Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.Basic Security mesure et publie toutes les mesures relatives à la sécurité en ligne qu’il est responsable de publier, plus d’informations à ce sujet dans la politique de publication. Nous utilisons également les considérations de notre code de conduite pour déterminer quelles mesures sont ajoutées.
Cet article dresse la liste des mesures effectuées dans le cadre des différentes techniques. Vous trouverez une liste complète de ces mesures, avec les références, sous la rubrique « aperçu de toutes les mesures ».
Cette politique de mesure est en constante évolution et répond aux nouveaux développements. Il existe un certain nombre d’exceptions à cette politique de mesure, qui sont décrites dans les exceptions à la politique de mesure.
Veuillez lire notre clause de non-responsabilité avant d’utiliser les données de mesure. Si vous avez des questions, veuillez contacter info@internetcleanup.foundation.
Cet article stipule que
- Informations sur l’actualité des mesures
- Comment les mesures sont évaluées de manière plus rigoureuse au fil du temps (feuille de route)
- Une vue d’ensemble de toutes les mesures individuelles
- Comprend des liens vers la documentation et les outils de test
Opportunité des mesures
Les mesures sont effectuées quotidiennement ou hebdomadairement, en fonction de leur complexité et de leur intensité. Une mesure d’inventaire unique est effectuée une fois tous les six mois parce qu’elle est bruyante ; la mesure répétée de cette mesure a lieu une fois par semaine.
En raison de la fréquence des mesures, les données contenues dans les rapports ne remontent généralement pas à plus d’une semaine. Si c’est le cas, c’est qu’il se passe quelque chose de particulier. Nous travaillons toujours sur la fonctionnalité qui permet aux mesures de plus de deux mois de ne jamais apparaître dans les rapports, et de réduire cette durée à un mois au maximum.
Vous pouvez toujours voir l’ancienneté d’une mesure dans le rapport détaillé. Elle est indiquée en bas de chaque mesure. Ainsi, dans l’exemple ci-dessous, vous pouvez voir que la mesure est la même depuis 22 jours et que la dernière mesure a eu lieu il y a 1 jour.
En outre, chaque carte indique la qualité des données de la carte. Cette vue d’ensemble montre quelles mesures sont prises et combien d’entre elles sont à jour / obsolètes. Dans cet aperçu, les mesures datant de plus de 7 jours sont considérées comme obsolètes. Vous pouvez également le constater dans l’exemple ci-dessous.
La qualité des données est indiquée sous la balle dans le coin supérieur gauche de la carte. Cette balle se colore en fonction de la qualité. Si elle est orange ou rouge, quelque chose ne va pas. En général, elle se trouve sur un point vert. Si tout est à jour, il y a un arc-en-ciel.
Feuille de route pour le renforcement des mesures
Au fil du temps, la surveillance sera plus stricte. Par exemple, certains résultats sont actuellement verts ou orange, mais deviendront rouges à l’avenir.
Une nouvelle lecture est souvent présentée comme étant orange ou verte afin que les gens puissent s’y habituer et agir avant qu’elle ne devienne rouge.
La feuille de route à cet égard est encore fragmentée et n’est pas établie. Lorsque des mesures individuelles sont introduites, elles sont souvent mentionnées. Ces informations sont encore en cours de collecte.
Aperçu de toutes les mesures
Vous trouverez ici un aperçu de toutes les mesures, évaluations, documentations et outils permettant de vous évaluer. Lorsque tous ces éléments sont appliqués correctement, l’organisation est placée en vert sur la carte.
Si une organisation surveille ses services en ligne et les réduit au minimum, il n’est pas trop difficile de passer à l’orange, voire au vert.
Nom de domaine sécurisé (DNSSEC)
- Objectif : fournir une certitude quant au nom de domaine et au contenu du site.
- Cote la plus lourde : Rouge
- Mesuré avec : dnssec.pl tool
- Documentation : internet.co.uk, OpenCRE, Wikipedia
- Vérifiable sur : Zonemaster, internet.co.uk, verisign labs, DNS Visualizer
Meer documentatie
# level: url
dnssecTLS sur le site web (HTTPS)
- Objectif : appliquer le cryptage : la visite d’un site web est confidentielle et intègre. Vérifier que la confiance est de mise et qu’il n’y a pas de vulnérabilités dans le cryptage.
- Cote la plus lourde :Rouge
- Mesuré avec : Qualys SSL Labs
- Documentation : Paramètres TLS, Wikipedia, Digital Government Act
- A mesurer sur : SSL Labs
Meer documentatie
# level: endpoint
tls_qualys_encryption_quality
tls_qualys_certificate_trustedSite non crypté (HTTPS)
- Objectif : application du cryptage, comme TLS sur le site web
- Cote la plus lourde :Rouge
- Mesuré avec : propre scanner
- Documentation : Paramètres TLS, Wikipedia, Digital Government Act
- À mesurer sur : SSL Labs, internet.co.uk
Meer documentatie
# level: endpoint
plain_httpTransfert de fichiers (FTP)
- Objet : application du cryptage
- Cote la plus lourde :Rouge
- Mesuré avec : propre scanner
- Documentation : Wikipédia
- Contrôlable à l’adresse suivante : ftptest.net
Meer documentatie
# level: endpoint
ftpInformations sur la version du logiciel (bannières)
- Objectif : supprimer les informations relatives à la version car elles ne sont utiles qu’aux attaquants
- Cote la plus lourde :Rouge
- Mesuré avec : nmap
- Documentation : Wikipedia, nmap
- Rechercher : ipvoid
Meer documentatie
# level: endpoint
bannergrab
bannnergrab_product_name (unpublished)
bannnergrab_product_version (unpublished)
bannnergrab_product_info (unpublished)
bannnergrab_product_cpe (unpublished)Sécurité du courrier électronique (STARTTLS, DMARC, DKIM, SPF)
- Objectif : garantir l’intégrité et la confidentialité du courrier électronique
- Cote la plus lourde :Rouge
- Mesuré par : internet.co.uk
- Documentation : Wikipedia (STARTTLS), Wikipedia (DKIM), Wikipedia (DMARC), Wikipedia (SPF)
- Vérifiable sur : internet.co.uk, dmarcian, mxtoolbox, parmi d’autres
Meer documentatie
# level: endpoint
internet_nl_mail_auth_dmarc_exist
internet_nl_mail_auth_dkim_exist
internet_nl_mail_starttls_tls_available (unpublished)Portails de connexion
- Objectif : ne pas fournir de fonctionnalités globales et publiques destinées à un petit groupe de personnes, en particulier pour protéger les fonctionnalités de l’administrateur.
- Cote la plus lourde : Rouge
- Mesuré avec : Noyaux
- Documentation : Wikipédia
- A mesurer sur o.a. : vérifiez les liens dans les résultats. Y a-t-il un portail de connexion ici ? Dans ce cas, le résultat est toujours valable. Ces portails se trouvent sur une page spéciale appelée Login Plaza.
Meer documentatie
# level: endpoint
# Only reachable via the login plaza JSON call at the moment. Will be published in the report at a later time.Traçage de cookies sans consentement
- Objectif : les cookies de suivi ne devraient jamais être installés sans autorisation. En rendant cela transparent, les créateurs de sites web peuvent supprimer ces cookies.
- Cote la plus élevée : Orange, rouge à partir de janvier 2024.
- Mesuré avec : Scanner propre obv.
- Documentation : à déterminer
- A mesurer à : tbd
Aperçu des biscuits de traçage mesurés
Nous mesurons les biscuits de suivi ci-dessous. Il s’agit de biscuits suiveurs dont le fournisseur indique qu’ils sont placés à des fins de marketing. Ces biscuits suiveurs sont de loin les biscuits suiveurs les plus fréquemment placés selon notre enquête de novembre 2023.
| Biscuit | Fournisseur | Documentation selon le fournisseur |
| _fbp | ClickID | |
| _gcl_aw | Annonces Google | Sécurité.Google |
| __gpi | Annonces Google | Sécurité.Google |
| _gcl_au | Annonces Google | Sécurité.Google |
| NID | Annonces Google | Sécurité.Google |
| IDE | Annonces Google | Sécurité.Google |
| VISITOR_INFO1_LIVE | Google YouTube | Sécurité.Google |
| li_sugr | Tableau des cookies | |
| Histoire de l’utilisateur | Tableau des cookies | |
| _ttp | TikTok | Politique de cookies |
Meer documentatie
# level: endpoint
web_privacy_cookie_products_no_consentPropriétaire de l’adresse internet (WHOIS)
- Objectif : mettre de l’ordre dans l’administration du domaine. Une personne extérieure peut vérifier que le site appartient à la bonne organisation au sein de la SIDN.
- Cote la plus lourde : Orange
- Mesuré avec : propre scanner
- Documentation : SIDN, Wikipedia, OpenCRE
- Contrôlable sur : SIDN
Meer documentatie
# level: url
whois_domain_ownershipConnexion sécurisée conformément aux exigences du NCSC-NL (TLS)
- Objet : Application du chiffrement, mesure des exigences légales
- Cote la plus lourde :Orange
- Mesuré par : internet.co.uk
- Documentation : Loi, Interprétation de la loi, Exigences techniques
- À mesurer sur, par exemple : internet.co.uk
Meer documentatie
# level: endpoint
internet_nl_web_tlsSécurité.txt
- Objectif : pouvoir recevoir des notifications concernant des vulnérabilités graves en ligne.
- Cote la plus lourde :Orange
- Mesuré par : internet.co.uk
- Documentation : internet.co.uk, Wikipedia, securitytxt.org
- À mesurer sur, par exemple : internet.co.uk
Meer documentatie
# level: endpoint
internet_nl_wsm_web_appsecpriv_securitytxtRoutage de confiance du trafic internet (RPKI)
- Objectif : garantir que le trafic internet emprunte le bon chemin
- Cote la plus lourde :Orange
- Mesuré par : internet.co.uk
- Documentation : Wikipédia
- Vérifiable à l’adresse suivante : internet.co.uk, ripe
Meer documentatie
# level: endpoint
internet_nl_web_rpki_existsEn-tête HSTS
- Objectif : imposer le cryptage sur les sites web tant que les navigateurs ne le font pas
- Cote la plus lourde :Orange
- Mesuré avec : propre scanner
- Documentation : MDN, Wikipedia, Digital Government Act
- À vérifier sur : securityheaders.com, internet.co.uk, entre autres
- Notez que l’option includesubdomains and preload est ignorée, au cas où le preload ne serait pas mis à jour et qu’un visiteur arriverait sur un sous-domaine sans en-tête HSTS.
Meer documentatie
# level: endpoint
http_security_header_strict_transport_securityLa visite du site respecte la vie privée
- Objectif : Confidentialité d’une visite, afin qu’aucune publicité ne vous soit adressée après une visite.
- Cote la plus lourde :Orange
- Mesuré avec : propre scanner
- Documentation : Brochure sur la création de sites respectueux de la vie privée, Disconnect.me, Google Analytics ban
- À mesurer sur : Webkoll, Privacycore.org
Meer documentatie
# level: endpoint
web_privacy_third_party_requests
web_privacy_trackingServices redondants (portes ouvertes)
- Objectif : minimiser les services en ligne. L’internet public ne doit contenir que les services qui doivent être accessibles à tous dans le monde entier.
- Cote la plus lourde :Orange
- Mesuré avec : Nmap
- Documentation : Wikipedia (portes ouvertes)
- Rechercher : ipvoid
Meer documentatie
# level: endpoint
portsSTARTTLS Présence (e-mail)
- Objectif : pouvoir envoyer du courrier électronique crypté au serveur de messagerie en tant qu’expéditeur.
- Cote la plus lourde :Orange
- Mesuré par : internet.co.uk
- Documentation : internet.co.uk
- À mesurer sur, par exemple : internet.co.uk
Meer documentatie
# level: endpoint
internet_nl_mail_starttls_tls_availableCryptage des courriels conformément aux exigences du NCSC
- Objectif : pouvoir envoyer du courrier électronique crypté au serveur de messagerie en tant qu’expéditeur.
- Cote la plus lourde :Orange
- Mesuré par : internet.co.uk
- Documentation : internet.co.uk
- À mesurer sur, par exemple : internet.co.uk
Meer documentatie
# level: endpoint
internet_nl_mail_dashboard_tlsLocalisation du serveur (géolocalisation IP)
- Objet : Traitement des données aux Pays-Bas et dans l’Union européenne, mesure des exigences légales. Veiller à ce que tous les services se trouvent sur leur propre territoire (légal).
- Cote la plus élevée :Vert (pendant la période d’introduction),orange après octobre 2023
- Mesuré avec : Maxmind, Ripe (pour quelques corrections)
- Documentation : Loi interdisant le traitement des données en dehors de l’UE (Matomo)
- Vérifiable sur : InfoByIP, geolocation.com, iplocation.io (tous ces sites n’ont pas la même base de données de géolocalisation).
Meer documentatie
# level: url
location_server
location_mail_server
location_third_party_website_contentAutres en-têtes de site web (X-Frame-Options, etc.)
- Objectif : Sécuriser les paramètres lors de la visite d’un site web
- Cote la plus lourde :Orange (pas de CSP ET d’options x-frame),vert (reste)
- Mesuré avec : propre scanner
- Documentation : Généralités (OWASP), en-tête CSP, politique de permissions, politique de référencement, X-Content-Type-Options, Clickjacking,
- Consultez les sites suivants : securityheaders.com, internet.co.uk, entre autres.
Meer documentatie
# level: endpoint
http_security_header_x_content_type_options
http_security_header_x_frame_options
http_security_header_referrer_policy (unpublished)
internet_nl_web_appsecpriv_csp (unpublished)
http_security_header_permissions_policy (unpublished)