Vérifier l’identité d’un site sécurisé

Introduction

Vérifier l'identité certifiée d’un site Internet est essentiel pour garantir son authenticité …​

…​

avant de partager des informations sensibles.

Le cadenas dans la barre d’adresse signifie connexion chiffrée, pas forcément site légitime. Toujours vérifier le certificat.

1. Bases d’un site sécurisé

Certificat SSL/TLS

Document numérique émis par une Autorité de Certification (CA) qui garantit :

  • L’identité du propriétaire

  • Le chiffrement de la connexion

  • L’intégrité des échanges

URL sécurisée

  • Préfixe https://

  • Cadenas dans la barre d’adresse

  • Pas d’avertissement du navigateur

2. Vérifier la présence du certificat

Inspection visuelle

  • URL commence par https://

  • Cadenas affiché à gauche de l’URL

  • Pas de cadenas barré ou rouge

Cliquer sur le cadenas

  • Affiche les informations du certificat

  • Message "connexion sécurisée"

  • Lien vers les détails techniques

Sur Chrome : cliquer sur le cadenas → "Connexion sécurisée" → "Le certificat est valide".

3. Examiner le certificat

Informations clés

ChampÀ vérifier

Émetteur (CA)

Autorité reconnue (DigiCert, Let’s Encrypt, GlobalSign)

Nom commun (CN)

Correspond au domaine visité

Validité

Dates émission / expiration

Organisation (OV)

Nom de l’entreprise (si EV)

Certificat EV (Extended Validation)

Les certificats EV nécessitent une vérification approfondie de l’organisation. Plus utilisés pour les banques et services critiques.

4. Vérification en ligne

Outils

  • SSL Labs (ssllabs.com/ssltest/) — analyse complète

  • CRT.sh (crt.sh) — historique des certificats

  • Why No Padlock? — diagnostic mixed content

Auprès de la CA

  • Consulter le site de la CA

  • Vérifier la légitimité du certificat

  • CRL / OCSP pour la révocation

SSL Labs note les sites de A+ à F. Les sites professionnels devraient viser A ou A+.

5. Signes d’alerte

Cadenas barré ou rouge

Ne JAMAIS transmettre de données sensibles sur un site avec un certificat invalide ou expiré.

Certificat auto-signé

  • Pas validé par une CA reconnue

  • Avertissement explicite du navigateur

  • Acceptable uniquement en interne / dev

Mismatch CN / domaine

  • Le nom commun ne correspond pas au domaine

  • Risque de redirection malveillante

6. Vérifications supplémentaires

Cohérence domaine / organisation

  • Comparer le domaine attendu

  • Comparer le nom dans le certificat

  • Méfiance sur les typosquats (g00gle.com)

Bases de confiance

  • Google Safe Browsing

  • PhishTank

  • URLVoid

WHOIS

  • Récupérer les infos de domaine

  • Date de création

  • Coordonnées du propriétaire

Un domaine créé hier qui prétend être votre banque depuis 50 ans → fortement suspect.

7. Bonnes pratiques

  • Jamais de saisie sensible sur un site sans HTTPS valide

  • Toujours vérifier le certificat avant un paiement

  • Utiliser les outils de vérification

  • Former les utilisateurs (sensibilisation)

  • Utiliser des favoris pour les sites sensibles (banque, mail)

Conclusion

Un cadenas vert = connexion chiffrée, pas site de confiance. Le contexte (URL, organisation, domaine) reste essentiel.

Vérifier l’identité d’un site est un réflexe à acquérir pour tout utilisateur, professionnel comme particulier.

Voir aussi : TLS · HTTPS/TLS/SSL · Phishing · Menaces réseau · Sensibilisation