{"id":930,"date":"2013-05-07T14:00:26","date_gmt":"2013-05-07T14:00:26","guid":{"rendered":"http:\/\/kasperskydaily.com\/france\/?p=930"},"modified":"2020-02-26T15:39:49","modified_gmt":"2020-02-26T15:39:49","slug":"les-certificats-numeriques-et-le-protocole-https","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/les-certificats-numeriques-et-le-protocole-https\/930\/","title":{"rendered":"Les certificats num\u00e9riques et le protocole « HTTPS »"},"content":{"rendered":"

Si l\u2019on voulait parler en d\u00e9tail du protocole \u00ab\u00a0HTTPS\u00a0\u00bb et des certificats num\u00e9riques, on devrait alors parler du chiffrement, mais ne vous inqui\u00e9tez pas, nous vous \u00e9pargnerons cette peine. Comprenez bien cela n\u00e9anmoins : \u00e0 ce jour, un chiffrement solide est probablement la meilleure garantie\u00a0que nous avons pour\u00a0<\/span>une s\u00e9curit\u00e9 et une confidentialit\u00e9 efficaces.<\/span><\/p>\n

\"certificats_https\"<\/a><\/p>\n

\u00a0<\/p>\n

On nous a tous dit de regarder le petit cadenas vert ou gris qui, dans la plupart des navigateurs, signifie la pr\u00e9sence de la version s\u00e9curis\u00e9e du protocole de transfert hypertexte (HTTPS).<\/a> On nous dit que \u00ab\u00a0HTTPS\u00a0\u00bb est synonyme de s\u00e9curit\u00e9 et que nous devrions nous assurer de le voir dans la bar d\u2019adresse du navigateur avant de rentrer des informations sensibles sur un site Web, surtout quand il s\u2019agit d\u2019identifiants bancaires. Mais alors qu\u2019est-ce que le \u00ab\u00a0HTTPS\u00a0\u00bb<\/a> ?<\/p>\n

\u00ab\u00a0HTTPS\u00a0\u00bb est une abr\u00e9viation anglaise pour \u00ab\u00a0Hypertext Transfer Protocol Secure\u00a0\u00bb (protocole de transfert hypertexte s\u00e9curis\u00e9). Il s\u2019agit de la version s\u00e9curis\u00e9e du protocole de transfert hypertexte, qui est \u00e0 l\u2019origine de la mani\u00e8re avec laquelle nous \u00e9changeons des donn\u00e9es sur Internet. Pour faire simple, se connecter sur un site via \u00ab\u00a0HTTPS\u00a0\u00bb (au lieu du protocole HTTP standard) signifie que toutes les donn\u00e9es que vous \u00e9changez avec le site en question \u2013 qu\u2019il s\u2019agisse d\u2019identifiants de connexion, de laisser un commentaire sur un blog, ou de payer un ticket de parking \u2013 passeront par un protocole TLS (Transport Layer Security) chiffr\u00e9, ou par son pr\u00e9d\u00e9cesseur SSL (Secure Sockets Layer).<\/p>\n

Ok, donc \u00ab\u00a0HTTPS\u00a0\u00bb est synonyme de chiffrement et le chiffrement est lui synonyme de s\u00e9curit\u00e9, mais si on met de c\u00f4t\u00e9 le chiffrement, comment puis-je savoir que je communique bien avec la personne ou le service avec lequel je veux communiquer en ligne ? Je suis certain que vous y avez d\u00e9j\u00e0 pens\u00e9 : comment pouvez-vous \u00eatre s\u00fbr que le site sur lequel vous \u00eates et dans lequel vous vous appr\u00eatez \u00e0 vous identifier n\u2019est pas une tr\u00e8s bonne copie ? Disons que vous achetez un logiciel anti-virus de Kaspersky Lab<\/a>, comment pouvez-vous \u00eatre certain que votre paiement nous soit bien envoy\u00e9 et qu\u2019il n\u2019arrive pas \u00e0 un pirate amateur au fin fond de la Roumanie ? Et comment savez-vous qu\u2019un tiers n\u2019espionne pas votre transfert de donn\u00e9es ? C\u2019est l\u00e0 que les certificats rentrent en jeu.<\/p>\n

Vous pouvez taper \u00ab\u00a0HTTPS\u00a0\u00bb dans la barre d\u2019adresse de n\u2019importe quel site plus ancien. Si le site poss\u00e8de un certificat valide, alors le serveur h\u00e9bergeant le site pr\u00e9sentera ce certificat \u00e0 votre navigateur (qui est dot\u00e9 d\u2019une liste int\u00e9gr\u00e9e d\u2019\u00e9metteurs de certificats de confiance) et rien de visible ne se produira. Suivant le navigateur, vous pouvez cliquer sur le petit cadenas (ou son \u00e9quivalent) afin d\u2019obtenir certaines informations sur le certificat et son \u00e9metteur. N\u00e9anmoins, si vous essayez d\u2019acc\u00e9der \u00e0 la version \u00ab\u00a0HTTPS\u00a0\u00bb d\u2019un site qui ne dispose pas d\u2019un certificat valide, vous verrez un avertissement SSL tel que celui-ci :<\/p>\n

\"\"<\/b><\/p>\n

Cet avertissement est pour votre navigateur une mani\u00e8re de vous signaler qu\u2019il ne peut pas v\u00e9rifier l\u2019identit\u00e9 du serveur du site auquel vous essayez de vous connecter. Vous pouvez probablement imaginer pourquoi il est important d\u2019avoir un tel syst\u00e8me de certificat pour v\u00e9rifier que les sites et les services sont bien ce qu\u2019ils pr\u00e9tendent \u00eatre. Si votre imagination vous fait d\u00e9faut, alors informez-vous sur les attaques de l\u2019homme du milieu<\/a>.<\/p>\n

Maintenant que vous avez une compr\u00e9hension g\u00e9n\u00e9rale de ce que sont le protocole \u00ab\u00a0HTTPS\u00a0\u00bb et les certificats, vous vous demandez peut-\u00eatre comment les deux sont li\u00e9s. En bref, \u00ab\u00a0HTTPS\u00a0\u00bb signifie que l\u2019information que vous envoyez est bien chiffr\u00e9e pendant son transfert et le certificat num\u00e9rique que ces informations vont bien l\u00e0 o\u00f9 elles sont suppos\u00e9es aller.<\/p>\n

J\u2019ai expliqu\u00e9 comment les certificats fonctionnent ainsi que leur fonction, mais ceux-ci ne sont pas uniquement des concepts intangibles. Un certificat num\u00e9rique est un document \u00e9lectronique qui contient son propre et unique algorithme de signature num\u00e9rique, des informations permettant d\u2019identifier le site Web ou le service pour lequel le certificat a \u00e9t\u00e9 cr\u00e9\u00e9, des informations sur l\u2019identit\u00e9 de l\u2019\u00e9metteur lui-m\u00eame, et une p\u00e9riode de validit\u00e9 qui indique quand le certificat a \u00e9t\u00e9 cr\u00e9\u00e9 et pour combien de temps il sera valide. La signature algorithmique est au c\u0153ur m\u00eame du certificat num\u00e9rique. La signature est la partie du certificat qui confirme que vous communiquez bien avec le site avec lequel vous souhaitez communiquer et que la communication est bien effectu\u00e9e en chemin.<\/p>\n

La derni\u00e8re pi\u00e8ce du puzzle qui requiert des explications est celle des \u00e9metteurs de certificats. Un certain nombre d\u2019organisations vendent ou \u00e9mettent des certificats num\u00e9riques. On les appelle les autorit\u00e9s de certification. GoDaddy, VeriSign et Entrust sont par exemple trois autorit\u00e9s de certification importantes. Je pourrais m\u2019autoproclamer autorit\u00e9 de certification et commencer \u00e0 vendre des certificats si je le souhaitais. Le probl\u00e8me est que personne ne ferait confiance \u00e0 mes certificats et donc personne ne les ach\u00e8terait. C\u2019est ce qui se passe avec les autorit\u00e9s de certification : elles sont valides seulement si on leur fait confiance.<\/p>\n

Ce syst\u00e8me de confiance fonctionne en se basant sur une liste de ce qu\u2019on appelle \u00ab\u00a0certificats racine\u00a0\u00bb. Ces derniers sont consid\u00e9r\u00e9s comme fiables par d\u00e9faut par la plupart des navigateurs. Ils ont aussi le pouvoir d\u2019\u00e9tendre leur confiance \u00e0 d\u2019autres autorit\u00e9s de certification. Disons qu\u2019un individu qui s\u2019appelle Jacques souhaite \u00e9mettre des certificats et qu\u2019il est une autorit\u00e9 de certification racine. Votre navigateur va donc faire confiance \u00e0 tous les certificats que Jacques \u00e9met. Votre navigateur va aussi faire confiance \u00e0 n\u2019importe quel certificat que Jacques garantira. Il existe un grand nombre d\u2019autorit\u00e9s de certification, et c\u2019est ce que nous avons invent\u00e9 pour les v\u00e9rifier. Nous avons laiss\u00e9 les 36 autorit\u00e9s de certification les plus fiables d\u00e9cider quelles autres autorit\u00e9s \u00e9taient dignes de confiance et ainsi tout le monde vivra heureux jusqu\u2019\u00e0 la fin de ses jours, non ? Pas vraiment.<\/p>\n

Il est important de savoir que le syst\u00e8me de certificats num\u00e9riques actuel est compliqu\u00e9, alambiqu\u00e9 et controvers\u00e9. Les certificats num\u00e9riques, les signatures qu\u2019ils contiennent ainsi que les autorit\u00e9s de certification qui les cr\u00e9ent forment la base de la confiance et de l\u2019authentification en ligne. Ironiquement, il est bien connu dans l\u2019industrie que le syst\u00e8me d\u2019autorit\u00e9 de certification et de signature num\u00e9rique est d\u00e9sesp\u00e9r\u00e9ment d\u00e9faillant et terriblement inadapt\u00e9. N\u00e9anmoins, c\u2019est sur celui-ci que nous nous reposons pour effectuer des paiements et communiquer les uns avec les autres chaque jour.<\/p>\n

Les violations qui ont eu lieu dans de grandes autorit\u00e9s de certification telles que DigiNotar<\/a> et Comodo<\/a> et la r\u00e9v\u00e9lation que deux faux certificats ont permis l\u2019attaque du virus Stuxnet montrent clairement qu\u2019un nouveau syst\u00e8me est n\u00e9cessaire. Le chercheur en s\u00e9curit\u00e9, Moxie Marlinspike a sugg\u00e9r\u00e9 que son syst\u00e8me \u00ab\u00a0Convergence SSL\u00a0\u00bb \u00e9tait la solution pour r\u00e9soudre le probl\u00e8me. Malgr\u00e9 le lancement de Convergence \u00e0 la conf\u00e9rence Black Hat Security, il y a presque deux ans, et son accueil presque unanimement positif, nous nous reposons toujours sur le syst\u00e8me de certification d\u00e9faillant. Nous assumons en quelque sorte que les certificats que nous utilisons pour communiquer et d\u00e9penser de l\u2019argent sont tous fiables. De temps en temps, nous entendons parler de la violation d\u2019une autorit\u00e9 de certification, nous nous plainions et d\u00e9plorons le probl\u00e8me, et finalement nous passons \u00e0 autre chose sans r\u00e9gler le probl\u00e8me.<\/p>\n

Que pouvons nous donc faire ? Tout ce que vous pouvez faire est de vous assurer que vous naviguez en \u00ab\u00a0HTTPS\u00a0\u00bb quand vous rentrez des donn\u00e9es sensibles, telles que des informations de paiement ou des identifiants et m\u00eame des e-mails. Outre cela, vous pouvez cliquer sur le verrou \u00a0ou son \u00e9quivalent dans votre navigateur et examiner le certificat vous-m\u00eame. Pour ceux qui s\u2019y connaissent, vous pouvez vous tenir inform\u00e9s des derni\u00e8res nouvelles en mati\u00e8re de s\u00e9curit\u00e9 et manuellement retirer votre confiance d\u2019une autorit\u00e9 de certification si celle-ci est compromise. R\u00e9voquer votre confiance signifie que votre navigateur ne fera d\u00e9sormais plus confiance aux certificats garantis par cette autorit\u00e9. La meilleure solution est de retirer imm\u00e9diatement la confiance que vous aviez dans cette autorit\u00e9 de certification compromise dans les param\u00e8tres de votre navigateur<\/a>, d\u00e8s que vous entendez que celle-ci a subi une violation, mais ne vous inqui\u00e9tez pas trop car Microsoft, Mozilla et Google ont par le pass\u00e9 \u00e9t\u00e9 assez rapides \u00e0 r\u00e9voquer leur confiance (dommage qu\u2019on ne puisse pas dire la m\u00eame chose pour Apple<\/a>). Tant que les patchs de votre navigateur et de votre syst\u00e8me d\u2019exploitation sont bien mis \u00e0 jour, vous serez prot\u00e9g\u00e9 contre les faux et les mauvais certificats.<\/p>\n","protected":false},"excerpt":{"rendered":"

Si l\u2019on voulait parler en d\u00e9tail du protocole \u00ab\u00a0HTTPS\u00a0\u00bb et des certificats num\u00e9riques, on devrait alors parler du chiffrement, mais ne vous inqui\u00e9tez pas, nous vous \u00e9pargnerons cette peine. Comprenez<\/p>\n","protected":false},"author":42,"featured_media":932,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[316,140,61],"class_list":{"0":"post-930","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-chiffrement","9":"tag-https","10":"tag-securite"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/les-certificats-numeriques-et-le-protocole-https\/930\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/chiffrement\/","name":"chiffrement"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/930","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=930"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/930\/revisions"}],"predecessor-version":[{"id":13882,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/930\/revisions\/13882"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/932"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=930"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=930"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=930"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}