Les dispositifs intelligents se comptent par dizaines de milliards et tous communiquent avec des sites web et des services numériques et en facilitent l'accès, qu'il s'agisse de services publics comme l'accès aux médias sociaux ou d'opérations sensibles comme l'accès au courrier électronique privé, les opérations bancaires en ligne et le traitement de données médicales.
Ces communications dépendent toutes de l'infrastructure à clé publique ("PKI") dans laquelle les autorités de certification publiques (CA) supervisent la fourniture de certificats numériques, garantissant que les entités qui gèrent ces services et y accèdent sont bien celles qu'elles prétendent être, et sécurisant les connexions entre elles. Sur le web public, il est essentiel que ces connexions soient non seulement sûres, mais aussi fiables.
Les nombreux aspects de la confiance publique
Qu'est-ce que la confiance ?
Dans le contexte d'une connexion SSL / TLS, la confiance tourne autour de la confiance d'un client dans l'identité du serveur ou d'une autre partie avec laquelle il communique. Pour comprendre comment cette confiance est établie, examinons certains termes utilisés dans le domaine de la confiance.
Assurance
L'assurance nous aide à déterminer qui et quoi est digne de confiance. Lorsque l'on vous remet un document signé, quelques facteurs peuvent vous assurer que la signature est légitime, par exemple si vous connaissez personnellement la personne qui vous remet le document et lui faites confiance, si le document contient un cachet ou un sceau notarié, ou si le processus de signature est enregistré et horodaté. Chacune de ces actions fournit une garantie supplémentaire au destinataire, ce qui renforce la confiance.
Certitude globale
Dans l'exemple ci-dessus, la certitude globale consiste à croire sur parole que le document est authentique. Bien que le fait de connaître la personne augmente légèrement l'assurance, cela relève toujours de l'assurance générale.
Certitude élevée
Si le document signé a été authentifié par un notaire, la certitude que le document et la signature en question sont authentiques est élevée. Même sans connaître personnellement le notaire public, il est possible de vérifier qu'il est enregistré auprès de l'administration compétente. De nombreux pays exigent également des notaires qu'ils tiennent un registre, ce qui peut faciliter la vérification. Une preuve vidéo nous amènerait à une quasi-certitudey.
Toutefois, il existe des problèmes potentiels tels que la qualité de la vidéo, les erreurs d'identification, le montage et les "deepfakes", qui peuvent semer le doute.
Certitude cryptographique
Si nous regardions une séquence enregistrée d'un processus de signature, nous pourrions établir, à partir du contexte, la légitimité du document signé. Un horodatage indique que la vidéo n'a pas été éditée et qu'elle a eu lieu à ce moment-là. Nous pouvons également nous assurer que le document, la signature et le contreseing du notaire correspondent à ceux de la vidéo. Nous pouvons également confirmer ce fait en le corroborant avec les registres de l'étude notariale.
Si le document a été modifié ou si la licence du notaire a expiré au moment de la signature, il n'y a plus d'assurance et le document, ainsi que la signature, sont nuls. C'est en fait ce que l'on obtient avec la certitude cryptographique, qui décrit le niveau d'assurance le plus élevé dans lequel nous pouvons garantir qu'une communication ou un élément de données n'a pas été altéré et qu'il provient d'une source fiable.
Confiance hors ligne et confiance numérique
Hors ligne, nous pouvons observer certains aspects de notre environnement pour confirmer que nous nous trouvons au bon endroit et que nous nous adressons aux bonnes personnes, comme un médecin dans un cabinet médical. Le monde en ligne nous a éloignés des environnements en personne, ce qui pose un problème pour prouver que nous nous trouvons dans un espace numériquement équivalent. Heureusement, nous pouvons tirer parti de l'automatisation pour effectuer ces vérifications nécessaires et apporter un niveau élevé d'assurance et de confiance adapté au monde en ligne.
Confiance publique et confiance privée
Lors de l'enregistrement dans un aéroport ou de l'ouverture d'un compte bancaire, une certaine forme de vérification de l'identité est requise. Les pièces d'identité acceptables sont généralement délivrées par l'État ou les autorités fédérales, comme le permis de conduire ou le passeport, ce qui rend leur utilisation polyvalente car elles bénéficient de la confiance du public.
Un badge ou une pièce d'identité délivré(e) par l'employeur serait l'équivalent d'une pièce d'identité privée. Il n'est pas possible d'utiliser la carte d'identité d'un employé pour ouvrir un compte bancaire, mais cette carte d'identité a une certaine force dans le bon contexte. Il est contrôlé par l'employeur et permet aux autres de savoir que vous êtes autorisé à vous trouver dans les locaux de l'entreprise. Un permis de conduire peut montrer à un employeur qui vous êtes, mais il ne lui montre pas que vous avez votre place dans l'entreprise.
Ces deux types de certificats démontrent également des utilisations applicables numériquement. Différents certificats auront différentes applications de confiance en fonction de leur objet et de leur destinataire. Les certificats sont délivrés à des fins internes et externes - certains peuvent être publiquement reconnus, d'autres non.
Maintenant que nous avons établi les hiérarchies d'assurance traditionnelles, déterminons qui joue ces rôles en ligne, c'est-à-dire qui sont les "notaires" de l'internet.
Confiance dans les autorités de certification publiques
Traditionnellement, nous pouvons faire appel à un notaire ou à des lettres d'attestation d'un avocat ; dans le monde en ligne, nous nous tournons vers les autorités publiques de certification. Les notaires gagnent la confiance en satisfaisant aux exigences de leur juridiction et en s'enregistrant auprès des autorités compétentes. Cette confiance se traduit par l'apposition de leur sceau et de leur signature sur les documents.
De même, les autorités de certification publiques gagnent la confiance en répondant à des exigences strictes en matière de sécurité et de conformité définies par les "opérateurs de magasin racine". Adobe, Apple, Google, Microsoft et Mozilla sont des exemples d'opérateurs de magasins racines. La présence d'une AC dans un ou plusieurs de ces magasins de racines établit le degré d'ubiquité de la racine.
La confiance accordée aux AC publiques par ces programmes racines est transmise aux certificats numériques qu'elles émettent.
Certificats numériques
Les certificats numériques sont des documents numériques conformes à la norme X.509 et peuvent être divisés en deux catégories principales : les certificats de serveur et les certificats de client. Les certificats numériques contiennent une clé publique et un ensemble de champs standard définissant l'objet du certificat, la période de validité et de nombreux autres détails, y compris l'entité ou les entités auxquelles il est délivré. Les informations contenues dans le certificat sont signées numériquement par l'autorité de certification, ce qui lui confère une certaine confiance.
Les certificats de serveur, également appelés certificats SSL ou TLS, attestent de l'identité d'un serveur. Lorsqu'un client se connecte au site web, par exemple https://www.globalsign.com/es, le certificat et le protocole TLS garantissent la confidentialité, l'intégrité et l'authenticité de la transmission des données.
Alors qu'un certificat TLS authentifie un serveur, un certificat client atteste d'autres entités telles que des individus, des adresses électroniques, des organisations ou d'autres parties. Les certificats clients sont utilisés pour signer des objets numériques tels que des dessins de CAO, des documents, des courriels et du code, ils cryptent les courriels et d'autres données et peuvent être utilisés pour authentifier un client auprès d'un serveur.
Établir la confiance
Un certificat TLS peut prétendre certifier un site web particulier, mais comment pouvons-nous être sûrs que le certificat appartient à la partie qui contrôle ce site web et non à un imposteur ?
Lorsqu'un client se connecte au site web, le navigateur vérifie quelle autorité de certification a signé et émis le certificat. Il s'agit généralement d'un certificat intermédiaire. Ces certificats intermédiaires sont à leur tour signés et émis par un certificat de l'autorité de certification racine. La séquence qui consiste à lier le certificat TLS à un ou plusieurs certificats intermédiaires et finalement à une autorité de certification racine est appelée chaîne de confiance. Si l'AC racine se trouve dans le magasin racine de confiance du navigateur, il s'agit d'un certificat de confiance.
Réunir tous les éléments
Lorsqu'un certificat TLS est délivré à un site web, l'autorité de certification a validé le fait que le demandeur contrôle le domaine et possède la clé privée. Le certificat est signé par l'autorité de certification et possède désormais une chaîne de confiance jusqu'à son certificat racine, qui fait également partie d'un programme racine. Le navigateur peut valider tout cela et confirmer que le certificat n'est ni expiré ni révoqué. Avec une connexion TLS établie, nous avons l'assurance de tout ce qui précède et d'une connexion sécurisée garantissant que les données transmises sont cryptées et ne sont pas modifiées depuis leur source.
Vérifier chaque interaction en personne avec une pièce d'identité, puis vérifier la validité de cette pièce d'identité dans le monde hors ligne serait extrêmement peu pratique pour les applications quotidiennes, mais, dans le monde numérique, nous pouvons automatiser les équivalents de ces vérifications et apporter une grande assurance aux interactions numériques.
La confiance est le fondement sur lequel reposent toutes les transactions et communications dans le monde, tant dans l'espace physique que dans l'espace numérique. Sans confiance, nous sommes incapables de garantir la protection de nos données et de nos actifs, et de nombreux processus de communication tomberaient à l'eau.
Lorsqu'elles effectuent des transactions commerciales, les organisations dépendent de l'assurance de la confiance entre elles et leurs partenaires pour garantir que les opérations commerciales se poursuivent sans interruption. De même, les organisations doivent travailler avec une autorité de certification de confiance pour garantir la sécurité de leurs données, de leurs communications et de leurs transactions numériques.
