Avant d’utiliser un site internet que l’on ne connait pas, d’y enregistrer ou rechercher des informations ou encore d’effectuer des achats, il est prudent auparavant de vérifier son authenticité sa réputation et son sérieux afin de s’éviter des déboires.

Cet article donne quelques conseils pour détecter les sites douteux et vérifier leur fiabilité.

1.     Armer sa navigation en paramétrant son navigateur

Tous les navigateurs possèdent des paramètres de sécurité et des plugins qui sont capables  d’améliorer la sécurité des navigations en bloquant par exemple des fenêtres pop-ups intempestives, d’envoyer des requêtes pour ne pas être suivi (Do Not Track), d’arrêter des téléchargements malveillants, d’interdire l’accès au micro et à la webcam ou encore de désactiver des contenus dangereux. Il faut prendre le d’activer des règles, voici comment accéder aux paramètres de sécurité des principaux navigateurs :

• Chrome :  Paramètres > Paramètres avancés > Confidentialité et sécurité.
• Edge :  Paramètres > Afficher les paramètres avancés.
• Firefox :  Outils -> Options > Vie privée et sécurité.
• Safari :  Préférences > Confidentialité.

Paramétrage de Firefox

En particulier n’activez pas l’enregistrement des mots de passe et si possible des identifiants (voir les conséquences possibles sur ce post du forum : Comment Océane s’est fait pirater et voler. Utilisez plutôt un gestionnaire de mot de passe comme Keepass qui amène beaucoup plus de sécurité et de possibilités.

Bien paramétré, le navigateur vous signalera les éléments qu’il bloquera lors de votre navigation.

Les deux captures d’écran suivantes montrent le blocage par Firefox d’un mineur de cryptomonnaie sur un site illégal de streaming et d’un pistage de réseau social sur le site de Libre Office.

Avertissement de Firefox

Un autre avertissement de Firefox

Vous pouvez améliorer la sécurité de votre navigateur en rajoutant des extensions (plug-in). Sur Firefox par exemple : 

• I don't care about cookies vous débarrassera de la plupart des cookies qui tracent vos activités sur le Net.
• Privacy Possum réduit et modifie les information recueillies par les traqueurs de publicité.
• Trace comporte plusieurs protections que vous pouvez configurer pour mieux protéger votre navigation.
• Wot vous permettra de Vérifier la réputation et les informations de sécurité de n’importe quel site Web en fonction de l'expérience des utilisateurs.

Fenêtre d’alerte du plugin WOT après connexion sur un site suspect.

Il existe de nombreux autres plugins plus ou moins efficaces.Ces extensions existent pour plusieurs navigateurs. Dans Firefox pour les installer allez dans "Outils -> modules complémentaires".

• Dans le panneau de gauche sélectionnez « Extensions ».
• Dans la zone de recherche «  Trouver d’autres extensions » en haut de la fenêtre, entrez le nom de l’extension recherchée, par exemple « I don't care about cookies » et lancez la recherche.
• La liste des extensions trouvée s’ouvre dans un nouvel onglet de Firefox. Sélectionnez l’extension désirée et cliquez sur « le bouton « Ajouter à Firefox » qui apparait dans une nouvelle fenêtre.

Blocage d'URL par le plugin Trace

Rappport du plugin Privacy Possum

Icônes de fiabilité des sites de Wot (cercle) et de l’extension de la suite Kapersky sur la barre de menu de Firefox

Icônes de fiabilité des sites de Wot (cercle) et de l’extension de la suite Kapersky sur une recherche Google. Placer la souris sur le cercle pour afficher l'évaluation du site.

2.     Armer sa navigation avec une suite antivirus

L’avantage d’utiliser une suite antivirus (payante) est qu’elle propose des outils supplémentaires comme des bloqueurs de publicité, des accès VPN et des fonctionnalités de sécurité qui bloquent des liens ou actions malveillants de sites douteux.

Notification de l’antivirus Kapersky

Extrait d’un rapport de l’antivirus Kapersky

3. Analyser un site en vérifiant son identité

Avant d’effectuer une opération sensible sur un site il prudent de s’assurer que celui-ci est géré d’une façon fiable.

Le site doit comporter des mentions légales qui pour une entreprise doivent préciser :

• Le nom, prénom, adresse, numéro de téléphone, numéro d’inscription au registre des commerces des personnes physiques.
• La dénomination ou raison sociale, siège social, numéro de téléphone et numéro d’enregistrement, capital, adresse du siège social pour les personnes morales.
• le nom du directeur de la publication ou du responsable de la rédaction.
• le nom, la dénomination ou la raison sociale ainsi que l’adresse et le numéro de téléphone de l’hébergeur.

En France les mentions légales sont obligatoires. Si le site n’a pas de vocation professionnelle  seules les informations relatives à l’hébergeur sont obligatoires. Un site ne comportant pas de mentions légales doit être considéré comme suspect.

Si en particulier vous êtes sur un site de commerce en ligne, vérifiez qu’il existe au moins une représentation en France, que vous pouvez joindre un service par téléphone et qu’ils répondent. En cas de litige les démarches seront moins difficiles et auront plus de chances d’aboutir que pour un site à l’étranger. Pour être sûr que l'entreprise existe vraiment, trouvez ses coordonnées  (sur le site s’il existe une rubrique du type « Contact » ou « À propos »,  via un moteur de recherches ou un annuaire, ou par une requête « whois ». Appelez l’entreprise et posez des questions. Si le numéro n'est pas attribué ou si on ne vous répond pas alors il y a surement un problème.

.Extrait des résultats d’une requête Whois pour un site

Vérifier qu’un site Web utilise bien le protocole HTTPS est un autre gage de sécurité.

Le protocole HTTPS chiffre vos communications afin d'empêcher l’interception d’informations sensibles comme vos numéros de carte bancaire ou vos mots de passe.

Pour savoir si un site utilise le protocole HTTPS il suffit de vérifier que l'icône représentant un cadenas est bien présente dans la barre de navigation de votre navigateur. Si vous la voyez, vous savez que le site sur lequel vous êtes utilise un certificat numérique SSL de confiance et que les informations de la connexion qui circuleront seront chiffrées.

Ne faites jamais de transaction bancaire sur un site qui n’est pas en https. L’utilisation de ce  protocole est une condition nécessaire mais pas suffisante. Des sites Web malveillants peuvent utiliser le protocole HTTPS pour donner l'impression d'être légitimes.

Présence du cadenas et adresse d’un site en HTTPS (sur Firefox)

Le certificat https fourni par une société de confiance peut être vérifié en entrant l’adresse du site à contrôler à cette adresse : https://www.sslshopper.com/ssl-checker.html#hostname

Informations d’un certificat HTTPS

4. Analyser un site et ses commentaires éventuels

Les commentaires ou les votes postés sur un site, quand ils vantent les qualités d’un produit sont à regarder avec circonspection. Il faut se méfier des commentaires qui ne sont pas argumentés par des faits précis et de l’absence de critiques plus ou moins négatives. Cela peut montrer qu’ils ont été trafiqués ou qu’ils sont faux.

Certains commentaires, quand ils comprennent les photos de leur auteur peuvent être analysés avec un moteur de recherche. Par exemple, la capture d’une page du site ci-après affiche le témoignage de deux clients accompagnés de leur photo. Voici comment vérifier que ces photos sont bien originales. 

• Sélectionnez une photo et faites un clic droit avec la souris.  
• Sélectionnez « copier l’adresse de l’image dans le sous-menu qui s’affiche et cliquez.
• Ouvrir Google.
• En haut à droite cliquer sur Images.

Dans la zone de recherches de Google apparait une icône d’appareil photo.

• Cliquez sur l’icône de l’appareil photo.
• Choisir l’onglet « Coller l’URL de l’image ».
• Collez l’adresse de la photo.

Pour chacune des 2 photos, Google La recherche donne les résultats suivants.

On s’aperçoit que les auteurs des commentaires ont plusieurs noms ! Arthur C. est un acteur américain et Jeanne L. s’appelle Amelia Smith entre autres noms.

Ces commentaires sont probablement faux, le site n’est donc pas très fiable à priori.

5.     Analyser un site en estimant sa fiabilité

Plusieurs outils permettent d’estimer la fiabilité ou la réputation d’un site web.

Il existe des sites qui prodiguent des conseils et fournissent des listes noires dans plusieurs domaines. Par exemple

• Info Service pour les Assurances, les banques et l’épargne

• Arnaque Internet.

• Infodujour.

• Le site de la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF).

D’autres sites analysent les sites et fournissent des informations diverses (souvent en anglais): 

• Le site Webutation donne des informations sur la fiabilité des sites. Il suffit de rentrer l’adresse du site (URL) et de lancer une recherche.

• Le site UrlVoid affiche diverses informations sur un site, notamment s’il est blacklisté, la date de son enregistrement, son adresse IP, le pays d’hébergement du site, le nom de l’hébergeur, …

• VirusTotal analyse les fichiers et URL suspects et détecte les virus, vers, trojans et tout type de malwares éventuels. L’onglet URL permet d’analyser un site web.

• Sucuri est un outil en ligne qui offre la possibilité de scanner n’importe quel site. Il propose un service payant pour aider à nettoyer un site infecté.

• ScanUrl analyse des url et détecte les malwares et virus. Il s’appuie sur des services comme Google Safe Browsing Diagnostic, Phish Tank, Web of Trust qu’il interroge.

• Google Safe Browsing. recherche les sites Web non sécurisés. C’est un outil de contrôle de la sécurité des sites Web qui détecte et recense des contenus suspects.

• Network Tools comprend plusieurs utilitaires (DNS lookup Email Checker, Traceroute, …) et surtout Whois permettant d’obtenir de nombreux renseignements sur un site.

Parfois, simplement en naviguant sur un site on peut détecter des indices qui amènent à penser qu’il n’est pas fiable :

• Si le site comporte trop de fautes d’orthographe ou qu’il est mal rédigé méfiez-vous.

• Si le site se dit français et qu’il est hébergé dans un pays lointain comme la Russie, la Chine, la Corée du nord (utiliser les outils en ligne précédents), il est dangereux d’effectuer un achat car en cas d’arnaque vous n’aurez pratiquement aucun recours.

• Si les promesses du produit ou des services proposés sont irréalistes.

• S’il comporte des liens vers d’autres sites douteux ou qui n’ont absolument rien à voir avec sa thématique.

• S’il emploie des phrases et un vocabulaire pseudo scientifiques qui ne veulent rien dire et apportent une certaine confusion..

N’hésitez donc pas à faire des recherches d’avis de consommateurs en entrant dans un moteur de recherche   « avis site » + le nom du site.

La recherche "avis valorexe.com" sur Google donne entre autres résultats accès à cette page site qui prévient que ce site est frauduleux.

6 - Comment identifier un site web malveillant

Des moyens simples permettent d’identifier un site malveillant, méfiez-vous et passez outre :

• Si le site web vous demande de télécharger un logiciel, d’enregistrer un fichier ou d’exécuter un programme.
• Si lors de la visite le site web lance automatiquement une fenêtre de téléchargement.

• Si un site comporte de nombreux avertissements ou phrases clignotantes, il est sûrement faux.
• Si plusieurs Pop-ups ou fenêtres contextuelles apparaissent lorsque vous arrivez sur un site, mieux vaut toutes les fermer immédiatement et arrêter votre navigation sur ce site.
• Si vous êtes automatiquement redirigé sur un site complètement différent, c’est que le site d’origine est faux ou a été piraté et que la redirection pointe sur un site malveillant.

Lorsque vous effectuez une recherche, il est possible qu’un moteur de recherche comme Google affiche des avertissements pour certains liens. 

Un site web malveillant peut également vous annoncer que :

• Votre ordinateur est infecté par des malwares.
• Votre navigateur n’est plus à jour
• Que vous avez gagné un concours ou un tirage au sort gratuit.

Pop up malveillant sur un site

Les cybercriminels peuvent aussi vous offrir de l’argent ou des coupons qui vous obligent à entrer votre carte de crédit ou vos coordonnées bancaires.

Si l’on vous demande de télécharger des fichiers ou de mettre à jour votre logiciel, effectuez une vérification du site via le site officiel du logiciel. En cas de doute, ne téléchargez aucun fichier.

Ne téléchargez que des mises à jour à partir de sites web officiels.

Quittez vite cette page si ce type fenêtre apparait. Les logiciels de protection ne peuvent pas tout détecter.

Même les sites web légitimes peuvent être piratés et utilisés pour héberger un code malveillant. Dans ce cas, ils peuvent contenir des publicités qui peuvent ensuite être utilisées par les cybercriminels pour vous rediriger vers des faux sites web malicieux. Un bloqueur de pub vous aidera à éviter et limiter ces types de piège.

7. Vérifiez les URL

Un autre moyen facile de faire un test de sécurité de site Web et de vérifier son URL. Avant de cliquer sur un lien, , survolez le lien avec votre souris pour vérifier l'URL sans cliquer dessus.

Avec un navigateur comme Chrome ou Firefox l'URL s’affichera en bas et à gauche du navigateur. Vous pourrez ainsi vérifier l’orthographe de l’URL. Des caractères ressemblant peuvent être substitués à d’autres. Par exemple vous croyez aller sur Orange.fr alors que l’Url est 0range.fr qui peut être un site de phishing.

Autres articles similaires sur ce site :

• Conseils et bonnes pratiques pour protéger ses données personnelles 
• Surveillance & vie privée