Qu’est-ce qu’un certificat numérique ?

  • juillet 22, 2014
  • 13 min read

 

Jamais entendu parler des certificats numériques ?

C’est juste un de ces mots à la mode en matière de sécurité informatique que les personnes utilisent lorsqu’elles veulent se donner un air important. Il s’agit également d’un concept très important pour tous ceux qui sont de véritables autorités en termes de sécurité informatique. Entre ces deux extrêmes, il y a l’internaute lambda – quelqu’un comme vous désirant rester à l’abri en navigant sur Internet.

Les certificats numériques en bref

Les certificats numériques sont, en bref, des documents électroniques servant à vérifier l’identité d’une entité numérique. Cette entité peut être un site web sur lequel vous vous connectez, un développeur de logiciels depuis le site web duquel vous téléchargez un produit ou même une personne avec qui vous désirez entrer dans une communication sécurisée. Les certificats numériques sont indispensables dans le monde moderne du commerce électronique, des services bancaires en ligne, du développement de logiciels et de presque toute sorte de partage d’informations sur Internet.

Les certificats numériques – en tout détail

Le protocole TLS/SSL

Pour mieux vous introduire aux certificats numériques, nous commençons par leur utilisation dans le cadre du protocole TLS/SSL. TLS signifie Transport Layer Security (sécurité de couche de transmission) et est le successeur du protocole SSL (Secure Sockets Layer, couche de sockets de sécurité). Le protocole TLS/SSL est un système de règles communes suivies aussi bien par les clients que par les serveurs lorsqu’un client visite un site web sécurisé par HTTPS. Avant que le client et le serveur ne puissent initier une communication sécurisée, ils doivent passer par une procédure nommée « négociation TLS  » – le résultat étant une clé de session sûre, symétrique permettant des transmissions de données chiffrées entre le serveur et le client.  La clé de session est symétrique vu qu’elle est utilisée par le client et par le serveur pour chiffrer et déchiffrer des transmissions. La clé de session est nommée clé, mais est, en réalité, également une serrure. En d’autres mots, la clé de session est un ensemble unique d’instructions informatiques masquant – ou en termes plus simple chiffrant – les contenus d’origine d’une transmission de données, de sorte que seul ceux ayant la clé de session identique puisse déchiffrer et lire ces contenus.

Paires de clés publique et privée

clé-publique-privéeIci nous devons descendre d’un niveau et introduire le concept des clés publiques et privées asymétriques.

Afin de créer une clé de session pendant une session sécurisée par HTTPS, votre navigateur doit vérifier que le site web sécurisé par HTTPS est vraiment ce site et qu’il est réellement lié aux personnes ou à l’entreprise auxquelles il prétend être lié. C’est là qu’entrent en scène les certificats numériques.

Pendant la négociation TLS, votre navigateur balaie de manière automatisée le site web sécurisé par HTTPS pour trouver un certificat numérique. S’il en trouve un, il le compare avec sa liste blanche et si le certificat s’y trouve, la négociation continue et la clé de session est créée. Pour entrer dans la liste blanche, le certificat numérique doit avoir la signature d’une autorité de certification fiable. Cette signature affirme que le site web sécurisé par HTTPS se sert d’une clé publique correspondant à une clé privée secrète en seule possession de l’entité gérant ce site web sécurisé par HTTPS.

Les paires de clés publiques et privées ressemblent beaucoup aux clés de session décrites en haut. Elles servent à chiffrer et déchiffrer des transmissions de données, mais dans le cas d’une navigation normale, elles servent avant tout à créer la clé de session lors de la négociation TLS. Les paires de clés publiques et privées se distinguent également des clés de session puisqu’elles sont asymétriques et qu’elles ont une durée d’utilisation beaucoup plus longue. Pendant la négociation TLS et lors d’autres transmissions de données s’appuyant sur des paires de clés publiques et privées, seule la clé publique est partagée. Imaginez à nouveau que la clé publique est une serrure : on la donne aux personnes désirant s’assurer que seule la personne munie de la clé correspondante soit capable de lire ses données. La clé privée n’est jamais partagée étant donné qu’elle déchiffre les données – et que lors de transmissions s’appuyant sur le protocole TLS/SSL, elle permet de créer les clés de session ! Il en résulte que, lorsqu’une clé privée tombe entre de mauvaises mains, cette personne peut s’en servir pour se faire passer pour une entreprise légitime et créer des clés de session légitimes munies d’un certificat numérique en vue de voler les données ou l’argent des clients.

Heureusement cela peut seulement arriver si une entreprise perd ses clés privées (extrêmement bien gardées). Il est donc pratiquement impossible de créer une clé privée seulement &agrave partir d’une clé publique bien que cette clé publique soit liée à une clé privée. C’est bien sûr possible en théorie, mais cela requiert pas mal de temps, de puissance de traitement et de capacités mathématiques – tout cela décourage la plupart des hackers, à part ceux peut-être qui disposent des moyens nécessaires et sont fermement déterminés.

Infrastructure à clés publiques (ICP)

Nous avons mentionné plus haut les autorités de certification – ces entités étant responsables de signer des certificats numériques. Dans une infrastructure à clés publiques (ICP), l’infrastructure qui est employée pour la plupart des sites web que vous visitez sur Internet, les autorités de certification sont essentiellement des entreprises se dédiant à la vérification d’identité numérique : une des plus grandes, sur laquelle vous êtes certainement tombé en utilisant les services bancaires en ligne, est Verisign.

Dans le cas le plus simple, lorsque le propriétaire d’un site web, un développeur de logiciels ou même une personne particulière comme vous souhaite obtenir un certificat numérique il s’adresse à une autorité de certification, paie une redevance et sollicite un certificat. Le niveau de certification que l’on accorde à un demandeur dépend essentiellement du montant qu’il est disposé à payer et de ce qu’il faut à son entreprise.

L’autorité de certification vérifie les pièces justificatives du demandeur. Si elles sont légitimes, elle lui accorde un certificat portant une signature numérique, comprenant soit une paire de clés publiques et privées nouvellement créées ou la garantie que la paire de clés publique et privée du demandeur correspondent clairement. Étant donné que l’autorité de certification est une autorité fiable, on peut donc en déduire que le site web est également fiable.

En réalité, la certification numérique n’est cependant pas si simple que ça. La toile est un réseau mondial de connexions et de nos jours, il y a en réalité de nombreux partis intermédiaires entre le demandeur et l’autorité de certification. Par exemple, une autorité de certification pourrait externaliser des tâches de vérification d’identité à un service de validation externe. Une autorité de certification peut également se servir d’une autorité d’enregistrement externe pour assurer la sécurité de la clé publique du demandeur. Les autorités de certification peuvent également accorder des certificats à des revendeurs fiables externes de leur choix !

Tout cela contribue au fait que l’environnement réel ne soit plus si sûr. En de termes plus simples: plus une chaîne a de liens, plus il est probable qu’un lien se casse. Pensez simplement au jeu d’enfants du téléphone arabe.

Infrastructure de la toile de confiance

Une solution alternative à une ICP est le modèle de la toile de confiance (Web of Trust) dont quelques utilisateurs expérimentés se servent. Cette solution est à la base une version décentralisée de l’ICP, où il n’y pas d’autorités de certification et les certificats numériques sont par contre signés par plusieurs partis indépendants. Ces partis peuvent en principe être des personnes qui se connaissent en personne les unes les autres.

En principe, dans un modèle basé sur la toile de la confiance, quelqu’un pourrait créer un certificat numérique pour son site web par le biais d’un logiciel spécialisé. Ce même logiciel comprend des fonctions permettant à d’autres membres de la toile de confiance de signer ce certificat numérique à condition qu’ils connaissent cet utilisateur et lui fassent confiance. De cette manière, un utilisateur de la toile de confiance peut réussir à avoir plusieurs signatures et différents niveaux de confiance.

Évidemment, il y a encore des problèmes dans ce modèle. Un de ces problèmes est que le modèle demande beaucoup plus de savoir-faire technique pour fonctionner. Ceci réduit la taille des modèles basé sur la toile de confiance si on les compare aux ICP – même si les toiles de confiance sont moins chères et vous laisse davantage de libertés personnelles. Un autre petit problème de ce modèle est que les nouveaux utilisateurs ne connaissant personne au sein d’un modèle basé sur la toile de confiance ont souvent des difficultés pour qu’on leur fasse confiance !

Téléchargements de logiciels au code signé

dig-sig-diagram-correctD’habitude, les développeurs de logiciels indépendants se servent du modèle basé sur la toile de confiance pour établir des voies de communication et partager des fichiers de manière sûre avec leurs collaborateurs se trouvant à distance. Ceci nous mène au point suivant : les certificats numériques servent à beaucoup plus qu’à la simple navigation sur Internet !

Sur une toile où il est possible de télécharger pratiquement tout logiciel sur tout ordinateur en quelques secondes, le code de signatures numériques joue un rôle important quand il s’agit de faire en sorte que tout le monde reçoive ce qu’il cherche. Disons que vous vous rendez sur un site web sécurisé par HTTPS, et, ayant maintenant des connaissances de base en matière de certificats numériques, vous savez que toutes données que vous partagez avec ce site web ne seront visibles qu’aux personnes gérant ce site web.

Mais, disons que vous vous êtes rendu sur ce site web pour acheter des logiciels. Comment être sûr que le fichier exécutable que vous êtes sur le point de télécharger est vraiment le vrai logiciel ? Surtout lorsque le site web sur lequel vous faites l’achat est celui d’un tiers ? Et comment savoir si toutes les mises à jour futures du logiciel seront également légitimes ?

C’est là que les certificats et signatures numériques entrent en jeu. D’abord, les données du téléchargement sont hachées. Puis, ce hash est chiffré (c.-à-d.: signé) à l’aide de la clé privée du développeur du logiciel. Après, le progiciel ainsi que le hash chiffré sont transmis avec un certificat numérique et une clé publique. Le certificat numérique y est compris pour que le système d’exploitation du client puisse vérifier que la paire de clés publique et privée corresponde à une liste blanche – comme lors de la navigation sur Internet.

La clé publique est mise à disposition pour que le hash chiffré, qui représente toutes les données comprises dans le progiciel avant la transmission, puisse être déchiffré pendant la vérification et comparé au nouveau hash de données du logiciel créé une fois que le logiciel a été transmis. Si le hash créé après la transmission correspond au hash déchiffré créé avant la transmission, vous (ou plutôt votre ordinateur) pouvez être sûr que personne n’a altéré ou modifié le logiciel pendant la transmission.

Cette chaîne de complexité aide à assurer que le logiciel que vous téléchargez est celui que vous souhaitez télécharger, mais la technologie n’est pas infaillible. Le pur et simple fait de comporter une signature et un certificat numérique ne signifie pas qu’il ne s’agisse pas de malwares – au fait, il en va de même pour tout site web ayant un certificat numérique. En réalité, la toile fourmille d’innombrables certificats et signatures et si jamais il y en a un qui tombe entre les mains d’un créateur de malwares, celui-ci sera capable de suggérer à un ordinateur dépourvu d’une solution anti-malware qu’un fichier « certifié » est toujours sûr. Malheureusement, il y a également des PUPs – des logiciels potentiellement non voulus qui malgré une signature et un certificat légitime peuvent némmoins présenter un danger pour votre ordinateur !

Signatures numériques juridiquement contraignantes

Enfin une des applications les plus communes et utiles des certificats numériques est la signature de documents numériques. De même que pour les signatures du code d’un progiciel, il est possible d’utiliser une clé privée pour créer une « signature numérique » servant à vérifier l’authenticité d’un document officiel et à assurer que ce document n’ait pas été altéré ou modifié pendant la transmission.

C’est très utile au sein d’une économie mondialisée. Par exemple, quelqu’un en Chine désirant solliciter le transfert de ressources de quelqu’un se trouvant aux États-Unis peut envoyer cette demande en toute sécurité sous forme de PDF comportant une signature numérique. Lors de la réception, il est possible, comme pour les logiciels ayant une signature numérique, de vérifier l’intégrité du message.

Dans l’économie mondiale d’aujourd’hui, les signatures numériques sont susceptibles d’avoir une valeur légale et de nombreux gouvernements s’en servent pour vérifier l’authenticité de documents officiels. D’ailleurs, lorsqu’un document comporte une signature numérique, il devient irréfutable. Cela veut dire qu’il n’est pas possible de remettre l’authenticité de ce document en question sans remettre en question l’intégrité de la clé privée employée pour le signer. Les clés privées doivent, comme le nom l’indique, rester complètement privées.

Si un document comporte une signature numérique mais que celui qui l’a signé met en doute son authenticité,son insinuation peut seulement correspondre à la vérité si sa clé privée a été volée. Si c’est le cas, il faut révoquer cette clé privée.

Il ne faut cependant pas être un fonctionnaire gouvernemental ou un expert en droit pour utiliser des signatures numériques. La plupart des applications destinées à la création de documents, tels que Microsoft Word, vous permettent, de manière rapide et simple, de doter vos documents de signatures numériques. Si vous ne disposez pas encore d’une signature comportant un certificat numérique, on vous montre dans la plupart des cas comment en obtenir une.

Signatures numériques et Emsisoft

emsi-centre-de-licenceChez Emsisoft, nous prenons la protection de la vie privée de nos utilisateurs très au sérieux. C’est pourquoi nous chiffrons toute transmission de données sensibles sur My Emsisoft. Pour le constater, il suffit de consulter la page My Emsisoft et de cliquer sur l’icône de cadenas dans la barre d’adresse de votre navigateur pour que s’affiche le certificat numérique émis par GeoTrust, Inc., une entreprise de renom en matière de certification.

D’ailleurs, toute commande de logiciels passées dans la Boutique Emsisoft est traitée par Cleverbridge, une entreprise du secteur du commerce électronique qui chiffre toute transaction financière à l’aide du protocole TLS/SSL.

Parmi les autres applications de certificats numériques figurent :

Conclusion – signatures numériques et vous

Les certificats numériques ne sont rien d’autre qu’une facette d’une toile de plus en plus complexe et mondiale et même s’ils s’avèrent très utiles en tant que technologie de vérification d’identité, ils ne sont nullement sûrs à 100% . Ils comportent depuis longtemps des problèmes immanents : corruption à différents niveaux de l’infrastructure ICP, attaques de l’homme du milieu et la question répétitive: que faut-il faire lorsqu’un certificat numérique expire.

Un autre problème est la sécurité des clés privées; c’est-à-dire, lorsqu’une clé privée est volée, il faut la révoquer immédiatement. Ce dernier problème a, en partie, été la raison pour laquelle Heartbleed été une aussi grosse affaire. D’innombrables clés privées ont été mises à nu et jusqu’ici le nombre de personnes détenant une clé privée n’en ayant pas encore reçu une nouvelle reste encore considérable.

Cela semble alarmant, mais n’ a nullement anéanti la toile. Pas pour autant. En effet, vu la complexité et la taille de la toile, il ne serait même pas exagéré de dire qu’elle serait devenue indestructible. Les gens sont tellement dépendant d’Internet qu’ils s’en servent même s’il n’est pas sécuris%eacute;.

Nous nous dédions à la création de solutions anti-malware pour que nos utilisateurs puissent naviguer sur Internet en toute sécurité, mais puisqu’une des plus grandes menaces qui vous attende sur Internet est le fait de ne pas savoir quels dangers vous y attendent, nous tenons à vous informer sur les problèmes du secteur anti-malware, tels que les certificats numériques. Nous espérons que cette approche aidera à rendre la toile un petit peu plus sûre pour tous, en divulguant davantage de connaissances en matière de sécurité qui, en fin de compte, contribueront à créer un monde libre de malwares.

 

Bonne navigation (sécurisée par certificats numériques) à vous !

 

Emsi

What to read next

Reader Comments