Comment savoir si un site web est sûr

Si un site web n’est pas sûr, vous risquez de révéler vos informations personnelles à chaque fois que le consulterez. Les cybercriminels déguisent souvent les pages frauduleuses pour les faire paraître dignes de confiance, facilitant ainsi le risque de tomber dans les pièges du phishing (hameçonnage) ou de télécharger des malwares (logiciels malveillants) par erreur.

Ce guide vous accompagnera en vous expliquant comment repérer les signes alertant d’un danger, comment vérifier les informations importantes sur le site, ainsi que comment utiliser des outils comme des outils de vérification de la sécurité des sites web, les recherches WHOIS et des services de protection en ligne.

Que vous alliez sur internet pour vous divertir ou que vous saisissiez des informations sensibles, ces étapes vous aideront à éviter les arnaques, les pièges du phishing et les malwares, ainsi qu’à avoir plus de contrôle sur votre sécurité en ligne.

Pourquoi est-il recommandé de vérifier la sécurité d’un site web avant de cliquer

Le fait de vérifier la sécurité d’un site web contribue à protéger vos données, votre vie privée et votre appareil. Les sites non sécurisés peuvent être vecteurs de malwares, d’arnaques par phishing ou de fausses offres destinées à vous tromper et vous inciter à divulguer des informations d’ordre personnel ou financier.

Les risques courants associés aux sites web non sécurisés

• Infections par des malwares : les sites peuvent installer des virus, des ransomware (rançongiciels) sur votre appareil à votre insu.
• Arnaques par phishing : des faux formulaires et de fausses pages de connexion peuvent vous duper et vous inciter à communiquer des mots de passe, des numéros de carte bancaire ou d’autres informations sensibles.
• Vols de données : les sites dangereux sont souvent dépourvus de chiffrement, permettant ainsi aux cybercriminels d’intercepter plus facilement ce que vous saisissez ou ce que vous importez.
• Détournement de navigateur : vous pourriez être redirigé(e) vers des pages suspectes, voir apparaître constamment des pop-ups ou constater un changement de votre page d’accueil.
• Fraude financière : les sites d’arnaque peuvent imiter des boutiques ou des services officiels afin de voler votre argent lors de fausses transactions.
• Vol d’identité : les informations que vous fournissez pourraient être utilisées pour usurper votre identité ou pour ouvrir des comptes en votre nom.
• Adwares (publiciels) et logiciels indésirables : certains sites imposent des téléchargements ou vous submergent de publicités malveillantes qui ralentissent votre appareil.

Quelques exemples concrets d’arnaques en ligne

Les arnaques en ligne revêtent plusieurs formes, et les sites frauduleux joue souvent un rôle central dans leur réussite. Les fausses pages de connexion PayPal en sont un exemple classique. Ces pages sont conçues de manière à ressembler en tous points à l’originale, et sont souvent accessibles via des liens contenus dans des e-mails de phishing qui vous avertissent d’une activité suspecte sur votre compte. Une fois que vous avez saisi vos informations de connexion, les cybercriminels interceptent instantanément vos identifiants.

Une autre stratégie consiste à créer de fausses versions de sites web entiers, y compris de leur nom de domaine. La recrudescence des plateformes d’IA, y compris ChatGPT, ciblées par les escrocs en est une parfaite illustration. Selon des rapports récents portant sur la cybersécurité, sur 25 noms de domaine nouvellement enregistrés qui s’apparentent à ChatGPT, un est faux et malveillant.

Ces sites promettent souvent un accès gratuit ou en avant-première à l’outil en question, mais ce qu’ils proposent en réalité, ce sont des malwares et des formulaires de phishing ou des incitations à installer des extensions de navigateur malveillantes. Étant donné qu’ils utilisent souvent des chartes graphiques et des URL ressemblantes convaincantes, il est facile de les confondre avec les sites officiels, en particulier lorsqu’ils apparaissent dans des contenus sponsorisés ou dans des résultats de recherche.

Dans le même ordre d’idée, pendant la pandémie de COVID‑19, il existait même de fausses versions des sites web des organismes de santé publique et des pouvoirs publics. Les escrocs les utilisaient pour collecter des informations personnelles sous prétexte de proposer une aide financière ou une inscription à la vaccination.

13 moyens de vérifier si un site web est sûr

Rester en sécurité sur Internet requiert de faire preuve de vigilance. Les outils de sécurité et les navigateurs modernes vous avertissent lorsqu’un site est dangereux ; par exemple, la navigation sécurisée de Google protège les utilisateurs en signalant les sites web identifiés comme étant dangereux. Mais même avec ces dispositifs de protection, les arnaques et les faux sites foisonnent, il est donc vivement conseillé de vérifier à deux fois avant de faire confiance à un site web.

1. Assurez-vous de l’utilisation du HTTPS et de certificats SSL

Vérifiez toujours si le symbole en forme de cadenas associé au HTTPS apparait dans la barre d’adresse. Le HTTPS signifie un chiffrement de la connexion qui rend vos données en transit impossibles à lire pour les personnes indiscrètes.

D’ailleurs, des navigateurs comme Chrome identifient explicitement les sites qui n’utilisent pas le HTTPS comme « Non sécurisés ». Un symbole en forme de cadenas ou le préfixe « https:// » indique que les données (comme des mots de passe ou des informations de carte bancaire) sont transmises de manière sécurisée.

N’allez pas pour autant considérer le HTTPS comme la preuve absolue de l’authenticité et de la fiabilité d’un site. L’usage du cryptage SSL s’est également désormais étendu à de nombreux sites frauduleux : une étude a révélé que 83% des pages de phishing disposent de certificats SSL valides.

2. Vérifiez bien l’URL (soyez attentif(-ve) au typosquatting (typosquattage))

Examinez soigneusement l’URL (adresse web) du site. Les cybercriminels enregistrent souvent des noms de domaine identiques à ceux des sites qu’ils tentent d’imiter à l’exception d’une lettre ou d’un caractère (une pratique appelée « typosquatting »). Par exemple, ils pourraient ajouter une lettre, comme dans « exaample.com » ou transformer un « i » majuscule en « i » minuscule. Ces domaines trompeurs sont volontairement similaires à ceux de leurs cibles.

Notez cependant que si vous voyez un site web avec une URL de type WWW2, cela ne veut pas dire pour autant que celui-ci est faux. Si vous arrivez sur une page WWW2, cela signifie généralement que le serveur principal du site est surchargé et que votre trafic a de ce fait était envoyé vers un deuxième serveur.

Examinez toujours l’URL. Soyez particulièrement vigilant(e) à des ruses subtiles : certains cybercriminels utilisent des homographes Unicode (des caractères issus d’autres alphabets qui semblent identiques) afin qu’une URL semble correcte tandis que l’ordinateur voit quant à lui quelque chose de différent. En cas de doute, ressaisissez manuellement le nom de domaine correct connu ou recherchez le nom officiel du site pour être sûr(e) de ne pas être sur un site frauduleux.

3. Utilisez des outils de vérification de la sécurité des sites web

Si vous avez des doutes, entrez l’URL dans un service d’évaluation de la réputation du domaine ou d’analyse de la sécurité. Ces outils (souvent proposés par des sociétés spécialisées dans la sécurité ou par des moteurs de recherche) regroupent des données provenant de listes noires de malwares et des moteurs de détection. Par exemple, la page d’état selon la navigation sécurisée de Google indiquera si un site est actuellement signalé comme dangereux ou comme ayant été compromis.

D’autres outils de vérification, comme VirusTotal, SSL Trust et URLscan effectuent une analyse afin de déterminer la présence de code malveillant connu ou de contenu de phishing. Ces outils ne détecteront pas 100 % des menaces, mais ils sont en mesure d’identifier rapidement des problèmes flagrants. S’ils identifient le site en question comme étant dangereux, ou si vous voyez une alerte indiquant un risque de phishing, mieux vaut éviter totalement d’aller sur celui-ci.

4. Vérifiez le nom de domaine grâce à WHOIS

L’outil de recherche WHOIS  peut être utilisé afin de vérifier les informations relatives à l’enregistrement d’un nom de domaine. Il permet de savoir quand le nom de domaine a été créé, qui l’a enregistré, ainsi que de connaître sa date d’expiration. Les entreprises de confiance ont généralement des noms de domaine bien établis, tandis que des noms récents peuvent être suspects. Les sites frauduleux ne restent pas en ligne longtemps, de ce fait, l’âge du domaine est un moyen rapide d’identifier un risque potentiel.

WHOIS permet également de connaître le nom et le pays du propriétaire du nom de domaine. Si ces informations ne correspondent pas à ce que prétend l’entreprise (comme une entreprise « américaine » avec un propriétaire étranger), c’est un signal d’alerte.

Si WHOIS affiche « Privacy Protected » ou des informations d’ordre générique, cela ne suffit pas en lui seul à être concluant (de nombreux domaines dignes de confiance utilisent la protection WHOIS par défaut), mais cela mérite d’être pris en compte au même titre que d’autres signaux d’alarme. Globalement, WHOIS aide à confirmer si le propriétaire du site est celui qui est indiqué et depuis combien de temps celui-ci est actif.

5. Consultez des avis d’utilisateur du site web et les actualités

Lisez les commentaires des utilisateurs à propos du site. Cherchez le nom du site, accompagné de termes comme « avis », « plaintes » ou « arnaque », sur Internet. Si le site est populaire, il peut exister des messages sur des forums et des articles de blog qui en parlent. Méfiez-vous si vous trouvez des mentions de piratage, de fraude ou de fuites de données. Une série de publications « alerte fraude » ou de commentaires négatifs systématiques constituent un signal d’alerte non négligeable.

Faites également attention à tout signalement de commandes non reçues, de téléchargements de malwares ou de vol de données personnelles. Les entreprises légitimes peuvent également avoir des avis négatifs, mais une tendance à accumuler des plaintes graves est un signe qui doit vous alerter.

À l’inverse, des commentaires élogieux sur le site lui-même pourraient être faux. Les escrocs fabriquent souvent de toutes pièces leurs propres témoignages. Il est vivement recommandé de lire des avis à la fois sur et hors du site en cherchant notamment des mentions de fraude ou de vol d’identité, ainsi que de consulter les actualités relatives à l’entreprise.

6. Vérifiez l’existence d’une politique de confidentialité et de pages légales

Les sites authentiques, notamment ceux qui gèrent des données personnelles ou des paiements, disposent généralement de politiques de confidentialité et de conditions d’utilisation claires, ainsi que d’autres pages légales. Ces documents expliquent la manière dont vos données sont collectées, utilisées, conservées et partagées. Dans de nombreux pays, conformément au RGPD européen, ces politiques sont obligatoires sur le plan légal. L’absence de politique de confidentialité, ou une politique de confidentialité excessivement succinte, peuvent être un signal d’alerte.

Les politiques viables emploient un langage clair et fournissent des détails précis quant à aux informations collectées et à la manière dont ces dernières sont protégées. Si un site est dénué d’une charte de confidentialité ou propose un texte vague et peu utile, il peut ne pas être digne de confiance.

7. Évitez les sites web avec des pop-ups ou avec des redirections en excès

Méfiez-vous des pop-ups agressives ou constantes. Si un site envahit votre écran avec des fenêtres que vous ne pouvez pas facilement fermer ou s’il ne cesse de vous rediriger vers des pages sans aucun rapport avec son contenu, cela indique généralement un comportement frauduleux. Les sites authentiques font rarement usage de pop-ups de manière excessive. Soyez particulièrement prudent(e) si une pop-up demande des informations personnelles ou financières, ou si elle vous incite à télécharger des logiciels en vous avertissant que votre appareil est menacé car ce sont des stratégies liées à des scareware (alarmiciels).

Évitez également les pop-ups faisant la publicité de produits sans rapport avec le site en question ou faisant la promotion d’offres incroyables. Les sites sûrs vous permettent de naviguer avec un minimum d’interruptions, de ce fait si vous voyez un nombre excessif d’annonces ou d’avertissements non sollicités, fermez immédiatement le site.

8. Analysez la conception et le langage

Observez l’apparence et la rédaction du site. Généralement, les entreprises professionnelles disposent de sites web soignés et cohérents. À l’inverse, les sites d’arnaques comportent souvent des erreurs révélatrices : une mise en page médiocre, des images basse résolution, des liens cassés, ainsi qu’un grand nombre de fautes d’orthographe et de formulations étranges. Par exemple, si vous êtes sur un site de commerce en ligne et que vous remarquez des phrases maladroites ou des fautes basiques, il s’agit d’un signe non négligeable que ce site pourrait être frauduleux.

Ces signaux d’alerte indiquent souvent une conception précipitée ou négligée, une pratique courante sur les sites frauduleux qui cherchent à sembler authentiques et fiables au premier abord. Faites confiance à vos yeux et à votre instinct, mais restez prudent(e) : avec l’IA, il est désormais plus facile que jamais pour les escrocs de créer de faux sites web.

9. Vérifiez les moyens de paiement et la sécurité du processus de commande

Les sites dignes de confiance font appel à des modes de paiement sécurisés réputés. Cet aspect est particulièrement important s’agissant des sites de commerce en ligne. Si une boutique semble suspecte ou fausse, partez immédiatement. Vérifiez que la page de paiement utilise le protocole HTTPS et qu’ils acceptent des modes de paiement réputés, comme les cartes bancaires, qui offrent souvent une protection pour les acheteurs.

Évitez les sites qui n’acceptent que des paiements via des modes difficiles à tracer, comme les virements bancaires, la cryptomonnaie ou des cartes cadeaux, car ces types d’opérations sont la plupart du temps irréversibles. Les experts financiers recommandent d’utiliser des cartes bancaires ou des services de paiements dotés d’une protection contre la fraude. Si le seul moyen de paiement accepté sur un site est intraçable, il s’agit d’un signal d’alerte clair.

Si vous arrivez sur un site suspect, vérifiez si celui-ci est mentionnéz dans cette liste des 25 faux sites de commerce en ligne. Même si ce n’est pas le cas, restez prudent(e) car les stratégies en termes d’arnaque changent constamment.

10. Vérifiez les informations et les coordonnées de l’entreprise

Vérifiez que le site s’identifie clairement. Les sites légitimes fournissent des informations concrètes telles qu’un nom d’entreprise, une adresse physique et un numéro de téléphone. Cherchez la présence d’une page « À propos de nous » ou des coordonnées au bas des pages. Une absence de coordonnées ou des coordonnées incomplètes constituent un signal d’alerte.

Idéalement, le site mentionnera une adresse physique (pas uniquement une boîte postale), un numéro de téléphone et une adresse e-mail et / ou un chat en direct et / ou un formulaire de contact sera / seront disponible(s). Vérifiez ces éléments de manière indépendante ; si l’adresse ou le numéro de téléphone ne correspondent pas ou désignent des entreprises sans aucun lien, c’est suspect.

11. Utilisez les outils de sécurité intégrés de votre navigateur

Les navigateurs modernes disposent de protections intégrées, comme la navigation sécurisée de Google dans Chrome, qui détectent les sites malveillants. Lorsque vous essayez de consulter un site signalé comme tel, le navigateur affichera des avertissements comme « Site trompeur » ou « Votre connexion n’est pas privée » et bloquera souvent l’accès à celui-ci.

Faites en sorte que votre navigateur soit toujours à jour afin de vous assurer que ces protections utilisent les données les plus récentes. Activez également le dispositif de blocage des pop-ups et désactivez les redirections indésirables pour plus de sécurité.

12. Méfiez-vous des badges « de confiance » (fausses icônes)

De nombreux sites affichent des icônes comme des cadenas SSL, « Paiement sécurisé » ou des badges de sécurité, mais ils sont tous faciles à copier ou à imiter. Ne faites pas confiance à un badge à moins que vous n’ayez vérifié son authenticité. Ceux qui sont authentiques sont généralement cliquables et renvoient à l’organisation chargée de la certification. Si les badges ne sont pas cliquables, s’ils ne mènent nulle part ou si leur image est d’une qualité médiocre, méfiez-vous.

13. Installez des outils de protection web en temps réel

Des outils de protection web comme la Protection avancée d’ExpressVPN peuvent bloquer les sites malveillants connus afin de vous protéger des logiciels espion (spyware) et des domaines de phishing. La fonctionnalité « Protection avancée » empêche également les applications et les sites web sur votre appareil de contacter des tiers réputés pour des activités de suivi ou dangereuses.

Il serait également judicieux d’investir dans un bon antivirus avec une protection en temps réel afin d’être mieux protégé(e) contre les téléchargements de malwares. Pour rester en sécurité, maintenez votre antivirus à jour et procédez régulièrement à des analyses de votre système.

Une protection active peut également bloquer les drive-by downloads (téléchargements furtifs) ou les attaques de phishing qui peuvent échapper à vos vérifications initiales. Pour faire simple, le fait d’utiliser des défenses à plusieurs couches réduit de manière significative le risque de consulter des sites web dangereux.

Comment réagir si vous pensez qu’un site web n’est pas sûr

La prévention est la meilleure des défenses. Si vous n’avez pas encore été confronté(e) à un site web dangereux, cela vaut la peine d’apprendre les bonnes pratiques en matière de navigation sûre (ce guide vous apporte des conseils pratiques afin de vous aider à rester en sécurité). Mais si vous êtes déjà arrivé(e) sur un site suspect, les étapes ci-dessous peuvent vous aider à réagir et à minimiser les risques potentiels.

Les étapes pour quitter un site en toute sécurité

Si vous êtes arrivé(e) accidentellement sur un site web suspect, suivez les étapes ci-dessous pour quitter celui-ci sans exposer votre système à davantage de risques :

1. Coupez votre connexion Internet : déconnectez votre appareil d’Internet en désactivant le Wi-Fi ou en débranchant le câble Ethernet. Cela empêchera le site de charger plus de contenu nuisible ou d’envoyer vos données pendant que vous le fermez en toute sécurité.
   
2. Fermez immédiatement l’onglet : ne cliquez pas sur des boutons ou des pop-ups, même s’ils contiennent le mot « Fermer » ou « Annuler. » Il peut s’agir de dispositifs déguisés visant à déclencher des téléchargements ou une redirection vers un contenu plus malveillant.
   
3. Forcez la fermeture de votre navigateur : si le site bloque votre écran ou qu’il fait constamment apparaître des alertes, forcez la fermeture de votre navigateur pour y mettre un terme. Sous Windows, appuyez sur Ctrl + Alt + Esc afin d’ouvrir le Task Manager (Gestionnaire des tâches), puis mettez fin à la tâche concernée. Sur un Mac, appuyez sur Command + Option + Esc, sélectionnez le navigateur, puis cliquez sur Force Quit (Forcer à quitter). Cela fermera immédiatement la session et bloquera tout accès à la page malveillante.
   
4. Évitez d’utiliser l’option de restauration des onglets : lorsque vous rouvrez votre navigateur, celui-ci peut vous demander si vous souhaitez restaurer votre dernière session. Choisissez « Annuler » car cela pourrait entraîner le rechargement du site dangereux que vous venez de quitter et vous exposer à nouveau aux mêmes risques.
   
5. Videz le cache et les cookies de votre navigateur : ils peuvent contenir des scripts de suivi ou des données de session laissés par le site. Le fait de les effacer permet de couper les connexions persistantes et de mieux protéger votre vie privée après avoir consulté une page dangereuse.
   

Après avoir quitté la page avec succès, pensez à lancer une analyse antivirus afin de détecter la présence d’éventuels malwares. Même une brève exposition à une page malveillante peut déclencher des téléchargements en arrière-plan, par conséquent procéder à une analyse de votre système peut aider à identifier et à supprimer rapidement toute menace potentielle.

Comment signaler un site malveillant

Signaler les sites web malveillants aide à protéger les autres et contribue à un effort plus vaste visant à mettre un terme aux arnaques et aux malwares. Vous pouvez commencer par utiliser les outils de signalement intégrés de votre navigateur ; la plupart des plus réputés proposent cette fonctionnalité. Dans Chrome, par exemple, cliquez sur les trois points (⋮), puis allez dans Help (Aide) et sélectionnez Report an issue (Signaler un problème).

Vous pouvez également signaler des sites malveillants à votre fournisseur d’antivirus, notamment si votre logiciel de sécurité n’a pas détecté la menace. Pour obtenir des étapes plus détaillées, consultez ce guide expliquant comment signaler un site web et aider à rendre Internet plus sûr pour tout le monde.

Protéger votre appareil et vos données après une exposition

Si vous pensez avoir consulté un site web dangereux ou, pire encore, avoir saisi des informations personnelles ou téléchargé un fichier, agissez rapidement :

• Effectuez une analyse antivirus et anti-malware complète : utilisez des logiciels de sécurité fiables afin de vérifier toute présence potentielle de malwares, de logiciels espions ou de keyloggers (enregistreurs de touches).
• Changez immédiatement vos mots de passe : commencez par tous les comptes auxquels vous pouvez avoir accédé pendant que le site était ouvert (adresse e-mail, banque, ainsi que tout identifiant réutilisé).
• Activez l’authentification à deux facteurs (2FA) : utilisez ce dispositif à chaque fois que vous en avez la possibilité afin d’empêcher tout accès non autorisé à des comptes importants.
• Surveillez vos comptes et vos relevés bancaires : vérifiez la présence de débits suspects, en particulier si vous avez saisi des informations de paiement.
• Vérifiez les extensions de votre navigateur : certains sites dangereux peuvent essayer de vous tromper et de vous inciter à installer des modules complémentaires malveillants. Supprimez tout ce qui ne vous semble pas familier.

En outre, si vous avez saisi des informations personnelles, pensez à mettre en place une alerte de fraude ou un gel de crédit par l’intermédiaire d’un bureau de crédit afin de prévenir tout risque de vol d’identité. Même s’il ne se passe rien de mal tout de suite, mieux vaut prendre ces précautions. Certaines tentatives d’attaques de malwares ou de phishing peuvent être à retardement, rester proactif(-ve) aide donc à limiter le risque à long terme.