Page d'accueil Navigation Sommaire Contacts Sitemap Recherche
HomeOuvrir/fermer une sessionLe contrôle du certificat

Le contrôle du certificat

Les cer­ti­fi­cats numé­riques sont uti­lisés pour chif­frer les connexions, de manière à ce que les uti­li­sa­teurs aient la cer­ti­tude d’être connectés au bon site web. Mais étant donné que les sites piratés en font éga­le­ment usage, il importe de véri­fier leur authen­ti­cité, sur­tout lors des opé­ra­tions d’e-banking.

Pour vous protéger,

  • tapez tou­jours manuel­le­ment l’adresse web (URL) de votre ins­titut finan­cier dans la barre d’adresse du navi­ga­teur.
  • accordez la juste atten­tion aux alertes et aux mes­sages d’erreur qui s’affichent lors de l’établissement de la connexion et n’hésitez pas à l'interrompre si nécessaire.
  • assurez-vous que la barre d’adresse (URL) contient bien le sym­bole du cadenas.
  • contrôlez que le cer­ti­ficat a effec­ti­ve­ment été établi au nom de l’institut finan­cier (celui-ci s’affiche en cli­quant sur le cadenas, dans la fenêtre sous « Cer­ti­ficat émis pour : »).
  • véri­fiez que l’adresse web (URL) contient le nom de domaine cor­rect de l’institut finan­cier et qu’il est cor­rec­te­ment ortho­gra­phié (vous trou­verez ici de plus amples expli­ca­tions sur la manière dont est struc­turée une adresse web).
  • ne sai­sissez vos iden­ti­fiants per­son­nels de connexion qu’une fois le contrôle du cer­ti­ficat ter­miné et s’il s’est avéré positif.

Les cer­ti­fi­cats : pro­tec­tion et danger

Lors de l’établissement de la connexion à un site donné, le navi­ga­teur contrôle auto­ma­ti­que­ment l’authenticité et la vali­dité du cer­ti­ficat TLS. Si le test est positif, le site-cible s’affichera cor­rec­te­ment et sans messages.

Or, il faut savoir que parmi les faux sites d'instituts ban­caires uti­lisés par les hackers pour leurs attaques de phi­shing, de plus en plus sont dotés d'un cer­ti­ficat SSL valide. La pro­cé­dure de véri­fi­ca­tion effec­tuée par le navi­ga­teur n’est donc pas suf­fi­sante pour pou­voir affirmer avec cer­ti­tude que l'on a atterri sur le bon site.

D'où l'intérêt de tou­jours taper manuel­le­ment l’adresse web (URL) de l'institut finan­cier dans la barre d’adresse du navi­ga­teur et de contrôler le cer­ti­ficat vous-même avant d'ouvrir une ses­sion d’e-banking !

Contrôle du cer­ti­ficat dans le navigateur

En règle géné­rale, le navi­ga­teur ne doit affi­cher aucun mes­sage d’erreur lors du pas­sage à une connexion sécu­risée. Dans le cas contraire, cela signifie qu’il y a un pro­blème de cer­ti­ficat ou de connexion et la connexion doit être immé­dia­te­ment interrompue.

Ne forcez donc jamais manuel­le­ment l’établissement de la connexion en cas d’alertes ou de mes­sages d’erreur !

Une connexion TLS cor­rec­te­ment éta­blie – soit une connexion sécu­risée – menant au site web sou­haité, et basée sur un cer­ti­ficat valide et authen­tique, se recon­nait grâce à la pré­sence des trois élé­ments suivants :

  1. Sym­bole du cadenas dans la barre d’adresse
    La connexion a été chif­frée à l’aide d’un cer­ti­ficat TLS valide.
  2. Nom de l’institut finan­cier cor­rect (il peut être affiché en cli­quant sur le cadenas dans la fenêtre qui appa­raît sous « Cer­ti­ficat émis pour : »)
    L’identité du titu­laire du cer­ti­ficat (la banque) est ainsi confirmée.
  3. L’adresse web (URL) porte le bon nom de domaine et ce der­nier est cor­rec­te­ment orthographié
    Vous êtes bien sur le site web de l'institut financier.
    Pour plus d'informations sur la struc­ture d'une adresse web (URL), cli­quez ici.

Google Chrome :

Micro­soft Edge :

Mozilla Firefox :

Apple Safari :

La repré­sen­ta­tion gra­phique de ces élé­ments peut être légè­re­ment dif­fé­rente d'un navi­ga­teur à l’autre. Consultez nos modes d’emploi pour retrouver ces élé­ments dans les prin­ci­paux navigateurs.

Contrôle du cer­ti­ficat par véri­fi­ca­tion de l’empreinte numérique

Il existe éga­le­ment une méthode manuelle, plus com­pli­quée mais aussi plus sûre, pour véri­fier l’authenticité d'un cer­ti­ficat. Il s’agit de véri­fier que l’« empreinte » (fin­ger­print) affi­chée par le navi­ga­teur cor­res­pond à l’empreinte publiée par l’institut financier.

Quittez la page si l’empreinte numé­rique ne peut pas être vérifiée !

Vous trou­verez sur le site de « eBanking – en toute sécu­rité ! » les empreintes numé­riques des pages de connexion e-ban­king de nos banques par­te­naires, ainsi que des modes d’emploi détaillés pour véri­fier l’empreinte numé­rique dans les dif­fé­rents navigateurs.

Dans le cadre des opé­ra­tions d’e-banking, le cer­ti­ficat numé­rique sert à garantir l’authenticité du ser­veur auquel l'utilisateur se connecte, et à chif­frer la com­mu­ni­ca­tion avec le ser­veur. Cette tech­no­logie fait appel au pro­to­cole TLS (le pro­to­cole qui a suc­cédé au SSL). On parle donc de cer­ti­fi­cats TLS et de connexions TLS.

En quelques clics, vous pouvez véri­fier si la connexion est effec­ti­ve­ment pro­tégée ou non.

Pour aller plus loin

Prin­cipe de fonc­tion­ne­ment d’une connexion TLS

Les connexions sécu­ri­sées avec un ser­veur web uti­lisent géné­ra­le­ment le pro­to­cole TLS, une tech­no­logie de com­mu­ni­ca­tion per­met­tant de chif­frer les don­nées trans­mises pour empê­cher leur inter­cep­tion, tout en garan­tis­sant l’authenticité et donc l'identité du ser­veur de connexion.

Cette pro­tec­tion est assurée par ce que l'on appelle un cer­ti­ficat numé­rique. Chaque cer­ti­ficat est émis par une auto­rité de confiance appelée « auto­rité de cer­ti­fi­ca­tion » pour un ser­veur web donné.

Sachant que la sécu­ri­sa­tion et l’identité du ser­veur ne peuvent être garan­ties que si le cer­ti­ficat assu­rant la connexion TLS est authen­tique et valide, on com­prend bien l’importance que revêt le contrôle du certificat.

Véri­fi­ca­tion du cer­ti­ficat via le navigateur

À chaque fois qu'une connexion TLS est éta­blie, le navi­ga­teur pro­cède à une véri­fi­ca­tion du cer­ti­ficat et en par­ti­cu­lier des pro­priétés suivantes :

  • fia­bi­lité de l’émetteur du cer­ti­ficat : le cer­ti­ficat a été établi par une auto­rité de cer­ti­fi­ca­tion fiable (c.a.d. signé numé­ri­que­ment). Cette véri­fi­ca­tion permet d’attester l’authenticité du certificat.
  • vali­dité du cer­ti­ficat : le cer­ti­ficat n’a pas expiré ou l’autorité de cer­ti­fi­ca­tion ne l’a pas révoqué avant la date d’expiration de sa validité.
  • adresse du ser­veur web : l’adresse du ser­veur indi­quée dans le cer­ti­ficat cor­res­pond effec­ti­ve­ment à l’adresse portée dans la barre d’adresse du navi­ga­teur.

Ce n’est qu’après la véri­fi­ca­tion de ces trois élé­ments que le navi­ga­teur peut éta­blir la connexion TLS sans affi­cher de mes­sage d’erreur.

Le contrôle des pro­priétés décrites plus haut par le navi­ga­teur offre un niveau élevé de sécu­rité. Tou­te­fois, le sys­tème ne permet pas d’identifier les cer­ti­fi­cats qu’une auto­rité de cer­ti­fi­ca­tion aurait délivré à un cyber­cri­minel suite à un examen trop som­maire du dos­sier de demande. De rares cas de fraude de ce genre sont devenus célèbres.

Dans la mesure où le hacker choi­sira pro­ba­ble­ment pour son cer­ti­ficat une adresse dif­fé­rente de celle du site visé par l’attaque (par ex. un ins­titut finan­cier), il est pos­sible de recon­naître ces cer­ti­fi­cats abu­sifs en véri­fiant l’adresse web (URL) affi­chée dans la barre d’adresse du navi­ga­teur.

Il revient ensuite à l’utilisateur de véri­fier si le nom de domaine de l’adresse appar­tient effec­ti­ve­ment à l’organisme à contacter (p. ex. un ins­titut finan­cier). Dans de nom­breux navi­ga­teurs, cette partie de l’adresse est sou­vent mise en évi­dence gra­phi­que­ment afin de faci­liter le contrôle (p. ex. en gras ou en noir).

Véri­fi­ca­tion du cer­ti­ficat par com­pa­raison de l'empreinte numérique

Chaque uti­li­sa­teur d'une connexion TLS peut contrôler manuel­le­ment l’authenticité du cer­ti­ficat qui lui est associé en véri­fiant l’empreinte numé­rique du certificat.

L’empreinte numé­rique est une suite de carac­tères formée par des lettres de A à F (sans dis­tinc­tion entre majus­cules et minus­cules) et des chiffres de 0 à 9.

Pour véri­fier l’empreinte numé­rique, on com­pare cette suite de carac­tères avec une suite de réfé­rence que l’utilisateur aura obtenue de l’établissement finan­cier. Si la suite de carac­tères lue dans le cer­ti­ficat est iden­tique à celle com­mu­ni­quée par l'institut finan­cier, le cer­ti­ficat est authentique.

Si l’on part du prin­cipe que la chaîne de carac­tères annoncée par la banque est authen­tique, la véri­fi­ca­tion manuelle de l’empreinte numé­rique est le moyen le plus sûr de contrôler le certificat.

Il est éga­le­ment utile de contrôler l’adresse web (URL), comme décrit plus haut pour le contrôle du cer­ti­ficat via le navi­ga­teur.

Ces articles pourraient également vous intéresser :

Qu’aimeriez-vous savoir encore sur le thème de la sécurité en e-banking ?

Je sou­haite m'inscrire
à une formation :

For­ma­tion de base

Décou­vrez les prin­ci­pales menaces qui cir­culent sur Internet et apprenez à vous en pro­téger et à sécu­riser vos ses­sions d’e-banking.

en savoir plus

For­ma­tion en ligne Mobile Ban­king / Payment

Vous décou­vrirez le Mobile Ban­king et le Mobile Pay­ment, et appren­drez à uti­liser les appli­ca­tions cor­res­pon­dantes en toute sécurité.

en savoir plus

For­ma­tion en ligne pour les moins de 30 ans

Apprends à uti­liser ton smart­phone en toute sécu­rité ! Révise les bases et découvre tout ce qu’il faut savoir sur les réseaux sociaux, pla­te­formes cloud, le Mobile Ban­king et le Mobile Payment.

en savoir plus

For­ma­tion pour les PME

Votre entre­prise est-elle suf­fi­sam­ment pro­tégée ? Décou­vrez les mesures qui vous per­met­tront d’améliorer sen­si­ble­ment la sécu­rité infor­ma­tique dans votre entreprise.

en savoir plus