Barbara Gui (VeriSign France): « Le certificat SSL fait sa révolution en 2007 »

Difficile de coller une étiquette unique à VeriSign. Le groupe américain, pionnier de l’Internet, est réputé pour ses activités de supervision de la gestion du nom de domaine du .com. Mais ce n’est qu’une facette de ses activités.

Il propose également diverses solutions pour la sécurisation du commerce électronique, l’authentification en ligne des entreprise et le cryptage de données. Avec le lancement d’Internet Explorer 7, VeriSign lance une nouvelle génération de certificats SSL.

Barbara Bui, directrice de VeriSign France, fait le point sur un produit largement diffusé pour garantir la sécurité des transactions en ligne. (Interview réalisée le 23 novembre 2006)

Vnunet.fr : Comment évoluent les activités de VeriSign en France ?
Barbara Gui : Nous assurons une présence en France depuis 10 ans avec notre produit phare en matière de sécurisation des sites : SSL. Nous avons des clients historiques comme les grandes banques françaises, les sociétés de commerce électronique comme Fnac.com mais aussi les caisses d’assurance maladie. En 2003, VeriSign a décidé de se lancer directement à l’attaque de ce marché avec un départ effectif début 2004 : SSL demeurait l’outil le plus mis en avant puis nous avons développé l’aspect authentification forte avec une dimension PKI.

De quels moyens disposez-vous pour prospecter sur le marché français ?
Nous sommes une équipe de cinq personnes. Le site Verisign.fr s’est considérablement enrichi. Depuis le mois de juillet, nous avons commencé à mettre en place des partenariats avec des intégrateurs français reconnus sur la place. Les discussions continuent sur la manière d’avancer. Nous pensons que nous serons encore plus actifs en 2007.

Comment évolue le produit SSL avec le nouveau navigateur Internet Explorer 7 ?
Historiquement, depuis la mise à disposition de SSL auprès des entreprises en 1995, la technologie n’a pas véritablement changé. C’est un standard ouvert (X509V3 est le format de base pour un certificat SSL). VeriSign a été le premier distributeur de certificats SSL et reste le chef de file dans ce domaine. A l’origine, la technologie a été développée par Netscape. Le SSL est délivré par des autorités de certification (tiers de confiance). Maintenant, nous assistons à une véritable révolution avec une nouvelle génération de certificat SSL baptisée SSL Extended Validation. Celle-ci est destinée à lutter contre les nouvelles formes de menaces de sécurité sur Internet comme le phishing.

Comment cela se concrétise du côté de l’internaute ?
Actuellement, les sites sécurisés peuvent être repérés de différentes manières. Par exemple, un site donné a choisi d’afficher un sceau comme le VeriSign Secured Sign Seal. L’utilisateur a juste à cliquer sur le logo pour vérifier. Si vous êtes particulièrement vigilant, il est également possible de constater la mention https (s pour secured) sur la barre d’adresse de votre navigateur qui indique que vous passez dans un espace sécurisé. Encore plus connu, il existe le système du petit cadenas visible en bas à droite du navigateur. Mais, quelque part, cela demande encore un effort de l’utilisateur pour prendre conscience qu’il surfe dans un espace sécurisé.

Comment apparaît cette « révolution SSL » ?
Le coeur du changement porte sur la validation renforcée pour le SSL avec IE7 et une gestion du certificat et de l’autorité de certification complètement différente et immédiatement perceptible par l’utilisateur. Nous n’avons pas encore commencé à distribuer les nouveaux certificats. Depuis début décembre, lorsqu’un internaute arrive sur une page sécurisée avec un certificat SSL Extended Validation, il trouvera en haut de la barre du navigateur IE7 un feu vert, symbole de la sécurité et de la confiance. Si vous tombez sur un site de phishing (un site leurre destiné à piéger les internautes pour récupérer ses données confidentielles), le signal devient rouge. Sur le volet de l’authentification du site Web, IE7 comprendra une fenêtre additionnelle qui permettra d’afficher toutes les cinq ou six secondes le nom de l’organisation propriétaire du site Web qui va alterner avec le nom de l’autorité de certification qui aura authentifié l’organisation ou le nom de domaine pour lequel le certificat a été délivré.

Que se passe-t-il si je veux entrer en force sur un « site feu rouge  » ?
Avec IE7, l’internaute sera bloqué. Il ne pourra pas aller plus loin. L’objectif est de limiter les capacités de nuisance des pirates sur Internet.

Que se passe-t-il pour les utilisateurs de Firefox ?
Il existe également un système de signal d’alerte mais les couleurs sont différentes. Mais cela va changer. Le dispositif des couleurs sera harmonisé à moyen terme.

Ce qui veut dire que tous les sites Internet disposant d’un ancien certificat SSL, comme Fnac.com, devront procéder à un renouvellement ?
S’ils le souhaitent naturellement. C’est vivement recommandé mais cela reste un choix du site e-commerce. Mais je pense qu’ils ne réfléchiront pas trop longtemps. Par exemple, pour le cas des services de banque en ligne, l’objectif est de rassurer un maximum les clients finaux mais aussi de prouver l’implication de l’établissement en matière de sécurité sur Internet.

Combien ça coûte un renouvellement d’un certificat SSL pour un site marchand ?
Le tarif sera un peu plus cher, de l’ordre de 30%. Nous commercialisons deux types de certificats actuellement : Secure Site qui garantit un chiffrement à 40 bits et Secure Site Pro à 128 bits. On peut atteindre 256 bits mais tout dépend si le navigateur ou le serveur supporte ce niveau.

Pour VeriSign, l’année 2007 sera donc celle du renouvellement du parc des certificats délivrés ?
Il vaudrait mieux parler de migration. Et il ne faut pas oublier l’effet immédiat généré : un gain en capital confiance des visiteurs d’un site Internet donné.

Combien de certificats SSL avez-vous distribué dans le monde ?
Nous recensons 700 000 certificats « actifs » dans le monde, tous secteurs confondus. Sachant qu’un certificat peut être déployée sous forme de licences, par conséquent, il peut couvrir plusieurs services en ligne.