Comment identifier les sites web frauduleux

DigiCert Blog
Dean Coclin
03-24-2021
TEMPS DE LECTURE : 4 MIN

À l'ère de la transformation digitale, votre capacité à identifier les sites web frauduleux n’est pas simplement un avantage, mais une absolue nécessité pour votre protection en ligne et celle de vos données : identité personnelle et professionnelle, informations financières, identifiants de messagerie, réseaux sociaux, etc.

Avec la pandémie de Covid-19, les arnaques et les usurpations d'identité se multiplient. Aux États-Unis, par exemple, le Département de la santé et des services sociaux a fait circuler diverses informations pour sensibiliser le public aux fraudes multiformes (démarchage téléphonique, envoi de SMS, posts de réseaux sociaux, sites web frauduleux, etc.) liées au coronavirus. Et malgré un retour progressif à la normale, les arnaques en ligne ne sont pas prêtes de disparaître. Au contraire, elles devraient même augmenter. Savoir vérifier l'authenticité d’un site web vous aidera à mieux vous protéger, aujourd’hui comme demain, contre les sites frauduleux.

Comment vérifier un site web

Orthographe de l'URL

Une URL mal orthographiée doit vous mettre immédiatement la puce à l'oreille. Les cybercriminels peuvent subtilement modifier l'URL d’un site (par exemple, amaz0n.com) ou encore changer l'extension du nom de domaine (par exemple, amazon.org au lieu de amazon.com).

Sceau sur le site

Le sceau apposé sur un site en garantit l'authenticité. Il suffit en général de cliquer dessus pour afficher des informations complémentaires sur le site et le processus de vérification. Si rien ne s'affiche, il s'agit probablement d'une copie frauduleuse du sceau.

1 the DigiCert site seal
Figure 1 : Sceau DigiCert

 

Affichage d’un cadenas

Une icône de cadenas, en haut à gauche dans la barre d’adresse, signifie que le site web est sécurisé par un certificat TLS/SSL qui chiffre les données des utilisateurs . Cette icône est présente pour trois types de certificats TLS : DV (validation de domaine), OV (validation d'organisation) et EV (validation étendue).

  • Les certificats de validation de domaine vérifient la propriété du domaine. Cependant, ils ne fournissent aucune information d'identification de l’entreprise. Ils ne sont donc pas recommandés pour un usage à des fins commerciales.
  • Les certificats de validation d'organisation sont authentifiés par l'Autorité de certification (AC) dans des registres d’entreprises officiels. Ils sont recommandés pour les sites commerciaux ou publics.
  • Les certificats à validation étendue contiennent des étapes de validation supplémentaires et offrent le plus haut niveau d'authenticité pour la protection de votre marque et de vos utilisateurs. Les AC peuvent exiger des documents spécifiques et des coordonnées personnelles pour s'assurer de la légitimité des informations contenues dans les certificats EV. Ce type de certificat est utilisé par les grandes entreprises soucieuses de rassurer les utilisateurs quant à l'authenticité du site web et sa détention par l'entité avec laquelle ils sont supposés traiter.

Lorsqu'un site ne présente pas d'icône de cadenas, la plupart des navigateurs indiquent aux internautes que la page n'est pas sécurisée. Auparavant, le cadenas était une marque de sécurité suffisante, mais la recrudescence de la fraude en ligne impose d'autres stratégies de vérification.

Figure 2. Site sécurisé vs site non sécurisé dans Google Chrome

 

Site sécurisé vs site frauduleux

Une icône en forme de cadenas indique que les informations du site sont chiffrées, et donc sécurisées pour la navigation. Mais aujourd’hui, un site dit sécurisé ne l’est pas nécessairement pour les achats ou le partage d’informations. L'affichage d’un cadenas n'est pas toujours une preuve d'authenticité. Pour preuve, selon une enquête récente, près de la moitié des sites frauduleux utilisés pour le phishing présentent un cadenas.

En règle générale, les cybercriminels utilisent des certificats DV : certificats TLS de premier niveau offerts gratuitement par certaines AC. Ainsi, il leur suffit de prouver qu'ils sont propriétaires du site pour que celui-ci affiche un cadenas. Nul besoin de prouver la légitimité de l'entreprise. Les certificats OV et EV sont plus difficiles à obtenir, car ils exigent des étapes supplémentaires (preuve d'enregistrement, paiement par carte bancaire valide, réponses aux questions de l'AC, etc.), ce qui dissuade la plupart des cybercriminels.

Même si les sites web frauduleux qui utilisent des certificats TLS sont généralement repérés, ils peuvent entre temps faire des ravages.

Au-delà du cadenas

Un clic sur le cadenas doit vous permettre d’afficher des informations supplémentaires. Par exemple, « Délivré à : [Nom de l'entreprise] » et « Certificat (Valide) », pour le niveau d’authentification maximal. Mais cette fonction n’est actuellement disponible que sur les versions desktop des navigateurs. Ceci dit, version mobile ou desktop, le principe reste le même : vous devez vérifier le niveau de sécurité du site web.

Vérificateur de site

Pour lever vos doutes sur la sécurité d'un site web, rien de tel qu'un vérificateur de site. Cet outil dévoile les vulnérabilités du site, son mode de chiffrement (le cas échéant) et son niveau de vérification.

Autres méthodes

En plus de vérifier la présence d’un cadenas, d’un sceau et d’utiliser un vérificateur de site, vous pouvez pister les indicateurs de fiabilité suivants :

  • Politique de confidentialité
  • Politique de retour
  • Coordonnées de l'entreprise (numéro de téléphone, adresse, etc.)
  • Texte écrit sans faute d'orthographe ni de grammaire
  • Avis en ligne (dans Google, tapez « avis sur le site [nom du site] » pour afficher les commentaires)

Un dernier conseil : fuyez les offres trop belles pour être vraies.

Marche à suivre en présence d'un site frauduleux

Si vous avez ouvert un site frauduleux, surtout, ne fournissez aucune donnée sensible (informations financières, identifiant et mot de passe, codes de vérification, identifiant Facebook, etc.), ni même votre nom ou vos coordonnées. Au moindre doute, arrière toute. De même, ne cliquez jamais sur les liens inclus dans les messages, publications en ligne ou messages directs d'expéditeurs inconnus. Assurez-vous toujours de l'authenticité d'un site avant d'y faire des achats.

Signalez les sites frauduleux sur Google Safe Browsing avant de les fermer.

UP NEXT
Infrastructure PKI

3 Surprising Uses of PKI in Big Companies and How to Ensure They Are all Secure

5 Min

Featured Stories

07-03-2024

What is a CA’s Role in delivering digital trust?

Why certificate automation is an absolute must

11-15-2024

4 steps to secure the IIoT device lifecycle