Web réputation - Les sceaux (tampons) de confiance ou de certification et les organismes d'approbation

La notion de "Site de confiance" est tiraillée entre celle de l'analyse froide et objective des sites par des robots qui déterminent si un site est propre ou est piégé, et celle de la "Certification Site de Confiance" qui est une action commerciale où une société achète un Trust Seal : un tampon "Site de confiance" pour son site, auprès d'organismes commerciaux auto-érigés en censeurs du Web, tels que TRUSTe, COMODO, VERISIGN, etc. ....

Dans la Web Réputation, il y a les milliers de sceaux d'approbation ou de certification dont s'affublent certains et certains logiciels.

Certaines sociétés commerciales agissent en organismes d'approbation ou de certification (moyennant finance), créditant quelques millions de sites Internet (à coups de 60 à 100 € par site et par an) d'un ou plusieurs logos de confiance (un label de confiance - un sceau de certification, en anglais on parle de " seal certification "). Ceci est compartimenté en divers domaines, de manière à vendre plusieurs sceaux à chaque site. Parmi ces domaines, on trouve :

• La vie privée
• Les actes de commerce
• La sécurité informatique
• Etc. ...

Certains de ces organismes d'approbation ou de certification sont un service d'une société spécialisée dans la sécurité informatique, comme les éditeurs d'antivirus, d'autres se sont autoproclamés organismes d'approbation ou de certification.

Ces organismes d'approbation ou de certification édictent des chartes (des règles) auxquelles leurs clients, les sites qu'ils certifient, doivent adhérer et qu'ils doivent respecter et appliquer.

Ces tampons (labels) ne garantissent rien et surtout pas que le site est un site de confiance. Ils signifient simplement, sans que cela ait réellement un sens, et sans que cela soit contraignant, que le site Web a payé (a acheté) un coup de tampon, c'est tout. Il s'est engagé à respecter certains critères prétendument exigés par l’organisme d’approbation (dont la priorité est d'avoir le plus de clients payant possibles).

Les organismes d'approbation ou de certification sont tout aussi douteux que le Web, qui n'est pas une zone de confiance. Les évènements vont trop vite et les écrits n'ont pas valeurs d'écrits.

Dans l'esprit, les engagements d'un site tamponné devraient garantir à l'internaute que l'organisme d'approbation ou de certification vérifie en continu le respect par le site, des règles édictées (et non pas encaisse l'argent et laisse le soin au site de respecter ses engagements sans les vérifier, jusqu'au renouvellement du coup de tampon et nouvel encaissement) :

• En matière de vie privée :
  En théorie, ces labels sont censés garantir que le site a une certaine politique de gestion des données personnelles recueilles au cours de la navigation sur le site et utilisation du site et que cette politique est formalisée dans un document clairement accessible et consultable (Clauses vie privée, Privacy).

  • Le site possède bien une déclaration sur ce qu'il fait des données personnelles qu'il est amené à connaître sur ses visiteurs / utilisateurs. Cette déclaration est connue, de manière standard, sous le nom de " Vie privée " ou " Privacy ". Elle est accessible depuis le site, à tout moment, sans être obligé d'entrer dans une procédure quelconque avant d'y accéder.
  • La déclaration, qui est un contrat entre une entité juridique et le visiteur / utilisateur, est clairement nominative (identité réelle et vérifiable, jamais masquée, de la personne physique ou morale derrière le site. S'il s'agit d'une personne morale, inscription au registre des métiers ou au registre du commerce, vérifiable sur des sites comme Infogreffe pour la France). Un simple nom de site n'identifie rien ni personne.
  • Le site donne à l'utilisateur un contrôle sur l'usage qui est fait de ces données (dont les cookies).

• En matière d'actes de commerce :
  

  • Le site est clairement identifié en tant que société commerciale réellement existante, avec adresse géographique, inscriptions administratives existantes (registre du commerce, registre des métiers, etc. ...). Le tout est vérifiable.
  • Le site commercialise ce qu'il prétend commercialiser (pas de contrefaçons, etc. ...)
  • Le site à des conditions générales de vente et de livraison et respecte ces clauses qui sont accessibles depuis le site, à tout moment, sans être obligé d'entrer dans une procédure quelconque avant d'y accéder.
  • Les paiements sont sécurisés, les données collectées sont totalement confidentielles
  • La plateforme de paiement est clairement identifiée, figure dans les registres des organismes de paiement agréés, se trouve dans une zone géographique où le droit s'applique, etc. ...

• En matière de sécurité informatique :
  

  • Le site se trouve sur un serveur sécurisé (il ne peut pas être hacké par un cybercriminel, à l'insu de son webmaster, pour attaquer ses visiteurs).
  • Le site ne pratique pas le phishing
  • Le site n'exécute pas de script hostile
  • Le site ne pratique pas de drive-by download
  • Le site ne propose pas en téléchargement des fichiers contenant des malveillances (virus, cheval de Troie embarquant une charge active, etc. ...)
  • Etc. ...

A d'innombrables occasions, il est observé des sites qui se couvrent de sceaux de certification alors que rien ne le justifie, ou l'ont payé une année et l'affiche à vie, ou ces sceaux sont renouvelés automatiquement, années après années, sans aucune vérification (ce qui prouvent la légèreté avec laquelle ces sceaux sont distribués (facturés)).

Par ailleurs, de nombreux sites Web, sans scrupule, affichent des sceaux d’approbation de manière purement frauduleuse.

L'internaute est souvent naïf et croit ce qu'il voit.

Lorsqu'il ne l'est pas, il ne sait pas où ni comment vérifier si le logo affiché est réel ou frauduleux. Il n'y a aucun lien Web qui puisse être suivi, du sceau vers la page Web de l'organisme d'approbation ou de certification.

Enfin, d'innombrables sites se couvrent de sceaux fantaisistes, qu'ils ont dessinés eux-mêmes.

Le sentiment général est que dès qu'un site arbore un sceau de confiance, il faut s'en méfier. Les bons sites, qui n'ont rien à prouver, n'ont pas besoin de collectionner des badges (collectionner des pins est totalement ringard).

Quelques exemples de sceaux d'approbation / certification / vérification

Quelques exemples de sceaux

	Organisme	Sceau	Commentaire
	BBB
	TRUSTe
	VeriSign Secured		Le 19.05.2010, Verisign annonce la vente de son activité Authentification à Symantec pour 1,28 milliard de dollars. L’authentification englobait les services SSL (Secure Socket Layer), les services d’infrastructure à clés publiques (PKI, Public Key Infrastructure), le sceau Verisign Trust (Verisign Trust Seal) et les services de protection des identités (VIP, Verisign Identity Protection). Les ex VeriSign Secured et VeriSign Trusted deviennent Norton Secured à partir d'avril 2012.
	VeriSign Trusted		Le 19.05.2010, Verisign annonce la vente de son activité Authentification à Symantec pour 1,28 milliard de dollars. L’authentification englobait les services SSL (Secure Socket Layer), les services d’infrastructure à clés publiques (PKI, Public Key Infrastructure), le sceau Verisign Trust (Verisign Trust Seal) et les services de protection des identités (VIP, Verisign Identity Protection). Les ex VeriSign Secured et VeriSign Trusted deviennent Norton Secured à partir d'avril 2012.
	Verisign Check		Le 19.05.2010, Verisign annonce la vente de son activité Authentification à Symantec pour 1,28 milliard de dollars. L’authentification englobait les services SSL (Secure Socket Layer), les services d’infrastructure à clés publiques (PKI, Public Key Infrastructure), le sceau Verisign Trust (Verisign Trust Seal) et les services de protection des identités (VIP, Verisign Identity Protection). Les ex VeriSign Secured et VeriSign Trusted deviennent Norton Secured à partir d'avril 2012.
	Norton Secured		Le 19.05.2010, Verisign annonce la vente de son activité Authentification à Symantec pour 1,28 milliard de dollars. L’authentification englobait les services SSL (Secure Socket Layer), les services d’infrastructure à clés publiques (PKI, Public Key Infrastructure), le sceau Verisign Trust (Verisign Trust Seal) et les services de protection des identités (VIP, Verisign Identity Protection). Les ex VeriSign Secured et VeriSign Trusted deviennent Norton Secured à partir d'avril 2012.
	Verisign	Produits : VeriSign® SSL Certificates VeriSign® Code Signing Certificates VeriSign® Trust Center VeriSign Trust™ Seal VeriSign® Secure Site VeriSign® Secure Site Pro VeriSign® Secure Site with EV VeriSign® Secure Site Pro with EV	Sont devenus ! Norton™ SSL Certificates Norton™ Code Signing Certificates Norton™ Trust Center Norton™ Trust™ Seal Norton™ Secure Site Norton™ Secure Site Pro Norton™ Secure Site with EV Norton™ Secure Site Pro with EV
	PayPal		N'existe pas ! C'est un faux ! PayPal peut vérifier que le compte et la carte bancaire d'un vendeur / acheteur appartiennent bien à la personne physique ou morale qui prétend être titulaire du compte. Cette vérification n'est, en rien, une certification. PayPal n'a pas, à ma connaissance, de procédure de certifiction d'un vendeur. On peut trouver un sceau de certification PayPal sur certains sites marchands : c'est un faux. Il existe une foule d'images de ce type. Ce sont tous des faux. Comme d'habitude, la présence d'un tel faux doit immédiatement rendre le site suspect. La FAQ « vérification » de PayPal.
	VB100		Véritable sceau, crédible, délivré par le Virus Bulletin aux logiciels antivirus, et remis en cause en continu.
	Microsoft Partner		Gold, Silver, Bronze. Il faut qu'il y ait un lien vers le site officiel de Microsoft. Si ce n'est pas vérifiable, ça n'existe pas. Usage généralement usurpé. Lorsque l'éditeur de logiciels a obtenu un sceau Microsoft Partner, c'est, généralement, pour un petit logiciel inoffensif et non distribué. Avec ça, l'éditeur affiche son sceau Microsoft partout sur son site, pour tout autre chose, y compris s'il distribue des malveillances.
	CertPlus		CertPlus était le leader français de la certification. Il a été racheté par Keynitecs.
	Keynectis-Opentrust
	Software Informer		Ces sceaux de type " Choix de la rédaction ", etc. ..., sur des sites dont le modèle économique repose, entre autre, sur la vente de logiciels, sont généralement le signe d'une grosse marge commerciale sur le produit choisi (beaucoup d'argent à gagner) par le site qui fait ce choix. Il s'agit donc de produits dans lesquels on ne doit pas faire confiance. Ce n'est pas comme cela que l'on doit choisir un logiciel, mais par des tests et comparatifs crédibles et par l'usage du logiciel durant sa période d'essai gratuite. S'il n'a pas de période d'essai, fuir le logiciel.
	Trusted Shops
	Trustpilot
	FIA-NET
	Avis-verifies
	certification AFNOR NF Z74-501

Consulter les registres des organismes d'approbation

Consultez les bases de données des organismes d'approbation pour vérifier si le site Web affichant un de leurs sceaux figure bien dans leurs registres.

TRUSTe

BBB Online

WebTrust

La Web-Réputation d'un site Web (d'un domaine Web dans sa globalité, ou, avec une granularité plus fine, d'une page Web), aussi appelée e-réputation d'un site Web, Cyber-réputation, Réputation numérique, Réputation d'un site sur le Web, Réputation d'un site sur l'Internet, Réputation en ligne, Web de confiance, Website-Réputation, Sites de confiance, Web Sécurisé, etc. ..., est de deux natures :

• Confiance technique / sécuritaire (pas de virus, malwares, scan de failles, phishing, etc. ...) mesurée par des robots d'analyses (et, parfois, par du crowdsourcing).
• Confiance dans le service (dont loyauté des services rendus et des marchandises, contrefaçon, livraison, service après vente, etc. ...) mesurée par les utilisateurs du service (ne peut être mesuré que par du crowdsourcing).

Ces Web-Réputations peuvent être obtenues de plusieurs manières, qui ont chacune des finalités différentes et doivent donc toutes être utilisées :

• En consultant les services de Web-Réputation en ligne,
• En étant automatiquement avisé par votre navigateur et son dispositif natif d'alerte comme Microsoft SmartScreen dans Internet Explorer et Edge, Google Safe Browsing dans Firefox, Chrome et Safari, Opera et sa combinaison des listes noires anti-phishing de Netcraft et PhishTank ainsi que la liste noire anti-malware de TRUSTe, Blekko, qui laisse passer moins de malveillances que Yandex, Google et Bing en se basant sur du crowdsourcing, ... Comparatif SmartScreen vs Safe Browsing
  
• En étant automatiquement avisé par votre navigateur grâce à des plug-ins de Web-Réputation que vous ajoutez aux navigateurs (VTZilla, WOT, Malwaredomains, Trustwave SecureBrowsing, etc. ... voir la liste des plug-ins de Web-Réputation dans le Dossier Web-Réputation)
• Par la consultation de Web-Réputation dans les listes noires de blocage,
• Etc. ...

Requêtes similaires

Site de confiance
Page de confiance
Page Web de confiance
Web Réputation
Web réputation en ligne
Web de confiance
Web sécurisé
Confiance commerciale dans un site
Website réputation
e-Réputation
e-Réputation d'un site
Comment reconnaître un site Web de confiance
Quand faire confiance à un site Web
Site de confiance ou pas ?
Sites web de confiance
Link checker Google Safe Browsing vs Microsoft SmartScreen
Cyber-Réputation d'un site
Outils gratuits en ligne de Web Réputation (vu par les internautes)
Outils gratuits en ligne de Web Réputation (vu par les robots)
Réputation d'un site sur le Web
Réputation en ligne d'un site
Réputation numérique
Web réputation - Les sceaux (tampons) de confiance ou de certification et les organismes d'approbation
Trust Seal