Firefox : l'authentification des sites
Vous êtes parfois amené à transmettre sur le Web des informations hautement confidentielles. Par exemple pour consulter votre compte bancaire en ligne ou réaliser un achat sur Amazon, vous allez être amené à saisir un identifiant et un mot de passe.
La première précaution à prendre est de ne jamais accéder à la page de connexion à son compte à partir d'un lien proposé dans un email. L'accès doit se faire directement en tapant l'adresse du site dans Firefox ou en cliquant sur un marque-page créé par soi-même.
La deuxième précaution est de ne jamais faire retenir par le navigateur son mot de passe. Si celui-ci vous le demande cliquez sur "jamais pour ce site". Précaution valable pour tous les sites sensibles : banques, sécurité sociale, caisse de retraite., etc...
Ensuite il est particulièrement important de s'assurer si on est bien où l'on croit être et si la transmission de ces informations est chiffrée.
Firefox possède un système particulier pour
authentifier les sites. Voici la signification des différents
messages. Je me suis largement inspiré pour ce qui va suivre
d'un article paru sur Geckozone.org
Site contrefait ou page malveillante.
Firefox peut bloquer l'accès à certains sites si il estime que cela présente un danger pour vous. Dans ce cas la page ne s'affichera pas et vous aurez ce message :
C'est assez explicite et dissuasif ! Cliquez sur "Sortir d'ici !"
Bouton d'authentification
Ce bouton est situé à gauche de la barre d'adresse, il prend une forme et une couleur différente suivant les cas.
1/ transmission d'informations non chiffrée.
C'est le cas de la plupart des sites et cela veut dire que les informations de connexion que vous allez transmettre ne seront pas chiffrées. C'est à dire qu'elles peuvent être interceptées, comme le ferait une personne malveillante qui regarderait au dessus de votre épaule quand vous saisissez le code de carte de crédit.
Prenons un exemple : j'accède à la page d'accueil du site de la Caisse d'Epargne, en cliquant sur le bouton à gauche de l'adresse, voici ce qui s'affiche.
Rien d'étonnant à cela, cette page est accessible à tout le monde et c'est le cas le plus fréquent sur Internet.
2/ transmission d'information chiffrée
Je clique sur le le lien de connexion à mon compte à la Caisse d'Epargne, une nouvelle page s'ouvre à une nouvelle adresse. Je m'apprête en entrer mon identifiant et mon mot de passe pour accéder à mes comptes :
En cliquant à gauche de l'adresse voici ce qui s'affiche : je suis bien sur la caisse-epargne.fr et ma connexion est chiffrée. Je peux entrer identifiants et mots de passe ainsi que réaliser toutes les opérations sur mes comptes.
La vérification de la page a été réalisée par un organisme d'authentification (moyennant finances) qui a délivré un certificat pour une durée définie. Ce qui n’est pas certifié dans cette situation est l’identité de la personne qui détient réellement le domaine en question, mais ceci est hélàs fréquent.
"Plus d'informations" me permettra de vérifier si j'ai déjà visité ce site et si j'ai un mot de passe enregistré.
Quand l'identité du détenteur du site est également certifié (c'est un peu plus cher sans doute...), voici ce qu'affiche le bouton d'identification :
Vous êtes dans ce cas en sécurité car aucun doute ne subsiste : identité reconnue et connexion chiffrée.
3/ certificat d'authentification invalide
Voici un cas de figure un peu exceptionnel :
Dans ce cas Firefox a bloqué la connexion au site car celui-ci produit un certificat invalide car auto-signé, c'est à dire que le certificat n'a été accordé par aucun des organismes d'authentification reconnus.
Concernant l'utilisation de votre carte bancaire pour payer vos achats sur Internet, je vous invite à lire le tutoriel : Achat sur Internet : payer avec sa carte bancaire