Danilo Labovic, bonjour. VeriSign et Yougov publient un sondage sur l'usurpation d'identité numérique, avec un chiffre fort : 10% des Français ont été victimes de ce type de fraude au cours des douze derniers mois. C'est une communication un peu anxyogène ?
Danilo Labovic - Ce n'est pas un sondage unique destiné à faire du bruit. Il s'agit d'un nouveau service de VeriSign, qui devrait sortir tous les six mois. Il est destiné à mettre en place un baromètre de la fraude en ligne, pour étudier notamment les différences en Europe. Les chiffres sont importants, et c'est vrai qu'avec 10% de gens qui ont été victimes, la France est dans le haut du classement européen. Mais certains pays sont au-delà. Le Royaume-Uni, qui a un marché très actif, et l'un des plus importants pour VeriSign, est à 11% de victimes sur les douze derniers mois. L'Allemagne est à 15%, l'Italie à 9%. Mais c'est vrai que les pays du nord de l'Europe connaissent moins ce problème, comme la Suède et ses 3%.
Il s'agit beaucoup d'une question de pédagogie. On voit que la question progresse dans la conscience des gens : 84% des personnes interrogées en France affirment n'acheter que sur les sites aux paramètres de sécurité renforcés. Pourtant, comment les détecter ? Une étude réalisée sur des étudiants de Harvard et Berkeley a montré qu'entre un site réel et un site de phishing, 90% se sont trompés. Pourtant, ces étudiants devraient avoir une compréhension du web supérieure à la moyenne. D'où l'intérêt de développer des outils comme le certificat SSL.
Le certificat SSL n'est tout de même pas fiable à 100% ?
Non, en effet. On a pu trouver 450 sites de phishing qui utilisaient un certificat SSL. Dans ce cas précis, ça induit en erreur. C'est pour ça que nous avons développé l'Extended Validation Certificate (EV, un certificat de validation étendu). L'idée est d'avoir un standard commun pour plusieurs agences de certification. Il requiert plus de contrôles de la part des organismes de certification, qui doivent par exemple vérifier auprès du département RH d'une entreprise qu'une personne enregistrant un nom de domaine dédié est bien employée chez elle. La méthode est plus forte, et plus visuelle aussi. L'EV est bien intégrée sur plusieurs navigateurs. Elle colore une partie de la barre d'adresse en vert, une couleur qui véhicule une image rassurante. Un clic sur le certificat permet d'afficher les données relatives au propriétaire du site et à l'autorité d'authentification. Nous nous sommes rendus compte que les gens qui voyaient cette barre colorée finalisaient plus facilement un acte d'achat. Une autre étude a prouvé que sur 400 personnes qui avaient vu un site marchand avec le certificat vert, 77% hésitaient à acheter sur ce même site si l'EV disparaît.
C'est un moyen simple, mais efficace, pour lutter contre le phishing, cause principale de la fraude en ligne. Les chiffres ne baissent pas suffisamment pour autant. En avril 2007, on recensait 55 633 cas de phishing. En juin 2009, il y en avait encore 49 000. Mais les technologies sont là, et il faut aussi que les commerçants prennent leurs responsabilités, et informent leurs clients sur les périls de la vie en ligne.
Ce n'est pas le cas ?
Pas toujours : beaucoup de banques françaises n'utilisent pas les doubles certifications sur leurs sites web. Le problème, c'est qu'on a souvent affaire à des techniciens qui n'ont pas une réelle connaissance des effets des certificats. Ce sont des outils importants pour les banques pourtant, il y a là un problème de compréhension. Ils pensent évidemment au SSL comme un bon moyen en cas de problème, mais ne le voient pas vraiment comme un moyen de prévenir. L'adoption est plus forte aux Etats-Unis ou au Royaume-Uni que dans les pays du sud de l'Europe. En Italie par exemple, je me rends compte qu'on attend toujours qu'il y ait un problème pour intervenir. Mais ça a un effet désastreux pour l'image des commerçants ou des banques. Avec VeriSign, nous apportons un vrai plus en terme de solutions, mais aussi d'image. Car nous avons une longévité et une expérience importantes. Les gens sont souvent rassurés de voir notre certificat, ou notre sceau, sur un site. Ca renforce du même coup l'image de sérieux du commerçant en ligne.
L'image de VeriSign ne plait pas toujours, pour autant... L'affaire des redirections de pages ne vous a pas fait de bien*.
Je crois que c'est du passé. L'histoire des redirections de pages était un incident isolé. Nous en avons pris note, et nous avons résolu le problème. Cela dit, nous gérons les infrastructures pour 50 milliards de pages. Nous sommes obligés d'innover constamment. Récemment, nous avons mis en place le projet Titan pour moderniser nos DNS. Nous virtualisons les serveurs root dans différentes régions du monde (Europe, Asie, Amérique Latine) pour faciliter le trafic sur les .net et .com et renforcer les infrastructures.
Danilo Labovic, je vous remercie.
(*)VeriSign est responsable de la gestion des bases de données qui déterminent l'interprétation des TLD .net et .com, et avait mis en place un système en 2003 pour récupérer le trafic de sites web lorsque l'internaute entrait une mauvaise adresse.