Jusqu’à présent les internautes se fiaient à la présence du cadenas vert et du nom du propriétaire pour évaluer l’authenticité d'un site. Ce n’est plus le cas depuis un mois : les nouvelles versions de navigateurs ont supprimé ces importants marqueurs de sécurité.
Les utilisateurs des services d’e-banking doivent maintenant faire encore plus attention pour ne pas tomber dans les pièges du phishing : les navigateurs Chrome, Firefox et Safari abandonnent l’affichage des indicateurs de sécurité d’un site web sécurisé avec un certificat EV. Les internautes perdent ainsi la possibilité de vérifier rapidement l’authenticité d’un site et l’identité de son propriétaire. Le seul à conserver l’affichage classique est Microsoft Edge.
Afin d’éviter les attaques de phishing, la plupart des instituts financiers, à l'instar de nombreux autres fournisseurs de services en ligne, utilisent les certificats à validité étendue ou EV (pour « Extended Validation »). Une autorité de certification ne peut délivrer un tel certificat qu’après un examen approfondi de l'identité du titulaire du site. Le but est d’empêcher les cyberpirates de se procurer des certificats sous une fausse identité et de les utiliser sur des sites de hameçonnage pourvus d'un cadenas.
En règle générale, les sites sécurisés par un certificat EV se reconnaissaient jusqu'à présent au moyen d'un cadenas vert accompagné du nom du propriétaire (p. ex. le nom de l’institut financier) dans la barre d’adresse, ce qui permettait de vérifier l’authenticité du site d’un simple coup d’œil. Il faut savoir que la plupart des sites web piratés par les « phishers » arborent aujourd'hui un cadenas, mais de couleur grise, De plus, en l’absence d'un certificat EV, le nom du titulaire du site n’est pas affiché dans la barre d’adresse.
Si les éditeurs de navigateurs ont décidé de supprimer ce marquage visuel, c’est probablement parce que les internautes ne faisaient que peu de cas de ces indicateurs de sécurité. Le symbole du cadenas va continuer de s’afficher, mais uniquement en gris et non plus en vert.
La bonne nouvelle, c’est qu'il suffit d'un clic sur le cadenas pour contrôler que le propriétaire du site dispose bien d'un certificat EV et vérifier le nom de la société qui se cache derrière le site.
Chrome avec certificat EV :
Chrome sans certificat EV :
Firefox avec certificat EV :
Firefox sans certificat EV :
À l’avenir, vous pouvez continuer de naviguer en toute sécurité, et en particulier de sécuriser vos opérations d’e-banking en suivant les conseils suivants :
- Habituez-vous à taper manuellement l’adresse URL de votre institut financier et à cliquer sur le symbole du cadenas après l’affichage du site afin de contrôler le nom du titulaire du certificat (c.-à-d. de votre institut financier).
- L’alternative pour les utilisateurs de Windows est d’employer le navigateur Edge.
- Et si vous utilisez un dispositif mobile pour accéder à votre compte e-banking, préférez l’application de banque en ligne fournie par votre institut financier plutôt que le navigateur.
