À l'ère de la transformation digitale, votre capacité à identifier les sites web frauduleux n’est pas simplement un avantage, mais une absolue nécessité pour votre protection en ligne et celle de vos données : identité personnelle et professionnelle, informations financières, identifiants de messagerie, réseaux sociaux, etc.
Avec la pandémie de Covid-19, les arnaques et les usurpations d'identité se multiplient. Aux États-Unis, par exemple, le Département de la santé et des services sociaux a fait circuler diverses informations pour sensibiliser le public aux fraudes multiformes (démarchage téléphonique, envoi de SMS, posts de réseaux sociaux, sites web frauduleux, etc.) liées au coronavirus. Et malgré un retour progressif à la normale, les arnaques en ligne ne sont pas prêtes de disparaître. Au contraire, elles devraient même augmenter. Savoir vérifier l'authenticité d’un site web vous aidera à mieux vous protéger, aujourd’hui comme demain, contre les sites frauduleux.
Une URL mal orthographiée doit vous mettre immédiatement la puce à l'oreille. Les cybercriminels peuvent subtilement modifier l'URL d’un site (par exemple, amaz0n.com) ou encore changer l'extension du nom de domaine (par exemple, amazon.org au lieu de amazon.com).
Le sceau apposé sur un site en garantit l'authenticité. Il suffit en général de cliquer dessus pour afficher des informations complémentaires sur le site et le processus de vérification. Si rien ne s'affiche, il s'agit probablement d'une copie frauduleuse du sceau.
Une icône de cadenas, en haut à gauche dans la barre d’adresse, signifie que le site web est sécurisé par un certificat TLS/SSL qui chiffre les données des utilisateurs . Cette icône est présente pour trois types de certificats TLS : DV (validation de domaine), OV (validation d'organisation) et EV (validation étendue).
Lorsqu'un site ne présente pas d'icône de cadenas, la plupart des navigateurs indiquent aux internautes que la page n'est pas sécurisée. Auparavant, le cadenas était une marque de sécurité suffisante, mais la recrudescence de la fraude en ligne impose d'autres stratégies de vérification.
Une icône en forme de cadenas indique que les informations du site sont chiffrées, et donc sécurisées pour la navigation. Mais aujourd’hui, un site dit sécurisé ne l’est pas nécessairement pour les achats ou le partage d’informations. L'affichage d’un cadenas n'est pas toujours une preuve d'authenticité. Pour preuve, selon une enquête récente, près de la moitié des sites frauduleux utilisés pour le phishing présentent un cadenas.
En règle générale, les cybercriminels utilisent des certificats DV : certificats TLS de premier niveau offerts gratuitement par certaines AC. Ainsi, il leur suffit de prouver qu'ils sont propriétaires du site pour que celui-ci affiche un cadenas. Nul besoin de prouver la légitimité de l'entreprise. Les certificats OV et EV sont plus difficiles à obtenir, car ils exigent des étapes supplémentaires (preuve d'enregistrement, paiement par carte bancaire valide, réponses aux questions de l'AC, etc.), ce qui dissuade la plupart des cybercriminels.
Même si les sites web frauduleux qui utilisent des certificats TLS sont généralement repérés, ils peuvent entre temps faire des ravages.
Un clic sur le cadenas doit vous permettre d’afficher des informations supplémentaires. Par exemple, « Délivré à : [Nom de l'entreprise] » et « Certificat (Valide) », pour le niveau d’authentification maximal. Mais cette fonction n’est actuellement disponible que sur les versions desktop des navigateurs. Ceci dit, version mobile ou desktop, le principe reste le même : vous devez vérifier le niveau de sécurité du site web.
Pour lever vos doutes sur la sécurité d'un site web, rien de tel qu'un vérificateur de site. Cet outil dévoile les vulnérabilités du site, son mode de chiffrement (le cas échéant) et son niveau de vérification.
En plus de vérifier la présence d’un cadenas, d’un sceau et d’utiliser un vérificateur de site, vous pouvez pister les indicateurs de fiabilité suivants :
Un dernier conseil : fuyez les offres trop belles pour être vraies.
Si vous avez ouvert un site frauduleux, surtout, ne fournissez aucune donnée sensible (informations financières, identifiant et mot de passe, codes de vérification, identifiant Facebook, etc.), ni même votre nom ou vos coordonnées. Au moindre doute, arrière toute. De même, ne cliquez jamais sur les liens inclus dans les messages, publications en ligne ou messages directs d'expéditeurs inconnus. Assurez-vous toujours de l'authenticité d'un site avant d'y faire des achats.
Signalez les sites frauduleux sur Google Safe Browsing avant de les fermer.