Assiste.com
cr 03.08.2022 r+ 22.10.2024 r- 22.10.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
Sommaire (montrer / masquer) |
---|
Certaines sociétés commerciales s'érigent en « organismes d'approbation » (moyennant finance) dans divers domaines, dont la confiance qu'elles nous garantissent en un ou plusieurs aspects et comportement d'un site Web. Des millions de sites Web, à coups de 60 à 100 € par site et par an, achêtent leurs tampons virtuels qu'ils pouront exhiber à leurs visiteurs. Exemples de domaines :
La vie privée (respect et confidentialité de la vie privée des visiteurs ou clients).
Les actes de commerce.
La sécurité informatique.
Etc. Il n'y a de limites qu'à l'imagination et pourvu que cela permette d'augmenter les ventes du truc certifié.
Il y a multiplication des sceaux de confiance (on peut leur faire confiance pour leur inventivité) car, avant même d'être certifié, il faut payer pour être candidat à une certification). Ainsi en est-il des sots sceaux :
« Produit de l’année »
« Saveur de l'année »
« Victoire de la beauté »
« Trophée de la maison »
Etc.
Dans le monde alimentaire, ces sceaux de confiance si vendeurs sont évalués et attribués par des consommateurs formatés « grandes surfaces » et « saveurs industrielles » (une horreur de camembert pasteurisé sera meilleur qu'un camembert au lait cru, etc.). Ces candidatures aux tests coûtent, pour chaque marque, par produit soumis au test, chaque année, 3 950 € HT et 19 950 € HT le droit d'utiliser (montrer) le coup de tampon (1).
Ces organismes d'approbation (certains étant un service d'un société spécialisée dans la sécurité informatique [les éditeurs d'antivirus, etc.], d'autres s'étant auto-proclamées organisme de certification), édictent des chartes (des règles) auxquelles les sites certifiés doivent adhérer et qu'ils doivent respecter et appliquer.
Ces « labels » ne garantissent rien et surtout pas que le site Web est un site de confiance. Ils signifient simplement, sans que cela ait réellement un sens, et sans que cela soit contraignant, que le site Web respecte, en apparence, certains critères prétendument exigés par l’organisme d’approbation.
Un organisme d’approbation est une société commerciale dont la priorité est d'avoir le plus de clients payant possibles.
Un organisme d'approbation est une entité envers laquelle le doute doit aussi exister et la confiance doit aussi être mesurée, le Web n'étant globalement pas une zone de confiance, où les évènements vont trop vite et les écrits n'ont aucune valeur d'écrits.
Il s'agit essentiellement de vérifier que :
En matière de vie privée :
En théorie, ces labels sont censés garantir que le site a une certaine politique de gestion des données personnelles recueilles au cours de la navigation de ses utilisateurs et que cette politique est formalisée dans un document clairement accessible et consultable (clausdes « Vie privée » ou « Privacy »).
Le site possède bien une déclaration sur ce qu'il fait des données personnelles qu'il est amené à connaître sur ses visiteurs / utilisateurs. Cette déclaration est connue, de manière standard, sous le nom de « Vie privée » ou « Privacy ».
Le site donne à l'utilisateur un contrôle sur l'usage qui est fait de ces données (dont les cookies) et comment l'exercer.
Il y a bien une société, légalement déclarée, opérant ce site, et parfaitement (complètement) identifiée. Un site sans société ou auteur (webmaster) dûment identifié derrière, n'est rien que du vent.
Notons qu'une simple boutique qui utilise le paiement par carte bancaire ou la vérification de chêques ou une carte de fidélité, etc. collecte des données privées.
En matière d'actes de commerce :
Le site est clairement identifié en tant que société commerciale réellement existante, avec adresse géographique, inscriptions administratives existantes (registre du commerce, chambre des métiers, etc.).
Le site commercialise ce qu'il prétend commercialiser (pas de contrefaçons, etc.).
Le site à des conditions générales de vente et de livraison et respecte ces clauses.
Les paiements sont sécurisés, les données collectées sont totalement confidentielles.
La plateforme de paiement est clairement identifiée, figure dans les registres des organismes de paiement agréés, se trouve dans une zone géographique où le droit s'applique, etc.
En matière de sécurité informatique :
Le site se trouve sur un serveur sécurisé (il ne peut pas être hacké par un cybercriminel, à l'insu de son webmaster, pour attaquer ses visiteurs).
Le site ne pratique pas le phishing.
Le site n'exécute pas de script hostile.
Le site ne pratique pas de drive-by download.
Le site ne propose pas en téléchargement des fichiers contenant des malveillances (virus, cheval de Troie embarquant une charge active, etc.)
A de nombreuses reprises, il a été observé des sites titulaires d'un sceau de certification alors que rien ne le justifiait, prouvant par là la légèreté avec laquelle ces sceaux sont distribués (facturés).
Par ailleurs, de nombreux sites Web, sans scrupule, affichent ces logos d’approbation de manière purement frauduleuse. L'internaute est souvent naif et croit ce qu'il voit. Lorsqu'il ne l'est pas, il ne sait pas où ni comment vérifier si le logo affiché, qui prétend labelliser le site, est réel (le site figure bien dans les registres de l'organisme d'approbation) ou frauduleux.
|
Organisme | Sceau | Commentaire | |
---|---|---|---|
BBB | |||
TRUSTe | |||
VeriSign Secured | La société Verisign a été acquise par Symantec (Norton) le 09.08.2010. Le sceau ViriSign Secured devient Norton Secured à partir d'avril 2012. | ||
VeriSign Trusted | La société Verisign a été acquise par Symantec (Norton) le 09.08.2010. Le sceau ViriSign Trusted devient Norton Secured à partir d'avril 2012. | ||
Verisign Check | La société Verisign a été acquise par Symantec (Norton) le 09.08.2010. Le sceau ViriSign Check devient Norton Check à partir d'avril 2012. | ||
Norton Secured | La société Verisign a été acquise par Symantec (Norton) le 09.08.2010. Les ex ViriSign Secured et ViriSign Trusted sont devenus Norton Secured. | ||
Verisign | Produits : VeriSign® SSL Certificates VeriSign® Code Signing Certificates VeriSign® Trust Center VeriSign Trust™ Seal VeriSign® Secure Site VeriSign® Secure Site Pro VeriSign® Secure Site with EV VeriSign® Secure Site Pro with EV | Sont devenus ! Norton™ SSL Certificates Norton™ Code Signing Certificates Norton™ Trust Center Norton™ Trust™ Seal Norton™ Secure Site Norton™ Secure Site Pro Norton™ Secure Site with EV Norton™ Secure Site Pro with EV | |
PayPal | N'existe pas ! C'est un faux ! PayPal peut vérifier que le compte et la carte bancaire d'un vendeur / acheteur appartiennent bien à la personne physique ou morale qui prétend être titulaire du compte. Cette vérification n'est, en rien, une certification. PayPal n'a pas, à ma connaissance, de procédure de certifiction d'un vendeur. On peut trouver un sceau de certification PayPal sur certains sites marchands : c'est un faux. Il existe une foule d'images de ce type. Ce sont tous des faux. Comme d'habitude, la présence d'un tel faux doit immédiatement rendre le site suspect. La FAQ « vérification » de PayPal. | ||
VB100 | Véritable sceau, crédible, délivré par le Virus Bulletin aux logiciels antivirus, et remis en cause en continu. | ||
Microsoft Partner | Gold, Silver, Bronze. Il faut qu'il y ait un lien vers le site officiel de Microsoft. Si ce n'est pas vérifiable, ça n'existe pas. Usage généralement usurpé. Lorsque l'éditeur de logiciels a obtenu un sceau Microsoft Partner, c'est, généralement, pour un petit logiciel inoffensif et non distribué. Avec ça, l'éditeur affiche son sceau Microsoft partout sur son site, pour tout autre chose, y compris s'il distribue des malveillances. | ||
CertPlus | CertPlus était le leader français de la certification. Il a été racheté par Keynitecs. | ||
Keynectis-Opentrust | |||
Software Informer | Ces sceaux de type " Choix de la rédaction ", etc. ..., sur des sites dont le modèle économique repose, entre autre, sur la vente de logiciels, sont généralement le signe d'une grosse marge commerciale sur le produit choisi (beaucoup d'argent à gagner) par le site qui fait ce choix. Il s'agit donc de produits dans lesquels on ne doit pas faire confiance. Ce n'est pas comme cela que l'on doit choisir un logiciel, mais par des tests et comparatifs crédibles et par l'usage du logiciel durant sa période d'essai gratuite. S'il n'a pas de période d'essai, fuir le logiciel. | ||
Trusted Shops | |||
Trustpilot | |||
FIA-NET | |||
Avis-verifies | |||
certification AFNOR NF Z74-501 | |||
|
Consultez les bases de données des organismes d'approbation pour vérifier si le site Web affichant un de leurs sceaux figure bien dans leurs registres.
|
Sceaux de confiance (trust seals)
Les encyclopédies |
---|