Lorsque vous consultez le site d’un établissement financier (banque, compagnie d’assurance, courtier, organisme de carte bancaire ou autre), vous naviguez très certainement sur une page protégée par un certificat Extended Validation (EV). Son rôle ? Sécuriser les communications entre vous et le site et garantir son authenticité. La présence d’un certificat EV est signalée par un cadenas dans la barre d’adresse, accompagné du nom de l’entreprise détentrice. Certains navigateurs font même apparaître ces éléments en vert. L’internaute a ainsi l’assurance que l’entreprise a fourni toutes les informations nécessaires pour prouver son authenticité et sa légitimité, notamment son pays d’implantation, son adresse physique et la nature de son activité telle que déclarée au registre du commerce.
De par les données et actifs dont ils sont dépositaires, les établissements financiers ont toujours été une cible de choix pour les cybercriminels. Face à ce risque, les banques et autres acteurs du secteur ont conscience du rôle primordial des certificats EV comme preuve irréfutable de leur identité. Toutefois, l’authentification n’est pas la seule raison d’être des certificats EV. Avant d’explorer les autres cas d’usage, faisons le point sur les atouts des certificats EV pour les établissements financiers :
La mission des certificats EV est loin de s’arrêter à l’authentification des sites web. Dans les départements IT, on utilise l’EV pour vérifier que les sites web appartiennent à l’entreprise, ajouter des règles aux pare-feu internes et configurer les services de sécurité managés, les audit internes et les mesures de conformité.
Dans l’Union européenne, les certificats EV endossent un nouveau rôle. En 2016, l’UE a promulgué un nouveau règlement appelé eIDAS qui abroge la directive précédente en la matière (1999 EU Digital Signature Act). Ce nouveau règlement est à l’origine de la création des certificats QWAC (Qualified Website Authentication Certificates), un dérivé des certificats EV auquel quelques informations supplémentaires ont été ajoutées. Une nouvelle directive sur les services de paiements (DSP2) impose l’utilisation de certificats QWAC à certains établissements financiers exerçant au sein de l’UE. Avant même son entrée en vigueur en juin 2019, certaines Autorités de Certification recevaient déjà des demandes pour ce produit de la part de banques européennes ou d’autres établissements financiers présents sur le continent.
Les travaux vont donc bon train pour protéger les utilisateurs finaux et garantir une vérification draconienne des acteurs de l’économie en ligne. Le grand chantier actuel est celui des navigateurs, où l’expérience utilisateur est loin d’être homogène.
Ces logiciels d’accès à Internet constituent en effet le maillon faible de la chaîne tant l’expérience offerte sur les sites web EV varie d’un site à un autre. Certains affichent le nom de l’entreprise en vert, d’autres en gris. Et il y en a même un qui n’affiche pas le nom de l’entreprise mais montre le nom de domaine en vert. Certains promettent des améliorations de l’interface utilisateur, tandis que d’autres n’ont rien changé depuis des années.
Quelles modifications pouvons-nous espérer ?
D’ici là, pour toutes les raisons que nous venons d’évoquer, il est fortement conseillé aux établissements financiers d’installer des certificats EV pour clamer le plus fort possible l’authenticité de leur site. Parce que le chiffrement n’a d’intérêt que si l’on sait avec qui l’on traite.
DigiCert entend proposer de nouvelles améliorations du standard EV dans les mois à venir. Nous avons hâte de poursuivre ce débat à l’heure où l’identité occupe une place de plus en plus importante dans tous les aspects de nos vies digitales et connectées.