Fil d'Ariane
  • 15 heures
  • Facile

Ce cours est visible gratuitement en ligne.

Vous pouvez obtenir un certificat de réussite à l'issue de ce cours.

J'ai tout compris !

Il est avant tout question de confiance !

Connectez-vous ou inscrivez-vous pour bénéficier de toutes les fonctionnalités de ce cours !

Dans le cadre de la protection de ses données et communications, il revient toujours un facteur difficile à accepter et à évaluer. Il est très subjectif : il s'agit de la confiance. Et il faut se poser la question dans de nombreux cas ! 

Vous devez avoir confiance dans :

  • le réseau Wi-Fi que vous utilisez : comme je l'ai dit précédemment, vous ne devriez pas utiliser un Wi-Fi public sans beaucoup de précautions si vous n'avez pas confiance en ce réseau ;

  • l'implémentation du HTTPS sur les sites web que vous visitez ;

  • le navigateur Internet que vous utilisez et sa base de données de certificats ;

  • ...

Le HTTPS

Votre navigateur est fourni avec une base de données de CA (Certificate Authorities) :

http://sdz-upload.s3.amazonaws.com/prod/upload/certificats.PNG

Gestionnaires de certificats de Chrome et de FireFox

Ces autorités de certification définissent si un certificat utilisé dans une connexion HTTPS est "fiable" ou non, ce qui fait la différence entre une page web correctement affichée, et une page d'erreur inquiétante de ce style :

Page d'erreur de CA inconnu sous Firefox (des pages similaires existent aussi sous les autres navigateurs)
Page d'erreur de CA inconnu sous Firefox (des pages similaires existent aussi sous les autres navigateurs)

Cette erreur peut apparaître en cas de tentatives d'attaques MITM (man-in-the-middle), mais pas seulement ! Elle peut aussi être présente si vous cherchez à communiquer avec un site web dont le certificat est "auto-signé". Dans ce cas, la communication est bien chiffrée, mais votre navigateur ne fait pas confiance au serveur : ce sera à vous de voir si vous faites confiance au site web et souhaitez y accéder malgré tout.

Je reviendrai sur les autorités de certification plus loin dans ce cours en évoquant les certificats et le chiffrement asymétrique.

Peut-on faire confiance aux grandes sociétés ?

La notion de confiance étant ce qu'elle est, c'est à vous de choisir à qui vous faites confiance. Vous pouvez faire confiance à Chrome et Windows pour leurs implémentations de sécurité de chiffrements, comme vous pouvez rejeter en masse tout ce qui n'est pas open source et compilé par votre machine.

Si certaines entreprises comme Google peuvent avoir des contraintes légales de différents pays en matière de données et de sécurité, elles peuvent aussi vouloir protéger leurs clients et vanter leur sécurité face à des scandales de surveillance. C'est une forme de bras de fer sur certains points (sachant que si une faille volontaire/backdoor est détectée, ceci peut avoir de très mauvais effets sur l'image d'une marque et sur sa valeur en bourse).

Pour des entreprises comme les hébergeurs qui ont souvent une portée internationale (la moitié des clients de certains hébergeurs français ne sont pas situés en France), respecter la vie privée peut avoir un intérêt commercial. Pourquoi les clients ou membres potentiels choisiraient-ils un hébergeur où leurs données puissent être collectées par un gouvernement, d'autant plus s'il n'est pas le leur ? Ils auront plutôt intérêt à choisir un autre hébergeur dont le gouvernement serait moins intrusif.

Ceci explique les prises de positions d'entreprises françaises sur la loi relative au renseignement, et qu'au final, certaines aient choisi de quitter la France, d'autres de négocier leur maintien en France avec des garanties sur ce point.

De ce fait, il reste possible, dans une certaine mesure, de faire confiance à des entreprises "géantes de l'Internet", car en matière de neutralité du net et de censure appliquée/réclamée par un gouvernement, leurs intérêts peuvent parfois rejoindre ceux des utilisateurs lambda.

Exemple de certificat de réussite
Exemple de certificat de réussite