Comment un certificat SSL Extended Validation peut
Transcription
Comment un certificat SSL Extended Validation peut
FICHE TECHNIQUE Comment un certificat SSL Extended Validation peut faire augmenter le nombre de transactions en ligne et améliorer la confiance du client + Le problème du phishing et de la fraude en ligne Le phishing et la fraude en ligne ont créé un environnement de peur et de doute parmi les acheteurs en ligne. Le nombre de nouveaux sites de phishing augmente actuellement à une vitesse alarmante (56.959 attaques de phishing ont été dénombrées par l'APWG (Anti Phishing Working Group) au cours du second semestre 2008, soit un bond de 20% par rapport au semestre précédent, 47.324 attaques1). Le phishing est un problème qui nous affecte tous. Même si vous n’êtes pas une cible, il se propage de façon considérable et nuit à la confiance des consommateurs : 21% des utilisateurs en ligne français ont fait l’objet d’une usurpation d’identité ou connaissent quelqu’un qui en a été victime2 75% des consommateurs en ligne français pensent que les entreprises ne font pas assez d’efforts pour les protéger2 90% des utilisateurs sont incapables de distinguer les sites de phishing des sites légitimes3. Pour regagner la confiance des consommateurs, les propriétaires de sites ont besoin d’une méthode simple et fiable pour prouver à leurs clients que leurs transactions sont sécurisées et que le site Web est légal. Pour les aider à faire face à de telles menaces, les fournisseurs de sécurité et les navigateurs Internet ont combiné leurs forces au sein du CA/Browser Forum afin d’établir une norme Extended Validation (Validation Renforcée) pour les certificats SSL. + La solution Naviguer en toute sécurité sur Internet est devenu de plus en plus difficile et les principaux navigateurs ont répondu à ce problème par des mesures de sécurité améliorées. Les navigateurs les plus récents4 peuvent à présent détecter la présence des certificats SSL Extended Validation (EV) et afficher des interfaces uniques attestant de leur présence. L’introduction de nouveaux codes de couleur et de nouvelles barres d’état de sécurité dans ces nouveaux navigateurs, lorsqu’ils détectent un certificat SSL Extended Validation, aident les utilisateurs à prendre des décisions plus adéquates et plus sûres lors de transactions en ligne (achats, opérations bancaires, etc). + La barre d’adresse verte du certificat SSL Extended Validation À présent, lorsque des acheteurs visitent un site Web sécurisé au moyen d’un certificat SSL Extended Validation, la barre d’adresse des navigateurs les plus récents devient verte et affiche le nom de la société spécifié dans le certificat ainsi que celui du fournisseur de sécurité du certificat (dans IE7). 1 Anti-PhishingWorking Group, mai 2009 2 YouGov Research, mars 2008 3. Rachna Dhamija, Harvard university; J.D. Tygar et Marti Hearst, UC Berkely 2007 4. Les signaux visuels de sécurité sont maintenant disponibles sur Internet Explorer 7 ou 8 et Firefox 2.0 (après mise-à-jour) ou 3.x, Opera 9.5, Safari 3.2 ou 4.x, Chrome 1.0 ou 2.0 et Flock 2.0. FICHE TECHNIQUE Une connexion sécurisée a été établie entre navigateur et site Web, et le site Web a été authentifié sur la base de normes industrielles rigoureuses. Dans l’exemple ci-dessous, le navigateur contrôle l’affichage en extrayant les informations du certificat SSL et en les affichant dans la barre d’adresse et d’état de sécurité. Il devient alors extrêmement difficile pour les adeptes du phishing et de la contrefaçon de pirater votre marque et vos clients. Home: Personal, business, online, internet banking: HSBC Bank UK – Microsoft Internet Explorer https://www.hsbc.co.uk/1/2/ Identified by VeriSign Live Search Page Home: Personal, business, online, internet ba.. La barre d’adresse devient verte, ce qui indique aux clients que le site Web est authentifié et hautement sécurisé. Le cadenas s’affiche bien en évidence pour une meilleure visibilité. En cliquant dessus, les utilisateurs peuvent afficher des informations supplémentaires sur le certificat et son émetteur. Tools La barre d’état de sécurité affiche tour à tour le nom de l’organisation d’authentification et VeriSign, l’autorité de certification ayant authentifié la validation renforcée. Les navigateurs Microsoft® Internet Explorer 7 ou 8, Firefox 3.05, Opera 9.5 et leurs futures versions prendront tous en charge les certificats SSL Extended Validation et activeront tous la barre d’adresse verte. En mai 2009, ces navigateurs équipaient plus de 69% des systèmes utilisés en France, Internet Explorer 7 et 8 couvrant 37.64% du marché6. + Alternatives à la barre d’adresse verte dans Internet Explorer 7 La barre d’adresse blanche Lorsque vous êtes sur le point de saisir des informations confidentielles (informations permettant de vous identifier, noms d’utilisateur et mots de passe, comptes bancaires, etc.), vous devez toujours vous assurer que la session est sécurisée (https://) et surveiller la barre d’état de sécurité, et agir en fonction du code de couleur de la barre d’adresse (blanche, verte et rouge). Microsoft Internet Explorer Provided by VeriSign Live Search https://account.live.com/summarypage.aspx?mkt=en-us Page Microsoft Internet Explorer Provided by VeriSign Li Rapport de sécurité ? Si une session sécurisée démarre (https) et que la barre reste blanche, alors la page est cryptée avec SSL mais aucune information d’identité n’est disponible. Dans ce cas et avant de saisir toute donnée confidentielle, lisez attentivement l’intégralité de l’URL inscrite dans la barre d’adresse ou consultez le rapport de sécurité afin de vérifier si ce site Web appartient bien à la société que vous aviez l’intention de visiter. Tools x ? Identification de site Web L’autorité de certification Verisign/ RSA Secure Server a identifié ce site comme : login.live.com Cette connexion au serveur est cryptée. Puis-je faire confiance à ce site ? Afficher les certificats 5. La version de Firefox 3 a facilité l’introduction des certificats SSL Extended Validation. Notes de version http://www.mozilla.com/en-US/firefox/3.0rc1/releasenotes/#whatsnew 6. Part de marché des versions françaises des navigateurs, mai 2009 – source : http://marketshare.hitslink.com/ Internet Explorer 7 – 29.93%, Internet Explorer 8 - 7.71%, , Firefox 3.0 – 32.32%, Opera 9.x – 0.84% FICHE TECHNIQUE La barre d’adresse rouge L’utilisation de la couleur rouge est un avertissement à tous les visiteurs. Soit le site visité est connu comme site de phishing dont l’identité est falsifiée… Reported Phishing Website Navigation Blocked - Microsoft Internet Explorer Provided by VeriSign https://www.phishingwebsite.com/ Phishing Website Live Search Page Reported Phishing Website Navigation Bloc ... Tools …soit le problème provient du certificat SSL utilisé (il peut par exemple avoir été révoqué ou être arrivé à expiration). Microsoft Internet Explorer Provided by VeriSign https://207.46.232.183/ Certificate Error Live Search Reported Phishing Website Navigation Bloc ... Page Tools Dans les deux cas, assurez-vous que l’adresse Web que vous avez saisie est correcte. Si l’erreur persiste, interrompez votre navigation et ne saisissez plus aucune donnée sur ce site Web. + Alternatives à la barre d’adresse verte dans Firefox 3.0 et Opera 9.5 Dans le navigateur Mozilla Firefox, les indicateurs de sécurité s’affichent sur la gauche de la barre d’adresse. Si le bouton de gauche est blanc, le site n’utilise pas de communication cryptée. Il est alors conseillé de ne révéler aucune donnée potentiellement confidentielle. Si le bouton situé sur la gauche de la barre d’adresse est bleu, le site détient une certification reconnue. Si vous cliquez sur ce bouton, le type de certificat et le nom de l’autorité de certification émettrice s’affichent. Si le bouton est vert, le site bénéficie du niveau de certification maximum : un certificat SSL Extended Validation. Si le site présente un quelconque problème de certification, le navigateur bloque son ouverture et un message d’avertissement s’affiche. Opera affiche les informations de sécurité sur la droite de la barre d’adresse. Le blanc signifie que la communication du site n’est pas cryptée. Le jaune indique que le site Web bénéficie d’un certain niveau de certification. + La perception de la barre d’adresse verte En janvier 2007, Tec-Ed7 a analysé les habitudes et les attitudes de 384 acheteurs en ligne et a mesuré leurs réponses aux sites Web avec et sans barre d’adresse verte : 100% des participants remarquent la présence ou l’absence de la barre d’adresse verte EV 93% des participants préfèrent faire leurs achats sur des sites comportant la barre d’adresse verte 97% sont susceptibles de communiquer leur numéro de carte de crédit sur les sites comportant la barre d’adresse verte EV, contre seulement 63% pour les sites sans EV 77% des participants ont déclaré qu’ils hésiteraient à effectuer leurs achats sur un site qui affichait auparavant la barre d’adresse verte EV et qui ne l’affiche plus 88% font confiance au nom VeriSign sur un site, contre seulement 22% pour le deuxième fournisseur SSL le plus réputé. 7. Tech-Ed Consumer Research – Janvier 2007 - http://www.verisign.com/static/040655.pdf FICHE TECHNIQUE + La valeur du certificat SSL EV et le sceau VeriSign Secured Seal En rendant la sécurité de votre site Web plus instinctive et plus évidente, vous pouvez vous aussi obtenir les résultats suivants8 : Scandinavian Design OnLine – 8% d’augmentation des taux de conversion8 « Dans les deux premiers mois qui ont suivi l’adoption de SSL EV, nos taux de conversion en ligne ont progressé de 8%. C’est pour nous le point le plus positif. Aujourd’hui, plus de 50% de nos clients peuvent visualiser la barre d’adresse verte ; nous sommes confiants quant à l’impact futur de cette barre et de SSL EV sur nos taux de conversion. » Jörgen Bödmar, CEO, Scandinavian Design OnLine AB Flagstar Bank - 10% d’augmentation des taux de conversion8 « Dans notre industrie, il est souvent très délicat de faire la distinction entre un site Web légitime et un site de phishing, mais grâce aux certificats EV-SSL de VeriSign, la question ne se pose plus. Toutes les banques devraient l'utiliser. » Jason Dufner, Senior Vice President, IT Content and Banking Systems, Flagstar Bank Opodo – + 10% de ventes abouties8 « Nous avons posté le sceau VeriSign Secured Seal sur les pages de paiement et nous nous sommes aperçus que les ventes avaient augmenté d’environ 10% par rapport aux résultats de la semaine précédente. Nous avons immédiatement réalisé l’impact que le facteur confiance peut avoir sur les taux d’abandon des paniers. » Warren Jonas, responsable de la gestion des services chez Opodo Le sceau VeriSign Secured Seal ajoute un niveau de confiance éprouvé qui peut faire la différence entre concrétiser un achat et perdre un client. Pour en savoir plus, visitez le site http://www.verisign.fr/ssl/secured-seal/index.html ® Pour plus d’informations, visitez notre site à l’adresse www.VeriSign.fr. 8. Les résultats peuvent varier d’une entreprise à l’autre. VeriSign n’offre aucune garantie, qu’elle soit expresse, implicite ou lé gale, en relation avec les services décrits ou les informations contenues dans le présent document. © 2009 VeriSign France S.A. Tous droits réservés. VeriSign, le logo VeriSign, le cercle marqué d’une coche, VeriSign Secured et les autres marques commerciales, marques de services et logos sont des marques commerciales déposées ou non de VeriSign et de ses filiales aux États-Unis et dans d’autres pays. Toutes les autres marques commerciales sont des marques de leurs propriétaires respectifs. 00024680 29/07/2009 ML 081020