Flux RSS - La vie du site - Nouveautés et mises à jour
Alertes failles
de sécurité et
de mises à jour
Contribuer - Questionner
Recherches dans le forum
Faire un lien
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet
 

Assiste.com

Dossier : Web réputation, confiance en un site Web

Dossier : estimation du niveau de confiance accordé à l'objet Web pointé (sites, URL, script, application, etc.). Analyses robotisées ou humaines.

20.09.2022 : Pierre Pinard.

Dossier : Web réputation (niveau de confiance en un site Web)

          Index     Dossier : Web réputation, confiance en un site Web     Dossier : Web réputation, confiance en un site Web

Dossier (collection) : Web réputation

Introduction
Liste

Malwarebytes et Kaspersky ou
Emsisoft (incluant Bitdefender)


Sommaire (montrer / masquer) 

..Dossier - Dossier : Services de Web réputation Dossier : Services de Web réputation - 01 Dossier : Services de Web réputation

Sécurité informatique - Vie privée - Neutralité
Carnets de voyage en terres truquées
Bienvenue sur le Web

La « Web réputation » concerne la réputation des sites Web et des personnes morales (sociétés) actives dans le monde numérique (dont les sites marchands). Pour la réputation des personnes physiques sur le Web (sur l'Internet), cela s'appelle la « e-réputation ».

Il est nécessaire, lorsque l'on se rend sur un site Web, ou que l'on veut acheter quelque chose sur un site Web marchand, ou que le site demande que l'on saisisse des données personnelles (s'identifier pour ouvrir un compte, compte bancaire, carte de paiement, mot de passe, identification et adresse, etc.), de :

  • Consulter les mesures techniques mises en œuvre par le site Web visité ou la page Web visitée (analyses objectives) :

    Consulter le niveau de confiance numérique du site (analyses objectives) :

    Est-ce que le site ou l'URL figure dans des listes noires (analyses objectives) :

    • Signalé dans des listes noires de phishing ou SMiShing.

    • Signalé dans des listes noires de spammeurs.

    • Signalé dans des listes noires de sites à activités spéciales (SEO, fermes de liens, fermes de contenus, liens réciproques, etc.).

    • Signalé dans des listes noires de sites frauduleux (fraudes 419, escroqueries, arnaques et autres fraudes, etc.).

  • Consulter les avis et mesures d'honnêteté et comportements de la société commerciale derrière ce site Web. (analyses subjectives) :

    • Respect des délais de livraison.

    • Contrefaçons.

    • Service après vente.

    • Date de création. Un site/une société de moins de 3 ans ne permet pas d'avoir une visibilité sur son comportement - elle doit exister depuis plusieurs années. Ne jamais rien acheter lorsque le site/la société vient de se créer. Les sociétés fantômes sont légion, qui ne durent que quelques jours ou quelques heures, après une campagne publicitaire violente par spams ou insertions dans les blogs/forums/sites, etc. Elles ramassent l'argent et disparaissent aussitôt.

    • Pays de la société et pays du serveur : à quelles législations va-t-on être confronté en cas de litige et aurons-nous une possibilité de contestation/plainte ?

    • Existence de plaintes.

    • Etc.

On peut tromper les outils de Web réputation, par fausses dénonciations et commentaires (crowdsourcing - avis participatifs) ou par injections de malveillances, afin de faire perdre toute crédibilité à, par exemple, un concurrent. Le service prétendu de Web sécurité WOT - l'imbécillité élevée au rang d'un art s'est fait durant des années une caisse de résonnance et un amplificateur de fausses rumeurs.

La « Web réputation » utilise cinq sources d’informations pour jauger/juger les sites Web :

  1. L’analyse technique et sécuritaire du site Web. Des robots cherchent des risques (virus, phishing, etc.) dans chaque site Web, en lisant toutes les pages et en téléchargeant et analysant tous les fichiers. Ils donnent un jugement objectif, robotisé.

  2. L'analyse du comportement de la société derrière le site Web. Des humains signalent des risques (sincérité des livraisons, respect des délais, service après-vente, contrefaçons, sécurité des paiements, contenus haineux, dérives sectaires ou terroristes, contenus propagandistes, fake news [fausses nouvelles, informations fallacieuses, infox], contenus vivement déconseillés aux enfants et toutes choses qu’aucun robot ne peut analyser). C’est le crowdsourcing (avis participatifs). Toutefois, celui-ci comporte des risques de jugements subjectifs ou de jugements purement trompeurs (par exemple : avis menteurs servant à la promotion/publicité du site ou, au contraire, avis menteurs servant à la médisance [concurrence, etc.]). Les avis donnés, par exemple, sur les commerçants présents sur la Google Map, sont quasi entièrement des avis truqués.

  3. Un troisième comportement des services de « Web réputation » est celui d'« agrégateurs » (le « service » est un « métaservice » qui répertorie les évaluations de plusieurs autres services). Typiquement, ces « métaservices » font la liste ou la synthèse de plusieurs résultats des deux précédents. Très pratique pour une vision globale et rapide de la réputation d'un site.

  4. Une quatrième source de « Web réputation » est celle des listes noires (blacklists). Ces listes conduisent au blocage de sites Web, pour une raison ou pour une autre (voir une proposition de liste de catégories de sites bloqués et cas d'usage). La « Web réputation » par « agrégation » est pratique pour avoir une vue d’ensemble rapide de la présence ou absence d'un nom de domaine ou d'une URL dans des dizaines de listes noires de malveillants et des dizaines de listes noires de spammeurs.

    Attention à l'inflation du nombre de listes noires prétendues consultées (dans la bataille des ego, chaque service de « Web réputation » cherche à prétendre en consulter plus que ses concurrents). De nombreuses listes noires traînent sur le Web alors qu'elles n'existent plus ou ne sont plus mises à jour depuis des années (elles servent juste de matelas de revenus publicitaires à leurs anciens auteurs).

  5. Une cinquième très bonne source d’informations sur l’innocuité ou le risque que fait courir la visite d’un domaine est l’analyse que font les prestataires de services en protection des hébergements auprès des webmasters. Ces analyses disent aux webmasters quels sont les compromissions, les failles, les risques de leurs sites. Il en résulte un avis ou une note très précieuse des sites Web. Ce sont des prestations professionnelles et commerciales (payantes), mais les internautes peuvent demander, gratuitement et en ligne, une analyse basique (qui va astucieusement permettre aux prestataires en sécurisation des sites Web d’identifier des sites à problèmes auxquels ils vont pouvoir faire des offres de services). Ces offres portent, par exemple, sur la recherche de failles de sécurités dans les technologies employées, dont les correctifs ont été publiés, mais dont l'hébergement du site ne les a pas appliqués :

    Liste des correctifs ou contournements aux failles de sécurité, au jour le jour.

    Ces prestataires de services cherchent également les compromissions implantées dans l'hébergement du site (hack du site - exemples de hacks). Ces compromissions servent à compromettre les appareils des visiteurs (visiteurs ciblés ou non).

Le Web est un lieu trompeur et menteur que l'on cherche à nettoyer ou dont on cherche à se prémunir, dont avec les outils de « Web réputation ». On notera que le nombre de ces outils et services gratuits diminue régulièrement, faute de revenus, alors qu'il s'agit d'une part de travail humain à temps plein (il n'y a pas que les robots d'analyses).

Attention : on ne parle pas du tout des sites de commentaires à la :


Voir la liste des outils et services gratuits de Web réputation.

Annonce
..Dossier - Plateforme interbancaire

..Dossier - Plateforme interbancaire Plateforme interbancaire - 02 Plateforme interbancaire

Si le site pour lequel vous cherchez s'il est de confiance est un site marchand et que vous envisagez d'y acheter quelque chose, il y a une plateforme interbancaire qui s'interpose entre votre banque et la banque du vendeur en ligne.

Les transactions entre deux banques (en l'occurrence, la vôtre et celle du vendeur) ne peuvent absolument pas s'exécuter directement. Seuls des intermédiaires agréés par une banque centrale (la Banque de France en France) peuvent le faire. Ces plateformes interbancaires s'interposent donc entre l'acheteur et le vendeur.

Vous pouvez et devez identifier cet organisme interbancaire lorsqu'il s'interpose, car il va demander / vérifier auprès de votre banque si votre compte existe bien et si vous avez les moyens de payer le vendeur.

Pour bien faire, il faut vérifier si cette plateforme interbancaire est bien agréée par l'ACPR (Autorité de Contrôle Prudentiel et de Résolution). Cela se vérifie dans la base de données de l'Orias.



Orias

Organisme pour le registre unique des intermédiaires en assurance, banque et finance.

L'Orias est une association privée à but non lucratif, bénéficiant d'une délégation de service public. Elle est administrée par les représentants des secteurs assurantiels, bancaires et financiers sous la tutelle de la Direction Générale du Trésor. L'Orias tient le registre unique des intermédiaires.




ACPR

Certains professionnels, notamment les établissements de crédit, les sociétés de financement, les établissements de paiement ou établissements de monnaie électronique, ainsi que les organismes d'assurance doivent être agréés par l'ACPR.

Adossée à la Banque de France, l'ACPR (Autorité de Contrôle Prudentiel et de Résolution) est chargée de l'agrément et de la surveillance des établissements bancaires, d'assurance et de leurs intermédiaires, dans l'intérêt de leurs clientèles et de la préservation de la stabilité du système financier.



Réaliser une activité de banque ou d'assurance sans être agréé est illégal. À noter qu'un professionnel peut être agréé ou immatriculé dans un autre État membre de l'Union européenne et avoir une activité en France dans le cadre de la Liberté d'Établissement (LE) ou de la Libre Prestation de Service (LPS).

Relevez bien le nom du professionnel, puis :

Quant aux intermédiaires en opérations de banque et services de paiement (dont les plateformes de paiement en ligne), aux intermédiaires en assurance et aux intermédiaires en financement participatif, ils doivent être immatriculés auprès de l'Orias, un organisme indépendant de l'ACPR, qui tient le registre unique des intermédiaires.

Là encore, un intermédiaire peut être immatriculé dans un autre État membre de l'Union européenne et avoir une activité en France en Liberté d'Établissement (LE) ou en Libre Prestation de Service (LPS). Vous trouverez son numéro à 8 chiffres attribué par l'Orias sur l'ensemble des documents de l'intermédiaire ainsi que sur son site Web (dont dans toutes ses clauses et mentions légales). En cas d'absence ou de divergence entre son nom du domaine (son URL) et son nom affiché, soyez méfiant (une société peut avoir un nom du domaine différent de sa « raison sociale » si le nom de domaine était déjà pris ou sa « raison sociale » trop longue, etc.).

La plateforme de paiement en ligne fait intervenir la banque du vendeur, la banque de l'acheteur et le réseau du moyen de paiement utilisé (réseau Carte Bleue, réseau Visa, réseau MasterCard, réseau American Express, réseau Paylib, réseau Cofinoga, réseau Diners Club, réseau PayPal, réseaux des chèques vacances et similaires, paiements par virements bancaires, paiements par mandats, etc.) et a en charge, entre autres, la demande, auprès de l'acheteur, de la double authentification.

La plateforme de paiement en ligne prend sa commission au passage payée par le vendeur en ligne.

Voir l'article complet sur l'Orias

Annonce
..Dossier - Plateforme interbancaire
# # # # # # # # # # # # # # # # # # # # # # # # # # # #

Ressources Ressources Ressources Dossier : Web réputation (niveau de confiance en un site Web)

Dossier (collection) : OGL - Outils et services gratuits en ligne

Keetag : convertisseur, dans les deux sens, HTML - BBCode - Discourse - Textile - Wikipedia - Wiki - Texte brut

Web réputation d'un site, d'une URL, etc. : Liste

Multi-antivirus gratuits en ligne : Liste

Mono-antivirus gratuits en ligne : Liste

Sandboxes gratuites en ligne : Liste

Listes noires (blacklistes) de sécurité (et se faire délister) : Liste

Listes noires (blacklistes) de spammeurs (et se faire délister) : Liste

Whois, IP Whois, Reverse IP, Mon IP... : Liste

Validateurs d'adresses courriel : Liste


Dossier (collection) : Filtres du Web (Link checkers - Anti-phishing - Anti-malware)

Dossier : Filtres antiphishing antimalwares du Web
Dossier : Phishing

Les différents filtrages du Web

Reconnaître un site de phishing - cas tcamiot.fr

Dispositifs natifs
Microsoft SmartScreen
Google Safe Browsing
Comparatif SmartScreen vs Safe Browsing

Activation / Désativation des filtres natifs
Activer anti-phishing anti-malware natif IE 7
Activer anti-phishing anti-malware natif IE 8
Activer anti-phishing anti-malware natif IE 9
Activer anti-phishing anti-malware natif IE 10
Activer anti-phishing anti-malware natif IE 11
Activer anti-phishing anti-malware natif Firefox
Activer anti-phishing anti-malware natif Safari
Activer anti-phishing anti-malware natif Opera
Activer anti-phishing anti-malware natif Chrome

Dispositifs tiers
McAfee SiteAdvisor
Norton Safe Web
Norton Safe Web Lite (n'existe plus)
WOT
Trustwave SecureBrowsing
Disconnect
AdGuard - Extension pour navigateurs
Avira Browser Safety
Serveurs DNS filtrants

Avis en ligne (Web-Réputation) sur un site
Webutation
WoT Web of Trust
McAfee TrustedSource
McAfee SiteAdvisor
Norton Safe Web
Norton Safe Search
Norton Safe Web Lite
NSW
Google Safe Browsing
Google Transparence
Alexa
WebStatsDomain
NoScript
hpHosts
Yandex
URLVoid
VirusTotal (VTZilla)
Dr.Web LinkChecker
Scamadviser
SaferPage
Website Antivirus
G-Rated
Wikipedia Trust Links
SiteJabber
Web Security Guard

Plug-in de Web-Réputation
Plug-in Trustwave SecureBrowsing
Plug-in WoT - Web of Trust
Plug-in Avast! WebRep
Plug-in AVG LinkScanner
Plug-in McAfee SiteAdvisor
Plug-in Norton Safe Web Lite
Plug-in Trend Micro TrendProtect
Plug-in Norton Safe Web
Plug-in Trend-Micro Web Addon
Plug-in Yandex Safe Browsing

Archives
Microsoft SmartScreen en 2004


Dossier (collection) : Hosts, DNS et Web

Hosts et DNS
Hosts et DNS - Schéma de principe
Hosts et DNS - Un peu d'histoire
Naissance du World Wide Web
Nom de domaine

Fichier Hosts - Qu'est-ce que c'est ? Où ?
Hosts
Hosts : Où se trouve le fichier Hosts
Comment restaurer un fichier hosts corrompu
Où trouver des listes Hosts toutes faites
HostsMan (pour importer des listes dans hosts)

DNS - Qu'est-ce que c'est ? Où ?
DNS
Qu'est-ce qu'un serveur DNS
DNS - Les Kits de connection des FAI
DNS - Pourquoi changer de DNS
DNS - Comment changer de DNS
Liste des DNS des FAI français (et quelques autres)
Comment changer de DNS pour utiliser ceux de Cloudflare
Comment changer de DNS pour utiliser les DNS de Google ?
Comment changer de DNS pour utiliser les DNS d'OpenDNS ?
Comment changer de DNS pour utiliser les DNS de la FDN ?
Comment vider les caches des navigateurs ?
NameBench - Trouver des DNS rapide

Cache DNS du Système d'exploitation
Cache DNS - Qu'est-ce que c'est
Cache DNS - Voir le cache - Invite commande
Cache DNS - Voir le cache - DNSDataView
Cache DNS - Vider le cache DNS Windows
Cache DNS - Vider le cache DNS Linux
Cache DNS - Vider le cache DNS MAC OS X

Cache DNS des navigateurs Web
Cache DNS des navigateurs Web - Qu'est-ce que c'est ?
Cache DNS - Vider le cache DNS Firefox
Cache DNS - Vider le cache DNS de MS IE
Cache DNS - Vider le cache DNS de MS EDGE
Cache DNS - Vider le cache DNS Opera
Cache DNS - Vider le cache DNS Chrome
Cache DNS - Vider le cache DNS Safari

Web Réputation et listes de blocage
Domaine dans la listes hosts hphosts
Domaine dans les listes noires (blacklists)
Domaine de confiance ?
Catégorisation des sites dans une liste hosts

Trucs à DNS
Trucs à DNS 1 (Whois et IP-Whois)
Trucs à DNS 2 (Historiques, Ping, DNS...)
Trucs à DNS 3 (DNSView - Lecture du cache DNS)

Attaques des DNS et autres corruptions
Attaque en Pharming (corruption de hosts)

Logiciels serveur DNS
Liste des logiciels serveur DNS
Surveillance en temps réel des pannes des serveurs DNS


Dossier (collection) : Classes de malveillances

Adware
Adware intrusif
Anarchie
ANSI Bomb
AOL Pest
Automate d'appels téléphoniques
Banker (Malware Banker, Malware Banking, Trojan Banker, Trojan Banking, Virus Banker, Virus Banking)
Barres d'outils
BHO - BHOs - Browser Helper Object
Binder
Bluejacking - exploitation des vulnérabilités du Bluetooth
Bluesnarfing - exploitation silencieuse de la technologie Bluetooth
Bot
Botnet
Botnet as a Service (BaaS)
C&C - Command and Control
Calcul distribué
Cheval de Troie (Trojan)
Cookie de tracking (Trackware Cookie)
Cracking Doc
Cracking Misc
Cracking tools - Outils de crack
Crypto-ransomware
Cryptoware
DDoS
DNS hijacking (DNS hijacker - Redirection DNS)
DoS
Dropper - (Virus compte-gouttes)
Encryption Tool
Explosives
Firewall Killer
Flood
Flooder
Fraudes 419 (Spam 419 - Spam africain - Spam nigérien)
Hacking tools - Outils de hack
Hacking Tutorial
Hijacker
Hostile ActiveX
Hostile Java
Hostile Script
IRC War
Keygen
Key Generator
Keylogger
Loader
Lockpicking
Macrovirus
Mail Bomb
Mail Bomber
Mailer
Malvertising
Malware as a Service (MaaS)
Misc
Misc Doc
Misc Tool
Modificateurs des SERP des moteurs de recherche (résultats menteurs)
NetTool
Notifier
Nuker
Outils de création de privilèges
Outils révélateurs de mots de passe
P2P BotNet
Packer (compression, encryptage)
Password Cracker
Password Cracking Word List
Password Stealer (Spyware PasswordStealer - Steal stored credentials - USB Password stealer)
Patch
PHA (applications potentiellement nuisibles)
Phishing
Phreak (Phreaker - Phreaking)
Phreaking Text
Phreaking Tool
Pirateware
Profiling
Rançongiciel
Ransomware
RAT Remote Administration Tool (Outil d'administration à distance)
Redirection DNS
Remballe
Revenge porn
Rip (Ripoff - Rip-off - Ripper - Rippeur - Ripping)
Scanner de ports
SMiShing (phishing par SMS)
Spam (courriel indésirable, email ennuyeux, email virus, courriel publicitaire)
Spam tool
Spam vocal
Spoofer
Spoofing (Usurpation)
Spyware (Theft)
Stealer
Super-Cookies
Sybil attack
Tracking
Trojan Creation Tool
Trojan Source
Truelleware (shovelware)
Trustjacking
Typosquatting
Video jacking
Virus
Virus PEBCAK
War Dialer (Janning)
Worm (ver, propagation, virus)
Worm creation tool
Zombie
Zombification


Ailleurs sur le Web Ailleurs sur le Web Ailleurs sur le Web Dossier : Web réputation (niveau de confiance en un site Web)

FAQFAQDossier : Web réputation (niveau de confiance en un site Web)

Site de confiance
Page de confiance
Page Web de confiance
Web Réputation
Web réputation en ligne
Web de confiance
Web sécurisé
Confiance commerciale dans un site
Website réputation
e-Réputation
e-Réputation d'un site
Comment reconnaître un site Web de confiance
Quand faire confiance à un site Web
Site de confiance ou pas ?
Sites web de confiance
Link checker Google Safe Browsing vs Microsoft SmartScreen
Cyber-Réputation d'un site
Outils gratuits en ligne de Web Réputation (vu par les internautes)
Outils gratuits en ligne de Web Réputation (vu par les robots)
Réputation d'un site sur le Web
Réputation en ligne d'un site
Réputation numérique
Web réputation - Les sceaux (tampons) de confiance ou de certification et les organismes d'approbation
Trust Seal
Site de confiance
Web Réputation
Web de confiance
Web sécurisé
Website réputation
Comment reconnaître un site Web de confiance
Quand faire confiance à un site Web
Site de confiance ou pas ?
Sites web de confiance

Web réputation


..Dossier - Dossier : Services de Web réputation