Le contrôle du cer­ti­ficat

Les cer­ti­fi­cats numé­riques sont uti­lisés pour chif­frer les connexions, de manière à ce que l’utilisateur ait la cer­ti­tude d’être connecté au bon site Web. Mais étant donné que les sites piratés en font éga­le­ment usage, il importe de véri­fier leur authen­ti­cité, sur­tout lors des opé­ra­tions d’e-banking.

Pour vous pro­téger,

  • tapez tou­jours manuel­le­ment l’adresse de votre ins­titut finan­cier dans le navi­ga­teur.
  • accordez la juste atten­tion aux alertes et aux mes­sages d’erreur qui s’affichent lors de l’établissement de la connexion et n’hésitez pas à l'interrompre si néces­saire.
  • assurez-vous que la barre d’adresse (URL) contient bien le sym­bole du cadenas.
  • contrôlez que le cer­ti­ficat a effec­ti­ve­ment été établi au nom de l’institut finan­cier (celui-ci s’affiche soit à côté du cadenas soit, en cli­quant sur le cadenas, dans la fenêtre sous « Cer­ti­ficat émis pour : »).
  • véri­fiez que l’adresse contient le nom de domaine cor­rect de l’institut finan­cier
  • ne sai­sissez vos iden­ti­fiants per­son­nels de connexion qu’une fois le contrôle du cer­ti­ficat ter­miné et s’il s’est avéré positif.

Les cer­ti­fi­cats : pro­tec­tion et danger

Lors de l’établissement de la connexion à un site donné, le navi­ga­teur contrôle auto­ma­ti­que­ment l’authenticité et la vali­dité du cer­ti­ficat SSL. Si le test est positif, le site-cible s’affichera cor­rec­te­ment et sans mes­sages.

Or, il faut savoir que parmi les faux sites d'instituts ban­caires uti­lisés par les hackers pour leurs attaques de phi­shing, de plus en plus sont dotés d'un cer­ti­ficat SSL valide. La pro­cé­dure de véri­fi­ca­tion effec­tuée par le navi­ga­teur n’est donc pas suf­fi­sante pour pou­voir affirmer avec cer­ti­tude que l'on a atterri sur le bon site.

D'où l'intérêt de tou­jours taper manuel­le­ment l’adresse de l'institut finan­cier et de contrôler le cer­ti­ficat vous-même avant d'ouvrir une ses­sion d’e-banking.

Contrôle du cer­ti­ficat dans le navi­ga­teur

En règle géné­rale, le navi­ga­teur ne doit affi­cher aucun mes­sage d’erreur lors du pas­sage à une connexion sécu­risée. Dans le cas contraire, cela signifie qu’il y a un pro­blème de cer­ti­ficat ou de connexion et la connexion doit être immé­dia­te­ment inter­rompue.

Ne forcez donc jamais manuel­le­ment l’établissement de la connexion en cas d’alertes ou de mes­sages d’erreur !

Une connexion SSL cor­rec­te­ment éta­blie – soit une connexion sécu­risée – menant au site Internet sou­haité, et basée sur un cer­ti­ficat valide et authen­tique, se recon­nait grâce à la pré­sence des trois élé­ments sui­vants :

  1. Sym­bole du cadenas dans la barre d’adresse
    La connexion a été chif­frée à l’aide d’un cer­ti­ficat SSL valide.
  2. Nom de l’institut finan­cier cor­rect (il peut être affiché soit à côté du cadenas soit, en cli­quant sur le cadenas dans la fenêtre qui appa­raît sous « Cer­ti­ficat émis pour : »)
    L’identité du titu­laire du cer­ti­ficat (la banque) est ainsi confirmée.
  3. Nom de domaine cor­rec­te­ment ortho­gra­phié dans l’adresse
    Vous êtes bien sur le site web de l'institut finan­cier.

Google Chrome :

Micro­soft Edge :

Mozilla Firefox :

Apple Safari :

La repré­sen­ta­tion gra­phique de ces élé­ments peut être légè­re­ment dif­fé­rente d'un navi­ga­teur à l’autre. Consultez nos modes d’emploi pour retrouver ces élé­ments dans les prin­ci­paux navi­ga­teurs.

Contrôle du cer­ti­ficat par véri­fi­ca­tion de l’empreinte numé­rique

Il existe éga­le­ment une méthode manuelle, plus com­pli­quée mais aussi plus sûre, pour véri­fier l’authenticité d'un cer­ti­ficat. Il s’agit de véri­fier que l’« empreinte » (fin­ger­print) affi­chée par le navi­ga­teur cor­res­pond à l’empreinte publiée par l’institut finan­cier.

Quittez la page si l’empreinte numé­rique ne peut pas être véri­fiée.

Vous trou­verez sur le site de « eBanking – en toute sécu­rité ! » les empreintes numé­riques des pages de connexion e-ban­king de nos par­te­naires, ainsi que des modes d’emploi détaillés pour véri­fier l’empreinte numé­rique dans les dif­fé­rents navi­ga­teurs.

Dans le cadre des opé­ra­tions d’e-banking, le cer­ti­ficat numé­rique sert à garantir l’authenticité du ser­veur auquel l'utilisateur se connecte, et à chif­frer la com­mu­ni­ca­tion avec le ser­veur. Cette tech­no­logie fait appel au pro­to­cole TLS/SSL. On parle donc de cer­ti­fi­cats SSL et de connexions SSL.

En quelques clics, vous pouvez véri­fier si la connexion est effec­ti­ve­ment pro­tégée ou non.

Pour aller plus loin

Prin­cipe de fonc­tion­ne­ment d’une connexion SSL

Les connexions sécu­ri­sées avec un ser­veur web uti­lisent géné­ra­le­ment le pro­to­cole TLS/SSL, une tech­no­logie de com­mu­ni­ca­tion per­met­tant de chif­frer les don­nées trans­mises pour empê­cher leur inter­cep­tion, tout en garan­tis­sant l’authenticité et donc l'identité du ser­veur de connexion.

Cette pro­tec­tion est assurée par ce que l'on appelle un cer­ti­ficat numé­rique. Chaque cer­ti­ficat est émis par une auto­rité de confiance appelée « auto­rité de cer­ti­fi­ca­tion » pour un ser­veur web donné.

Sachant que la sécu­ri­sa­tion et l’identité du ser­veur ne peuvent être garan­ties que si le cer­ti­ficat assu­rant la connexion SSL est authen­tique et valide, on com­prend bien l’importance que revêt le contrôle du cer­ti­ficat.

Véri­fi­ca­tion du cer­ti­ficat via le navi­ga­teur

À chaque fois qu'une connexion SSL est éta­blie, le navi­ga­teur pro­cède à une véri­fi­ca­tion du cer­ti­ficat et en par­ti­cu­lier des pro­priétés sui­vantes :

  • fia­bi­lité de l’émetteur du cer­ti­ficat : le cer­ti­ficat a été établi par une auto­rité de cer­ti­fi­ca­tion fiable (c.a.d. signé numé­ri­que­ment). Cette véri­fi­ca­tion permet d’attester l’authenticité du cer­ti­ficat.
  • vali­dité du cer­ti­ficat : le cer­ti­ficat n’a pas expiré ou l’autorité de cer­ti­fi­ca­tion ne l’a pas révoqué avant la date d’expiration de sa vali­dité.
  • adresse du ser­veur web : l’adresse du ser­veur indi­quée dans le cer­ti­ficat cor­res­pond effec­ti­ve­ment à l’adresse portée dans la barre d’adresse du navi­ga­teur.

Ce n’est qu’après la véri­fi­ca­tion de ces trois élé­ments que le navi­ga­teur peut éta­blir la connexion SSL sans affi­cher de mes­sage d’erreur.

Le contrôle des pro­priétés décrites plus haut par le navi­ga­teur offre un niveau élevé de sécu­rité. Tou­te­fois, le sys­tème ne permet pas d’identifier les cer­ti­fi­cats qu’une auto­rité de cer­ti­fi­ca­tion aurait délivré à un cyber­cri­minel suite à un examen trop som­maire du dos­sier de demande. De rares cas de fraude de ce genre sont devenus célèbres.

Dans la mesure où le hacker choi­sira pro­ba­ble­ment pour son cer­ti­ficat une adresse dif­fé­rente de celle du site visé par l’attaque (par ex. un ins­titut finan­cier), il est pos­sible de recon­naître ces cer­ti­fi­cats abu­sifs en véri­fiant la barre d’adresse du navi­ga­teur.

Il revient ensuite à l’utilisateur de véri­fier si le domaine de l’adresse appar­tient effec­ti­ve­ment à l’organisme à contacter (p. ex. un ins­titut finan­cier). Dans les navi­ga­teurs actuels, cette partie de l’adresse est mise en évi­dence gra­phi­que­ment afin de faci­liter le contrôle (p. ex. en gras ou en noir).

Véri­fi­ca­tion du cer­ti­ficat par com­pa­raison de l'empreinte numé­rique

Chaque uti­li­sa­teur d'une connexion SSL peut contrôler manuel­le­ment l’authenticité du cer­ti­ficat qui lui est associé en véri­fiant l’empreinte numé­rique du cer­ti­ficat.

L’empreinte numé­rique est une suite de carac­tères formée par des lettres de A à F (sans dis­tinc­tion entre majus­cules et minus­cules) et des chiffres de 0 à 9.

Pour véri­fier l’empreinte numé­rique, on com­pare cette suite de carac­tères avec une suite de réfé­rence que l’utilisateur aura obtenue de l’établissement finan­cier. Si la suite de carac­tères lue dans le cer­ti­ficat est iden­tique à celle com­mu­ni­quée par l'institut finan­cier, le cer­ti­ficat est authen­tique.

Si l’on part du prin­cipe que la chaîne de carac­tères annoncée par la banque est authen­tique, la véri­fi­ca­tion manuelle de l’empreinte numé­rique est le moyen le plus sûr de contrôler le cer­ti­ficat.

Il est éga­le­ment utile de contrôler la barre d’adresse, comme décrit pour le contrôle du cer­ti­ficat via le navi­ga­teur.

Qu’aimeriez-vous savoir encore sur le thème de la sécurité en e-banking ?

Je sou­haite m'inscrire
à une for­ma­tion :

For­ma­tion de base

La for­ma­tion de base pré­sente les menaces qui planent actuel­le­ment sur Internet ainsi qu’une pano­plie de mesures simples pour vous en pro­téger.

en savoir plus

For­ma­tion pra­tique

Exercez-vous sur des ordi­na­teurs pré­parés par nos soins et apprenez à appli­quer les prin­ci­pales mesures à suivre pour votre sécu­rité infor­ma­tique et la sécu­ri­sa­tion de vos opé­ra­tions d’e-banking.

en savoir plus

Send this to a friend