Dans mon cercle d’amis, je suis de facto l’expert en sécurité/informatique. C’est pourquoi, la semaine dernière, l'une de mes amies m'a appelé pour savoir comment réagir au message ci-dessous qu’elle rencontrait pour la première fois. Comme vous pouvez le voir, ce message d’avertissement indique que la sécurité du site est peut-être compromise du fait d'un certificat SSL expiré.
D’emblée, j’ai dit à mon amie de n’accéder à ce site sous aucun prétexte. En cas de doute, il est préférable de se rendre sur un autre site Web, d’aller au magasin ou de le contacter par téléphone ou par e-mail. Mais, quoiqu'il arrive, n’accédez pas au site Web en question. La réponse de mon amie m’a quelque peu surpris… lorsqu’elle a demandé des explications via Twitter, un représentant du site lui a affirmé que « cet avertissement n’avait rien d’inquiétant ». Je suis resté bouche bée. On ne peut donner plus mauvais conseil ! Qu’est-ce qui pourrait donc bien pousser un site de confiance à faire de telles déclarations ?
Raison n° 1 : le site ne veut perdre aucun client.
Raison n° 2 : les propriétaires du site ne saisissent pas les principes fondamentaux de la confiance client.
Raison n° 3 : ils ignorent toute l’ampleur des conséquences de tels conseils.
Par défaut, j’optai pour la troisième et rappelai à l’ordre les propriétaires du site en question. Puis, je me mis à examiner le problème de ce site pour découvrir ce qui s’était produit. Il s'agissait en réalité d'une négligence de l'équipe chargée du site d'e-commerce. Prise au dépourvu par l’expiration inattendue d’un des certificats, elle tentait de minimiser l'impact de son oubli. Toutefois, conseiller aux clients d’ignorer les messages d’avertissement va à l’encontre du bon sens. Dans ce cas, pourquoi ne pas aussi les laisser répondre aux e-mails leur demandant leur numéro de carte bancaire et leur adresse postale ? Soyons sérieux… D’autant que le site pourrait très bien être infecté par malware. Nous savons en effet que 61 % des sites infectés sont des sites Web légitimes compromis par du code malveillant. Les sites Web des entreprises, de même que les cybermarchands et les sites spécialisés dans les technologies, figuraient dans le Top 5 des sites les plus infectés en 2012 (source : Symantec ISTR 2013 (en anglais)). Or, l'antivirus de mon PC a bloqué ce site – selon ses propriétaires, devrais-je aussi ignorer cet avertissement ?
Certes, il s’agit là d’un cas extrême. Mais, à mon avis, le fait de conseiller aux internautes d'ignorer les avertissements de sécurité relève d’une très mauvaise pratique. En aucun cas les sites marchands ne devraient inciter leurs clients à passer outre de telles alertes conçues pour leur protection, au risque d'une érosion de la confiance en ligne.
Pour conclure, voici ce que je recommanderais aux internautes en général, et à mon amie en particulier : plaignez-vous et n’y allez pas de main morte ! Chat en direct, standards téléphoniques, médias sociaux… vous avez l’embarras du choix ! Alors, ne laissez pas s'en tirer à si bon compte ceux qui abusent de votre confiance au risque de compromettre votre sécurité. Exigez des sites qu’ils vous offrent des garanties, à commencer par une marque de confiance comme le sceau Norton Secured, témoin visuel d’une analyse anti-malware régulière du site visité. Faites-leur savoir que vous n’allez pas faire affaire avec eux tant que votre navigateur remet en question leur dispositif de sécurité. Les consommateurs représentent un groupe de pressions important. Si nous exprimons notre mécontentement et boycottons ces sites, ils n’auront pas d’autre choix que de réagir. Bien entendu, nous sommes nombreux à fermer la fenêtre de notre navigateur en cas de message d’avertissement. Mais les plus hésitants d’entre nous sont tout à fait prêts à ignorer ces alertes et à suivre des recommandations de mauvaise foi.
En incitant sans cesse les internautes à ignorer les avertissements, nous courons le risque de dévaloriser les notions de confiance et de sécurité en ligne. Or, au vu de l’extraordinaire potentiel de l’économie du Net (article en anglais), pourquoi prendre un tel risque ? Les éditeurs de solutions de sécurité s'efforcent d’intégrer des dispositifs d'alerte et de protection aux outils de transactions en ligne. Aucun acteur de ce secteur ne devrait recommander d'ignorer un avertissement. Un site d’e-commerce adoptant cette attitude ne mérite pas la confiance de ses clients. Et une fois cette confiance perdue, il est quasiment impossible de la regagner. Au final, tout le monde y perd.