Fil d'Ariane
Mis à jour le mercredi 30 novembre 2016
  • 15 heures
  • Facile

Ce cours est visible gratuitement en ligne.

Vous pouvez obtenir un certificat de réussite à l'issue de ce cours.

J'ai tout compris !

Le rôle de votre navigateur et des CA

Connectez-vous ou inscrivez-vous pour bénéficier de toutes les fonctionnalités de ce cours !

J'en ai déjà parlé dans la première partie de ce cours, mais je vais y revenir plus en détail en expliquant pourquoi leur rôle est important.

Quand je vous ai expliqué le principe du HTTPS, je vous ai dit qu'il s'agissait d'établir une communication chiffrée entre vous et le serveur. Le problème, c'est que votre ordinateur est par nature un peu naïf. :p Des experts en sécurité et des hackers ont donc rapidement compris qu'il était possible de le tromper... en se faisant passer pour le serveur avec qui vous cherchez à établir la communication. L'idée est d'obliger votre ordinateur à négocier la connexion chiffrée avec quelqu'un d'autre que le serveur avec qui vous vouliez communiquer.

Il est facile de générer des clés de chiffrement asymétrique et de créer à partir d'elles un certificat auto-signé. C'est là que votre navigateur rentre en jeu !

Vérification du certificat par votre navigateur

Lors du handshake, un certificat d'authenticité est transmis : votre navigateur va ouvrir sa liste de CA (Certificate Authorities) et vérifier si le certificat transmis a été signé par l'une d'elles.

Les gestionnaires d'autorités de certificats de Chrome et Firefox

Les gestionnaires d'autorités de certificats de Chrome et Firefox

Si c'est le cas, vous aurez un joli cadenas visible dans l'interface de votre navigateur (plus ou moins teinté de vert selon le type du certificat, pour renforcer l'idée que vous pouvez lui faire confiance) :

Le précieux cadenas
Le précieux cadenas

Dans le cas contraire, une page plus inquiétante s'affichera, vous signalant que quelqu'un tente peut-être d'usurper l'identité du site avec lequel vous désirez communiquer :

Message de CA inconnu sous Firefox

Message de CA inconnu sous Firefox

Confiance dans les certificats et les CA

Selon le site que vous voulez consulter, il est possible de passer outre cette page : elle n'est pas nécessairement synonyme de compromission de votre connexion. La connexion restera chiffrée entre vous et l'entité avec qui le handshake est effectué, mais la prudence est de mise face à un message de ce genre.

Elle peut apparaître si :

  • le certificat a été mal fait (par exemple si le certificat ne vise qu'un domaine ou sous-domaine précis, mais qu'il est utilisé pour un autre) ;

  • le certificat a expiré (ils doivent être signés de nouveau au bout d'un certain temps par les CA) ;

  • le certificat a été volontairement auto-signé (donc sans passer par un CA, mais directement signé par le serveur le fournissant)

Les CA ne se valent pas non plus toutes. Certaines font des vérifications minimalistes, et ne demanderont pour signer un certificat que l'usage d'une adresse mail pour un domaine.

Ainsi, début 2015, le CA COMODO a fourni un certificat live.fi (le domaine finlandais des services mail de Microsoft) sans effectuer de vérifications approfondies. L'utilisateur a créé un alias hostmaster@live.fi sur sa boîte mail Microsoft, puis a tout bêtement réclamé un certificat à COMODO... que ces derniers lui ont fourni sans poser plus de questions, permettant ainsi à un simple utilisateur d'usurper l'identité de live.fi.

À défaut d'être parfaites, ces protections sont valables à l'heure actuelle face à la plupart des attaques MITM. De plus, surveillance ou non, cela ne coûte rien d'utiliser HTTPS au lieu de HTTP partout où cela est possible... comme nous allons le voir dans le prochain chapitre ! ;)

Exemple de certificat de réussite
Exemple de certificat de réussite