Comment vérifier l’identité certifiée associée à un site Internet sécurisé

Introduction

La vérification de l’identité certifiée d’un site Internet est essentielle pour s’assurer …​

…​

qu’il est authentique et sécurisé, notamment avant de partager des informations sensibles.

1. Comprendre les bases d’un site sécurisé

Certificat SSL/TLS :

Un certificat numérique émis par une Autorité de Certification (CA) garantit qu’un site est sécurisé et que l’identité du propriétaire est vérifiée.

URL sécurisée :

Les sites sécurisés commencent par https://, indiquant que les données transmises sont chiffrées.

2. Vérifier la présence d’un certificat SSL

Regarder l’URL du site :

  • Vérifiez si l’URL commence par https://.

  • Un cadenas apparaît à gauche de l’URL dans la barre d’adresse.

Cliquer sur l’icône du cadenas (dans la barre d’adresse) :

Cela permet d’afficher des informations sur le certificat de sécurité du site.

…​

Vous verrez un message indiquant que la connexion est sécurisée.

3. Examiner le certificat SSL/TLS

Ouvrir les détails du certificat :

  • Cliquez sur le cadenas, puis sur "Informations sur le certificat" ou "Certificat" (selon le navigateur).

…​

  • Sur certains navigateurs, cela peut être accessible via "Plus d’informations".

Vérifier les informations importantes :

Émetteur :

Le certificat doit être émis par une autorité de certification de confiance, comme DigiCert, Let’s Encrypt, GlobalSign, ou Comodo.

Nom commun (CN) :

Correspond au domaine du site (exemple : www.example.com).

Validité :

Assurez-vous que le certificat est encore valide (dates d’émission et d’expiration).

Organisation (OV) :

Les sites d’entreprises légitimes affichent souvent leur nom et leur organisation dans le certificat.

Certificat EV (Extended Validation) :

Certains sites utilisent des certificats EV qui affichent le nom de l’organisation directement dans la barre d’adresse pour une meilleure transparence.

4. Vérification en ligne des certificats

Utiliser un outil de vérification en ligne :

SSL Labs (https://www.ssllabs.com/ssltest/):

Analyse approfondie du certificat et de la configuration SSL/TLS.

CRT.sh (https://crt.sh/):

Permet de rechercher les certificats émis pour un domaine spécifique.

Vérification auprès de l’autorité de certification :

Consultez le site de l’autorité de certification mentionnée dans le certificat pour confirmer sa légitimité.

5. Identifier les signes d’alerte

Cadenas barré ou rouge :

  • Indique que le certificat est invalide ou expiré.

  • Évitez de transmettre des données sur ce site.

Certificat auto-signé :

Un certificat auto-signé n’est pas validé par une autorité de certification. Cela peut être le signe d’un site non fiable.

Mismatch dans les informations :

Si le nom commun (CN) ne correspond pas au domaine visité, il s’agit d’un problème de certificat.

6. Étapes supplémentaires pour renforcer la vérification

Comparer le domaine et l’organisation :

  • Vérifiez que le domaine correspond bien à celui attendu.

…​

  • Comparez le nom de l’organisation figurant dans le certificat avec celui attendu.

Rechercher le site sur des bases de données de confiance :

Consulter le WHOIS du domaine :

Utilisez un service comme whois.net ou ICANN Lookup pour obtenir des informations sur l’enregistrement du domaine.

7. Résumé des bonnes pratiques

  • Ne faites jamais confiance à un site sans certificat SSL/TLS valide.

…​

  • Vérifiez toujours les détails du certificat pour vous assurer de la légitimité du site.

…​

  • Utilisez des outils de vérification pour détecter des anomalies ou des configurations incorrectes.