CRI PRATIQUE > 2006 > N°17 Janvier 2006 >

Mieux comprendre le processus de certification.

Des autorités compétentes et reconnues sont chargées de signer les certificats utilisés dans les sites web en https. Mais cette certification est payante et non obligatoire.
Les sites web proposant des transactions financières en ligne le font cependant, de manière systématique.
Le CRI74 ne l’a pas encore fait.
Lorsque votre navigateur affiche la page d’accueil de WebMail, en https, il va rechercher automatiquement le certificat dans une base de données. S’il ne le trouve pas (parce que le certificat n’a pas été signé), il affichera cet avertissement ; a contrario, s’il le trouve, il n’affichera aucun avertissement. Attention : les navigateurs ne connaissent pas toutes les autorités de certification !.

Dans le cas du WebMail du CRI74, l’existence ou non d’un certificat signé a une importance moindre (vous n’effectuez pas de transactions financières par son biais).
Dans le cas d’une banque par exemple, le certificat signé existe obligatoirement.

Que faut-il en déduire ?

Lorsque vous êtes dirigé vers le site web d’une banque, et que cet avertissement s’affiche, méfiez-vous ! En effet, le vrai site de votre banque a obligatoirement une signature certifiée, et un tel message ne doit jamais s’afficher (sauf si votre navigateur ne connaît pas l’autorité de certification...) !

Les attaques par phishing se sont répandues, mais les utilisateurs sont de mieux en mieux avertis. Les banques, premières victimes, ont largement contribué à la diffusion d’avertissements. Mais les pirates ne manquent pas d’imagination et ont mis en place d’autres méthodes pour tromper l’internaute : service de chat, messagerie instantanée ou différée, tous les moyens sont bons pour récupérer des informations cruciales.