• 12 heures
  • Facile

Ce cours est visible gratuitement en ligne.

Vous pouvez obtenir un certificat de réussite à l'issue de ce cours.

J'ai tout compris !

Assurez-vous de la fiabilité d'un site grâce aux certificats

Connectez-vous ou inscrivez-vous gratuitement pour bénéficier de toutes les fonctionnalités de ce cours !

 

La cryptographie est une branche de l'informatique qui regroupe l'ensemble des procédés visant à chiffrer les informations pour les déchiffrer ultérieurement si certaines conditions sont réunies. Sur Internet, on l'utilise notamment pour les achats en ligne. Lorsque vous entrez vos identifiants, les données sont cryptées puis décryptées.

Ce n'est pas vraiment l'objet du cours, puisqu'on rentre dans des hypothèses qui concernent davantage le vol de données sensibles que la protection de la vie privée à proprement parler. Toutefois, il m'était difficile de faire l'impasse dessus parce que comme je l'ai précisé en introduction, ces données sensibles font partie, par extension, de votre vie privée et il faut quand même savoir comment ça marche.

L'application de la cryptographie sur Internet

L'idée est d'empêcher les risques d'interception des données sensibles par celui qu'on appelle l'homme du milieu (ou man in the middle). L'attaque man in the middle est du jargon informatique pour désigner les pirates spécialisés dans le détournement de données personnelles.

Imaginons qu'une personne saisisse ses identifiants sur un site dépourvu de système de protection cryptographique. Surgit alors un personnage qui, tapi dans l'ombre, attendait patiemment que la transaction s'effectue pour s'en emparer !

Attaque man in the middle
Attaque man in the middle : vos données sont interceptées

Message chiffré

À présent, imaginons un autre scénario. Une fois encore, les données sont transférées vers le serveur et interceptées en cours de route. Situation identique en tout point, à une différence près : on a utilisé un procédé cryptographique pour sécuriser le transfert. Cette fois-ci, l'homme du milieu n'a pas obtenu ce qu'il voulait : tout ce qu'il a pu récupérer, c'est une bouillie de caractères inutilisables !

Attaque man in the middle : vos données sont chiffrées et inutilisables !
Attaque man in the middle : vos données sont chiffrées et inutilisables !

En effet, on distingue deux types de message :

  • Le message en clair : c'est le message tel qu'il est rédigé par l'expéditeur. Par exemple, quand vous envoyez un e-mail à un collègue pour parler de vos vacances, vous allez rédiger par exemple : "Bientôt les vacances ! Je pars à Ibiza cet été ! et toi ?".

  • Le message chiffré : c'est le message qui a été "mâché" par l'algorithme de chiffrement. Il en résulte un imbroglio de lettres et de chiffres illisibles en l'état. Cette fois, votre commentaire va être pétri, tourné, et retourné, au point de devenir méconnaissable. Ainsi, si votre message en clair était "Bientôt les vacances ! Je pars à Ibiza cet été ! et toi ?", il va se transformer en quelque chose comme "oiefoîeqrg57e6878erg:;! rt"

OK, mais si le message en clair est chiffré pendant l'envoi, comment est-il retransformé  pour être de nouveau lisible à l'arrivée ?

Le processus de chiffrement et de déchiffrement du message en clair est assuré grâce à un élément qu'on appelle la clé. C'est grâce à cette petite portion de code numérique que toute cette mécanique peut fonctionner. Cette clé est générée par l'algorithme au moment exact où les données sont transférées d'une page à l'autre. Elle est générée aléatoirement lors de l'opération, des deux côtés.

Sur ce schéma, on peut voir que les données en clair passent à travers un algorithme de chiffrement, symbolisé par une boîte rouge. Après avoir été encodées par la clé d'encodage, les données sortent de la boîte sous forme chiffrée. C'est sous cette forme qu'elles vont effectuer le trajet depuis l'expéditeur vers le serveur de destination. À l'arrivée, elles repassent dans la boîte qui reproduit l'opération en sens inverse : les données chiffrées sont retransformées en message en clair de l'autre côté grâce à la clé de décodage. C'est donc la petite clé bleue qui rend possible l'encodage et le décodage des données !

Distinction entre chiffrement symétrique et chiffrement asymétrique

Vous savez maintenant à peu près ce qu'est le chiffrement de données. Mais tout cela reste assez approximatif et ne permet pas de comprendre précisément les subtilités du processus. Je vais maintenant vous expliquer la différence entre le chiffrement symétrique et le chiffrement asymétrique.

Le chiffrement symétrique désigne une forme de chiffrement dans lequel il n'y a qu'une seule clé pour encoder et décoder les données. L'algorithme génère une clé identique côté utilisateur et côté serveur (c'est ce qu'on peut voir sur le schéma un peu plus haut ). Voilà pourquoi le processus est dit "symétrique".

Le problème du cryptage symétrique, c'est que si l'Homme du milieu parvient à copier la clé côté expéditeur, il pourra l'utiliser pour traduire le message chiffré et en déduire le message en clair !

L'homme du milieu réussit à intercepter la clé et peut donc déchiffrer le message
L'homme du milieu réussit à intercepter la clé et peut donc déchiffrer le message

Dans le chiffrement asymétrique, il y a deux clés distinctes : la clé publique, générée côté expéditeur et côté serveur, et la clé privée, qui est détenue uniquement par le destinataire.

  • Pour encoder les données, il faut détenir la clé publique.

  • Pour décoder les données, par contre, il faut utiliser la clé privée !

La cryptographie asymétrique est donc la technique la plus sûre, car elle limite drastiquement les risques d'interception par l'homme du milieu. En effet, pour décoder le message chiffré, la clé publique ne sert à rien. Et comme la clé privée est générée côté serveur, vous êtes pour ainsi dire protégé contre ce type de menace.

Même si l'homme du milieu récupère la clé publique, il ne peut pas déchiffrer le message.
Même si l'homme du milieu récupère la clé publique, il ne peut pas déchiffrer le message.

Ce n'est pas forcément la peine de retenir ce point, mais je préférais vous en parler pour mieux vous aider à comprendre le thème de la validité des certificats qu'on va étudier tout de suite. 

Les certificats de sécurité

Un certificat de sécurité, c'est un dispositif visant à garantir que le transfert des données d'une page vers une autre page répond à certains critères de sécurité. Ils s'accompagne d'un https au lieu du traditionnel http (pour plus de précisions sur la différence entre le protocole HTTPS et le protocole HTTP, se référer au cours Protégez l'ensemble vos communications sur Internet).

Plus le respect des critères sera strict, plus la valeur du certificat sera élevée. C'est ce qui explique les différents symboles que vous pouvez voir à côté de l'adresse du site dans la barre d'adresse.

Hiérarchie des certificats sous FIrefox, du niveau le moins au plus élevé.
Hiérarchie des certificats sous Firefox, du niveau le moins élevé au niveau le plus élevé.

Les autorités de certification

Les certificats de sécurité sont en principe des licences octroyées par ce qu'on appelle des autorités de certification. Il s'agit d'organismes accrédités par les gouvernements qui délivrent des certificats sur demande lorsqu'ils estiment qu'un site répond à certaines exigences dans la sécurisation des données. L'appréciation se joue à trois niveaux :

  • La confidentialité des transactions. Les informations transmises sont traitées de manière à garantir la confidentialité des données personnelles confiées au site. Le site récupère-t-il ou non directement vos informations personnelles lors de l'achat ? Sur un site d'achat bien sécurisé, normalement, le site ne récupère pas vos données bancaires !

  • L'intégrité des données. D'une certaine manière, ce critère rejoint un peu le premier. L'intégrité des données, c'est le fait de savoir qu'elles ne seront pas interceptées et détournées par l'homme du milieu. Est-ce qu'il existe des mesures de chiffrement pour protéger l'intégrité des données ? Si oui, le chiffrement est-il symétrique ou asymétrique?

  • L'authenticité du destinataire. A-t-on  l'assurance que le site n'est pas une contrefaçon ? Certains sites de phishing se font passer pour d'autres sites web pour abuser de la confiance des internautes et récupérer leurs informations.

S'agissant du troisième point, il est possible de s'assurer soi-même de la fiabilité du site en question en faisant quelques vérifications très simples. Il suffit de consulter le certificat de sécurité du site ! Pour ce faire, cliquez sur l'icône placée juste à côté du nom du site dans la barre de d'adresse.

Exemple : le site openclassrooms.com bénéficie d'un cadenas vert. Il s'agit du signe de certificat de validité étendue, le plus haut niveau de garantie. On voit également qu'il est rattaché à une société appelée OpenClassrooms SAS, implantée à Paris. En faisant un petit tour sur un moteur de recherche, il est facile de vérifier l'exactitude de ces informations et de savoir qu'il existe effectivement une société OpenClassrooms SAS immatriculée en France.

Pour voir le certificat du site que vous consultez, cliquez sur l'icône à côté de l'adresse du site dans la barre de tâches.
Pour voir le certificat du site que vous consultez, cliquez sur l'icône à côté de l'adresse du site dans la barre de tâches.

Les différentes hypothèses d'alerte de sécurité

Dans certains cas, il se peut que le site soit doté d'un certificat de sécurité mais que votre navigateur déclenche quand même une alerte de sécurité.

Lorsqu'un certificat a été auto-signé

Il a été fabriqué de toutes pièces par le webmaster du site. Ce procédé n'est pas interdit, mais il faut bien évidemment s'en méfier puisqu'on peut difficilement accorder du crédit à une garantie de sécurité qui ne repose que sur la parole du webmaster, lequel sera naturellement enclin à prêcher pour sa paroisse.

Lorsqu'un certificat a atteint sa date d'expiration

Les autorités certifiantes délivrent leurs certificats pour une certaine durée et passé la date d'expiration, votre navigateur considère que la garantie n'est plus valide. À noter que certains certificats sont dits "permanents" puisqu'ils n'ont pas reçu de date d'expiration.

Lorsque l'horloge de votre ordinateur est déréglée

Eh oui je sais que ça peut sembler bizarre ! Comme nous venons de le voir, les certificats de sécurité ont parfois une date d'expiration. Pour évaluer le délai de validité de votre certificat, le navigateur se base sur l'horloge de votre ordinateur. Si, par exemple, vous venez de formater votre machine et que la date a quelques années de retard, cela peut avoir pour effet de déclencher un avertissement de sécurité erroné.

En bref 

  • Pour sécuriser l'envoi de données sensibles entre deux serveurs, on a développé des techniques de chiffrement regroupées sous le nom de cryptographie.

  • Le chiffrement symétrique fonctionne avec une seule clé. Il est moins sécurisé que le chiffrement asymétrique qui fonctionne avec deux clés, l'une privée, l'autre publique.

  • Le protocole HTTPS, que vous voyez notamment lorsque vous accédez à une page de paiement sur un site web, est une combinaison de HTTP et de SSL/TLS. Il allie un système de chiffrements symétrique et asymétrique pour sécuriser les transactions entre utilisateur et serveur.

  • Il faut éviter de transmettre des données sensibles à un site pourvu d'un certificat de sécurité invalide (ou qui n'utilise pas du tout HTTPS).

  • Parallèlement, l'existence d'un certificat de sécurité valide ne garantit pas nécessairement que vos données sont entre de bonnes mains : la garantie ne porte que sur le transfert des données.

Sous Firefox

Le message d'erreur type de Firefox se présente de la sorte :

Alerte de sécurité sous Firefox. Image tirée de linuxfr.org
Alerte de sécurité sous Firefox (Source : linuxfr.org)
  • Cliquez sur Détails techniques pour obtenir les informations relatives au certificat.

  • Pour forcer le passage, vous pouvez cliquer sur Ajouter une exception.

 

Pour voir la liste des certificats, allez dans dans Options > Avancé > Certificats > Afficher les certificats.

Liste des certificats sous Firefox
Liste des certificats sous Firefox

Sous Internet Explorer

 

Le message d'erreur type d'IE se présente de la sorte :

image tirée de technet.microsoft.com
Alerte de sécurité sous IE (Source : technet.microsoft.com)

Pour forcer le passage, cliquez sur Poursuivre avec ce site web.

Pour voir la liste des certificats, allez dans Outils > Options Internet > Contenu > Certificats.

Sous Opera

Le message d'erreur type d'Opera se présente de la sorte :

Alerte de sécurité sous Opera
Alerte de sécurité sous Opera
  • Cliquez sur Afficher le certificat pour obtenir les informations relatives au certificat.

  • Pour forcer le passage, vous pouvez cliquer sur Continuer quand même, tout simplement.

Pour voir la liste des certificats : Opera > Réglages > Gérer les certificats.

Sous Google Chrome

Le message d'erreur type de Chrome se présente de la sorte :

ALerte de sécurité sous Google Chrome. Tiré de wefightcensorship.org
Alerte de sécurité sous Chrome (Source : wefightcensorship.org)

Cliquez sur Plus d'informations pour obtenir les informations relatives au certificat.

Pour forcer le passage, vous pouvez cliquer sur Poursuivre quand même.

 

 

Exemple de certificat de réussite
Exemple de certificat de réussite