dans sa globalité, ou, avec une granularité plus fine, d'une page Web), aussi appelée e-réputation d'un site Web, Cyber-réputation, Réputation numérique, Réputation d'un site sur le Web, Réputation d'un site sur l'Internet, Réputation en ligne, Web de confiance, Website-Réputation, Sites de confiance, Web Sécurisé, etc. ..., est de deux natures :

  • Confiance technique / sécuritaire (pas de virus, malwares, scan de failles, phishing, etc. ...) mesurée par des robots d'analyses (et, parfois, par du crowdsourcing).
  • Confiance dans le service (dont loyauté des services rendus et des marchandises, contrefaçon, livraison, service après vente, etc. ...) mesurée par les utilisateurs du service (ne peut être mesuré que par du crowdsourcing).

Ces Web-Réputations peuvent être obtenues de plusieurs manières, qui ont chacune des finalités différentes et doivent donc toutes être utilisées :

 Requêtes similairesRequêtes similaires" Requêtes similaires "