29.9.2015, Nicolas Berlie / Le cadenas n’est pas une garantie en soi: «googlisez» l’entreprise avant d’acheter. Shutterstock / TACstock1
Que signifie la présence d’un cadenas? Qu’est-ce qu’une connexion sécurisée? Décryptage et quiz.
Avant de pouvoir se mettre au volant, il faut maîtriser le code de la route, les panneaux de signalisation. Sur internet, il n’y a pas d’examen, mais il vaut mieux connaître les indications qui jalonnent les autoroutes de l’information, et que vous transmet votre navigateur.
A commencer par les certificats de sécurité SSL. Quésaco? Jouant le rôle, en quelque sorte, de cartes d’identité du World Wide Web, ces certificats numériques permettent à un navigateur d’authentifier un serveur – autrement dit un site – au préalable à l’établissement d’un canal de communication crypté. Par exemple avant d’effectuer une transaction par e-banking ou un achat sur un site d’e-commerce.
Cela peut paraître abstrait, mais ce processus est bien visible par l’internaute: c’est le fameux cadenas qui s’affiche dans le navigateur, associé à une adresse commençant par «https://» (et non pas «http://»). Suivant le type de browser et de certificat, le cadenas voire l’adresse sont également surlignés en vert.
«S» comme «sûr»
«La présence d’un «https://» vous indique une connexion sécurisée, sous la forme d’un tunnel encrypté entre votre navigateur et un site web, explique Evelyne Pintado, de la société de sécurité informatique Navixia. De cette façon, vous êtes certain que l’échange que vous avez avec votre interlocuteur reste entièrement privé.» Autrement dit, les données que vous lui transmettez, par exemple votre numéro de carte de crédit, ne pourront pas être interceptées par un tiers.
Pouvez-vous pour autant dormir sur vos deux oreilles? Evelyne Pintado nuance: «Avec un certificat SSL, vous êtes sûr que vos données sont arrivées intactes à destination. Mais ce qui leur advient à l’autre bout de ce tunnel crypté, c’est une autre question.» Car les organismes de certification, comme Thawte (aux mains de Symantec) ou l’helvète SwissSign (propriété de La Poste), ne font pas passer d’examen de moralité aux sites auxquels ils délivrent leurs certificats…
Les trois états du cadenas
Même si un cadenas et un «https://» sont présents, les conseils habituels en matière d’e-commerce sont donc toujours valables: privilégiez les sites sûrs, avec pignon sur rue. Pour ceux qui sont plus confidentiels, vérifiez qu’une adresse physique est bien mentionnée, et faites une petite recherche dans Google avant de passer commande.
Et s’il n’y a pas de cadenas? Dans ce cas, abstenez-vous systématiquement.
Troisième cas de figure, un cadenas est bien présent, mais il est barré d’un trait rouge. Généralement, votre navigateur vous avertit alors que la «connexion n’est pas certifiée». Cela ne signifie pas pour autant que vous avez affaire à des pirates embusqués. Le plus souvent, cela indique que les propriétaires du site ont oublié de renouveler leur certificat (ceux-ci ont une durée limitée). En attendant, la sécurité de la connexion n’est plus garantie, et une interception des données est théoriquement possible. Donc abstenez-vous également. Contactez-les et attendez que le problème soit réglé avant d’effectuer une transaction.