Aujourd'hui, les gens sont davantage sensibilisés à la sécurité des données et à la protection de la vie privée. De plus, avec la pandémie le télétravail s’est massivement développé, transformant la cybersécurité en un enjeu crucial.
Mais Internet est-il encore suffisamment sûr ? C'est là que les autorités de certification (AC) entrent en jeu. Chaque fois que vous consultez un site web dont l’adresse commence par HTTPS, vous utilisez une AC. En fait, si elles n'existaient pas, la navigation sur le web ne ressemblerait à rien de ce que l’on connaît. Payer ses impôts, acheter en ligne, effectuer des opérations bancaires en ligne… sans les AC, rien de tout cela n'aurait été possible.
Pour tout savoir sur les autorités de certification et la façon dont ces entités interviennent pour nous protéger des hackers lorsque nous surfons sur Internet, lisez la suite.
Qu'est-ce qu'une autorité de certification ?
La pandémie et le confinement ont poussé les ménages à profiter d’avantage d’Internet, et donc des services bancaires en ligne, de l'e-commerce, etc. La fréquentation des sites web bancaires et des pages de saisie de coordonnées bancaires a par conséquent enregistré une hausse.
On le sait, sur Internet, les apparences peuvent être trompeuses. On peut ainsi avoir la conviction que l’on consulte le site de l’entreprise XYZ, comme semble l’indiquer le domaine. Mais comment vérifier que l’on est bien connecté au serveur de cette même entreprise ? Et s’il s’agissait d’un site créé par un hacker qui chercherait à voler vos données privées ?
Une autorité de certification résout précisément ce genre de problème. Pour vous signaler que vous êtes connecté au bon site web, l’AC vérifie les sites ou les organisations. Vous risquerez moins de livrer accidentellement vos coordonnées bancaires à un pirate informatique.
Sur un plan plus technique, une autorité de certification est une organisation de confiance qui se charge de vérifier les sites web et d’autres entités. En permettant aux internautes de savoir avec qui ils communiquent en ligne, les AC contribuent à faire d’Internet un espace beaucoup plus sûr pour les organisations et les utilisateurs. Elles jouent par conséquent un rôle crucial dans la sécurité numérique — et la confiance numérique.
Tout le monde peut s’assurer qu’un domaine a été vérifié en cliquant sur le cadenas dans la barre du navigateur. Essayez ! La simplicité avec laquelle on peut afficher les détails du certificat SSL/TLS d’un site atteste la présence de systèmes cryptographiques en arrière-plan.
Parallèlement à une meilleure connaissance des AC, on a vu proliférer les idées fausses sur les autorités de certification. Les utilisateurs doivent plus que jamais avoir accès à des informations correctes et éviter de tomber dans les pièges tendus par des individus mal intentionnés sur Internet.
Que fait l’AC pour protéger les internautes des pirates informatiques ?
Les AC vérifient les sites web pour déterminer leur fiabilité. Certaines vulnérabilités spécifiques doivent bien sûr être prises en considération, mais ces AC représentent, pour l’essentiel, un bon indicateur de confiance.
Les responsabilités d’une autorité de certification s’articulent autour de trois grandes tâches :
1. Confirmer l'identité du propriétaire du certificat
Les informations d’identité sont généralement intégrées dans un certificat. L’AC garantit leur validité.
2. Émettre des certificats
Chaque ressource informatique ainsi que les utilisateurs doivent posséder une identité et disposer d'un moyen de prouver sa validité. Un serveur SSH ou un site web constituent des ressources informatiques courantes. L’AC délivre des certificats pour valider les identités.
Un certificat peut être comparé à la version électronique d'un « permis de conduire ». En d'autres termes, il s'agit d'un fichier qui contient des informations sur l'identité de son propriétaire.
3. Fournir la preuve de validité des certificats
Il appartient aussi à l'AC de garantir la validité d'un certificat qui peut être annulée pour les raisons suivantes :
- À l’expiration du certificat, comme pour un permis de conduire
- Après révocation du certificat
- En cas de modification/altération du certificat
Une autorité de certification doit fournir la preuve de la validité d’un certificat, c’est là sa mission principale. Elle se porte ainsi garante de l’authenticité du certificat qui offre à son tour des gages de confiance aux visiteurs du site sur lequel il est installé. Aujourd'hui plus de 63,7 % de l’ensemble des sites web sont en HTTPS, la version sécurisée du protocole HTTP.
Mais les certificats ne sont pas réservés qu’aux sites web. Ils permettent également de renforcer les niveaux de sécurité des équipements IoT et du cloud.
Comment fonctionne une autorité de certification ?
Maintenant que nous avons vu les responsabilités des AC, étudions leur fonctionnement.
Cela commence généralement par un demandeur qui génère une paire de clés (une clé privée et une clé publique). Le demandeur envoie ensuite sa demande de signature de certificat (« le CSR », Certificate Signing Request) à une autorité de certification de confiance. Le CSR contient toutes les informations utiles sur le demandeur qui s’afficheront sur le certificat généré, si la demande est approuvée.
Une fois la demande reçue, l'autorité de certification vérifie l'authenticité des informations contenues dans le CSR. Lorsque la demande est jugée crédible, l'autorité de certification émet et attribue un certificat en utilisant sa clé privée, qu’elle transmet alors au demandeur pour utilisation.
Certaines autorités peuvent également soumettre le demandeur à plusieurs « épreuves » visant à s’assurer que ce dernier contrôle effectivement le domaine concerné par la demande de signature de certificat. Parfois, le demandeur doit signer avec sa clé privée pour prouver que c’est bien lui qui contrôle la paire de clés. À l’issue de ces épreuves et une fois la signature confirmée, le demandeur est autorisé à commander, renouveler et révoquer des certificats pour son site.
À la fin de la procédure, le demandeur peut utiliser le certificat signé pour activer le protocole approprié — HTTPS pour l'accès web et SSH pour l'accès au serveur à distance.
L’obtention du sceau d'approbation permet de rassurer les visiteurs, en cas de modification du site ou de changement de configuration de l'infrastructure. Ils savent ainsi avec certitude que les changements ont été apportés par le véritable propriétaire du site, et non un pirate informatique cherchant à profiter de la crédulité de certaines personnes.
Protéger les identités numériques, un certificat à la fois
Internet est ironique. D’un côté, Internet nous offre l'accès à toutes les informations nécessaires et à des services extrêmement pratiques, mais de l’autre, les données et la vie privée n'y sont pas vraiment protégées.
Violations de données, vols d'identité, cyberattaques et autres… toutes sortes de menaces planent sur les internautes. Sur fond de pandémie de coronavirus, cette situation n’a fait qu’empirer — d’où l'importance pour chacun de mettre la priorité sur l’amélioration des cyberdéfenses.
L'existence de tiers de confiance comme les AC contribue à faire d’Internet un lieu plus sûr pour tous — utilisateurs et organisations confondus. Pour réduire le plus possible les actes de cybercriminalité – et les coûts associés – chaque site web devrait impérativement être équipé d'un certificat SSL/TLS.
NB : Cet article a été rédigé par un contributeur externe en vue d’offrir à nos lecteurs une plus grande variété de contenus. Les opinions qui y sont exprimées sont uniquement celles de l’auteur et ne reflètent pas nécessairement la position de GlobalSign.