Le cadenas vert a disparu

Jusqu’à pré­sent les inter­nautes se fiaient à la pré­sence du cadenas vert et du nom du pro­prié­taire pour éva­luer l’authenticité d'un site. Ce n’est plus le cas depuis un mois : les nou­velles ver­sions de navi­ga­teurs ont sup­primé ces impor­tants mar­queurs de sécurité.

Les uti­li­sa­teurs des ser­vices d’e-banking doivent main­te­nant faire encore plus atten­tion pour ne pas tomber dans les pièges du phi­shing : les navi­ga­teurs Chrome, Firefox et Safari aban­donnent l’affichage des indi­ca­teurs de sécu­rité d’un site web sécu­risé avec un cer­ti­ficat EV. Les inter­nautes perdent ainsi la pos­si­bi­lité de véri­fier rapi­de­ment l’authenticité d’un site et l’identité de son pro­prié­taire. Le seul à conserver l’affichage clas­sique est Micro­soft Edge.

Afin d’éviter les attaques de phi­shing, la plu­part des ins­ti­tuts finan­ciers, à l'instar de nom­breux autres four­nis­seurs de ser­vices en ligne, uti­lisent les cer­ti­fi­cats à vali­dité étendue ou EV (pour « Extended Vali­da­tion »). Une auto­rité de cer­ti­fi­ca­tion ne peut déli­vrer un tel cer­ti­ficat qu’après un examen appro­fondi de l'identité du titu­laire du site. Le but est d’empêcher les cyber­pi­rates de se pro­curer des cer­ti­fi­cats sous une fausse iden­tité et de les uti­liser sur des sites de hame­çon­nage pourvus d'un cadenas.

En règle géné­rale, les sites sécu­risés par un cer­ti­ficat EV se recon­nais­saient jusqu'à pré­sent au moyen d'un cadenas vert accom­pagné du nom du pro­prié­taire (p. ex. le nom de l’institut finan­cier) dans la barre d’adresse, ce qui per­met­tait de véri­fier l’authenticité du site d’un simple coup d’œil. Il faut savoir que la plu­part des sites web piratés par les « phi­shers » arborent aujourd'hui un cadenas, mais de cou­leur grise, De plus, en l’absence d'un cer­ti­ficat EV, le nom du titu­laire du site n’est pas affiché dans la barre d’adresse.

Si les édi­teurs de navi­ga­teurs ont décidé de sup­primer ce mar­quage visuel, c’est pro­ba­ble­ment parce que les inter­nautes ne fai­saient que peu de cas de ces indi­ca­teurs de sécu­rité. Le sym­bole du cadenas va conti­nuer de s’afficher, mais uni­que­ment en gris et non plus en vert.

La bonne nou­velle, c’est qu'il suffit d'un clic sur le cadenas pour contrôler que le pro­prié­taire du site dis­pose bien d'un cer­ti­ficat EV et véri­fier le nom de la société qui se cache der­rière le site.

Chrome avec cer­ti­ficat EV :

Chrome sans cer­ti­ficat EV :

Firefox avec cer­ti­ficat EV :

Firefox sans cer­ti­ficat EV :

À l’avenir, vous pouvez conti­nuer de navi­guer en toute sécu­rité, et en par­ti­cu­lier de sécu­riser vos opé­ra­tions d’e-banking en sui­vant les conseils suivants :

• Habi­tuez-vous à taper manuel­le­ment l’adresse URL de votre ins­titut finan­cier et à cli­quer sur le sym­bole du cadenas après l’affichage du site afin de contrôler le nom du titu­laire du cer­ti­ficat (c.-à-d. de votre ins­titut financier).
• L’alternative pour les uti­li­sa­teurs de Win­dows est d’employer le navi­ga­teur Edge.
• Et si vous uti­lisez un dis­po­sitif mobile pour accéder à votre compte e-ban­king, pré­férez l’application de banque en ligne fournie par votre ins­titut finan­cier plutôt que le navi­ga­teur.