Des conseils tels que "Si vous voyez un sceau McAfee SECURE sur un site Web, vous savez que celui-ci est sûr" sont erronés et potentiellement dangereux. C’est pratique pour les entreprises qui vendent ces certifications, mais c’est un mauvais conseil qui pourrait mettre les gens en difficulté.
Sceaux de confiance 101
Ces badges - appelés techniquement «sceaux de confiance» - ne sont que des images. Tout le monde peut copier et coller ces images et les placer sur n’importe quelle page de téléchargement de logiciel. Vraiment, nous ne saurions trop insister là-dessus. Bien qu’un sceau d’approbation puisse paraître sophistiqué et officiel, il n’est pas différent d’une déclaration écrite. Si vous voyiez une page de téléchargement de logiciel ressemblant à une arnaque disant: «Ce logiciel est certifié exempt de virus par Symantec!», Auriez-vous une confiance aveugle? Bien sûr que non! Bien sûr, ils diraient ça - n'importe qui peut écrire ça.
Il en va de même pour les autres types de badges: ce sont exactement les mêmes choses que d'écrire: «Nous sommes un partenaire officiel de Microsoft», «CNET a attribué à notre logiciel une note de choix de 5 étoiles de la part d'un éditeur» ou «Nous sommes un BBB. entreprise accréditée avec une cote A +. »Si le site Web paraissait suspect, vous auriez raison de regarder ces déclarations avec suspicion.
L'introduction de cet article contient un tas de sceaux que nous venons de copier et coller. Tout auteur de malware ou hameçonneur peut également copier et coller ces logos en quelques secondes seulement. (Heureusement, notre reproduction de ces sceaux tombe sous le bon usage parce que nous les utilisons à des fins de critique. Quelqu'un qui aurait copié ces sceaux pour tromper les gens violerait la loi sur le droit d'auteur.)
Comment pouvez-vous même les vérifier?
En théorie, vous devriez pouvoir cliquer sur ces badges et aller directement sur le site Web qui a fourni le sceau d'approbation. Le site Web du fournisseur de scellés vous informera ensuite si le site Web original sur lequel vous vous trouvez est réellement fiable.
Voilà comment cela devrait fonctionner. En réalité, il n’existe souvent aucun moyen de cliquer sur ces badges pour vérifier qu’ils sont bien officiels, même sur des sites les utilisant à des fins légitimes. Si vous êtes vraiment curieux de savoir si c'est vrai - qu'il s'agisse d'un logiciel «choisi par l'éditeur de PCWorld» ou d'une entreprise accréditée par le Bureau d'éthique commerciale - vous devez vous rendre sur le site Web de l'entreprise qui fournit le badge et faire une recherche. pour savoir si les revendications sont légitimes.
Il va sans dire que la plupart des gens ne feront pas cette recherche. Au lieu de cela, ces images de badge brillantes fournissent un éclat de légitimité sur de nombreuses pages de téléchargement de logiciels. Ils peuvent être utilisés correctement par de nombreux développeurs d’applications, mais tout le monde peut facilement s’approprier ces logiciels malveillants, les sceaux ne signifiant rien par eux-mêmes.
Pire encore, une confirmation officielle des sites légitimes peut être très difficile à trouver. Microsoft ne fournit certainement pas une liste facile à trouver de tous leurs «partenaires certifiés», par exemple. Cependant, vous pouvez cliquer sur certains sceaux - assurez-vous qu’il ouvre réellement le site Web du fournisseur de sceaux et non une page de vérification d’imposteur.
Les phoques ne veulent pas dire ce que vous pensez
Vous devriez également considérer ce que signifient les phoques. Par exemple, le sceau «Norton Secured» signifie simplement que le site Web subit des analyses quotidiennes des programmes malveillants et des vulnérabilités. Le badge BBB accrédité signifie simplement que la société du site web est enregistrée auprès du Bureau d'éthique commerciale. Une cote 5 étoiles attribuée par un site de téléchargement de logiciel signifie simplement qu'un critique a donné une bonne note à ce programme. Un badge «Microsoft Certified Partner» est encore plus déroutant et ne semble pas avoir grand chose à voir.
Il est important de noter que ces badges ne signifient pas que Norton, une autre société antivirus, le Bureau d'éthique commerciale, ou Microsoft ont déjà essayé le logiciel et l'avoir approuvé.
Par exemple, le logiciel de nettoyage de PC «MyCleanPC» scammy affiche un badge «Verisign Secured» sur leur site Web. Cela signifie simplement qu'ils ont acheté un certificat SSL de Verisign qui sera utilisé pour sécuriser vos informations de paiement lorsque vous tombez en panne et que vous payez.
L’outil de mise à jour des pilotes inutile de Driverupdate.net le proclame fièrement d’un «partenaire certifié Microsoft Gold», mais tout employé de Microsoft digne de ce nom recommande vivement de ne pas utiliser cet outil. Driverupdate.net est également certifié McAfee SECURE. Ce n’est techniquement pas un logiciel malveillant, il est donc acceptable.
Faire confiance aux noms verts dans la barre d’adresse de votre navigateur - C’est tout
La seule chose à laquelle vous pouvez faire confiance est votre navigateur Web. S'il affiche un nom vert à côté de votre barre d'adresse, cela confirme que l'identité du site Web actuel a été vérifiée.Par exemple, dans la capture d'écran ci-dessous, notre navigateur Web a confirmé qu'il s'agissait du véritable site Bank of America. Bank of America a subi un processus de vérification de l'identité. En savoir plus sur ces certificats de «validation étendue» et sur la manière dont ils sont plus fiables que les certificats SSL classiques.
Surtout, vous pouvez avoir confiance en cela car il est affiché dans votre navigateur. Ce n’est pas simplement une image qui peut être copiée-collée sur Internet. Une image apparaissant sur une page Web n’identifie rien en elle-même.
Et même dans ce cas, cette vérification d'identité signifie simplement que le site Web appartient à la société à laquelle il prétend appartenir. Cela ne signifie pas nécessairement que la société elle-même ou son logiciel est digne de confiance.
Oui, il est vrai qu’un site Web légitime affichant un faux sceau obtiendrait des plaintes et serait forcé de le retirer. Mais nous ne sommes pas inquiets pour les sites légitimes ici. Nous sommes inquiets pour les sites furtifs qui poussent des pages de logiciels malveillants et d’hameçonnage. C’est le genre de sites Web qui profiterait le plus du vol de ces phoques. Ils enfreignent déjà la loi, violer le droit d’auteur du fournisseur de sceaux n’est donc pas un problème pour eux.
