Le chiffrement, c’est super... et nécessaire ! Aujourd’hui, il est tout simplement impossible d’exercer une activité en ligne sans chiffrement. En tant que consommateurs, nous avons appris à reconnaître un site sécurisé (HTTPS) pour nous fier uniquement à ceux qui répondent à des critères bien précis. Très bien, mais sur un site Web sécurisé, sommes-nous vraiment en sécurité ? Le chiffrement offre-t-il une protection suffisante ?
Les services d’émission de certificats SSL/TLS gratuits comme Let’s Encrypt ont réalisé un formidable travail de sensibilisation sur l’importance du chiffrement. Let’s Encrypt a considérablement simplifié les procédures pour obtenir un certificat avec validation de domaine (DV) — c’est-à-dire un certificat SSL/TLS de base permettant de chiffrer un site. Des millions de sites Web utilisent désormais des certificats DV, gratuits ou payants, pour chiffrer leurs pages. Par ailleurs, Google a commencé à « marquer » les sites sans HTTPS pour pointer du doigt leur défaut de sécurité. Le Web marchand a également adopté la philosophie du « chiffrement total ». Et pour cause, le trafic Internet chiffré a récemment dépassé le volume de trafic non chiffré.
Cette profusion de sites Web chiffrés serait plutôt une bonne chose, non ? Peut-être... Peut-être pas. La facilité avec laquelle on peut obtenir un certificat DV de base gratuit chez Let’s Encrypt permet en fait à n’importe qui d’acheter rapidement un certificat SSL/TLS et de l’installer sur n’importe quel type de site Web. Rien n’empêche d’utiliser un certificat DV émis par Let’s Encrypt, ou une autre autorité de certification (AC), pour donner à son site une apparence de sécurité. Mais, je reviens à ma question précédente : suis-je en sécurité sur ce site sécurisé ? Est-il fiable ?
De nombreux articles parus récemment dans la presse étudient la façon dont les certificats DV Let’s Encrypt sont utilisés pour conférer à certains sites de phishing ou d’arnaques une pseudo légitimité et une apparence de sécurité. Ces sites répondent en effet aux critères visuels de sécurité que nous avons appris à identifier. Dans Google, ils s’affichent comme étant sécurisés avec, dans la plupart des navigateurs, le symbole du cadenas nettement visible. Ces sites de phishing semblent donc fiables à première vue. Mais pour citer l’amiral Ackbar, «c’est un piège!» Vous devrez donc désormais réfléchir à deux fois pour savoir si tel site PayPal, tel site de banque, ou telle boutique en ligne est vraiment légitime.
Exemple de faux site PayPal utilisant un certificat DV gratuit
Comment être certain d’être en sécurité sur un site sécurisé ?
Le certificat DV n’est qu’un des types de certificats SSL/TLS qui existent. La plupart des autorités de certification (AC) proposent des certificats DV. Comme avec tous les certificats SSL/TLS, un certificat DV chiffre la communication entre un navigateur et un serveur Web, ce que le site indique avec le préfixe HTTPS. Ces certificats sont généralement peu coûteux (voire gratuits) et faciles à se procurer, car il suffit de prouver que le domaine vous appartient. En clair : rien n’indique dans le certificat qu’un certificat émis à www.masociete.com est réellement exploité par Ma Société.
Les nobles intentions de sécurisation d’Internet et les services gratuits de Let’s Encrypt ont malheureusement été détournés par des personnes sans scrupules pour lancer leurs attaques de phishing. Qui est responsable ? L’AC qui émet le certificat ou le navigateur qui présente le site comme étant sécurisé ? Vaste débat que nous n’aborderons pas ici... Nous nous concentrerons aujourd’hui sur l’importance de l’identité dans le certificat, et sur son sens.
De l’importance de l’identité
Même si un site est chiffré, cela ne suffit pas à garantir la protection des internautes. En revanche, le fait d’associer chiffrement et identité complique sérieusement toute tentative d’usurpation d’un site. Il existe deux autres types de certificats, en plus du certificat DV évoqué plus haut, qui associent une identité à un domaine : les certificats à validation étendue (EV, Extended Validation) et les certificats validés par l’organisation (OV, Organisation Validated). Avant qu’un certificat EV et OV puissent être délivrés, l’AC émettrice : 1) vérifie que le demandeur possède les droits d’utilisation d’un domaine spécifique, et 2) contrôle l’organisation pour prouver l’identité du propriétaire.
En offrant le niveau de chiffrement le plus élevé, les certificats EV permettent à l’organisation derrière un site de présenter une identité vérifiée à ses internautes. Les garanties qu’ils offrent sont également renforcées. En effet, les certificats EV attestent que les propriétaires des sites ont fait l’objet de contrôles d’identité standardisés au niveau international, conformément aux règles de la validation étendue (ensemble de principes et de règles de contrôle ratifiés par le CA/Browser Forum). Dans le cadre de la procédure de vérification d’identité pour les certificats EV, le demandeur doit prouver qu’il possède les droits d’utilisation exclusifs sur le domaine concerné ; confirmer son existence juridique, opérationnelle et physique ; et démontrer que l’entité a autorisé l’émission du certificat.
Même si les certificats OV exigent une forme de preuve d’identité, ils ne sont pas aussi prisés que les certificats EV. En cause : l’absence d’affichage direct des informations d’identité dans la barre d’adresse, et le traitement identique aux certificats DV par les navigateurs (cadenas standard et HTTPS). Quelle est la différence entre un certificat OV et un certificat DV ? En cliquant sur le certificat OV, le visiteur voit s’afficher les informations sur l’entreprise qui ont fait l’objet de contrôles supplémentaires. Il bénéficie ainsi d’une meilleure visibilité sur l’entité derrière le site, avec les gages de confiance associés.
À qui s’adressent les certificats EV SSL ?
Toutes les applications exigeant des garanties d’identité, des marques de confiance visibles et un chiffrement fort ont tout intérêt à utiliser des certificats EV SSL. Ces certificats sont vivement recommandés pour les sites à forte exposition, souvent victimes d’attaques de phishing — comme les grandes marques, les banques ou les établissements financiers —, notamment pour leurs pages accessibles au public. Les sites qui collectent des données, traitent des identifiants de connexion ou des paiements en ligne peuvent aussi profiter du niveau de confiance renforcée qu’offre cette catégorie supérieure de certificats SSL/TLS.
Les certificats EV SSL permettent aussi à des marques moins connues d’afficher un niveau de confiance conforme aux standards qui leur permet de concurrencer des marques à forte notoriété sur Internet. Dans la bataille du commerce en ligne, la confiance est le nerf de la guerre, et les certificats EV offrent le niveau de fiabilité maximum, en garantissant un site à la fois sécurisé et sûr.
Comment choisir le bon certificat SSL/TLS ?
Afin de choisir le bon certificat SSL/TLS pour vos sites, plusieurs points sont à prendre en considération. Votre marque est-elle connue et votre réputation est-elle bien établie ? Collectez-vous des données personnelles ? Manipulez-vous des données sensibles ou gérez-vous des transactions financières ? Si vous avez répondu «oui» à l’une de ces questions, le certificat EV représente une solution intéressante si vous souhaitez offrir à vos visiteurs/clients le niveau de confiance dont ils ont besoin. En revanche, si la vocation de votre site est purement informative, comme un blog, un simple certificat DV suffira. Mais si vous le souhaitez, un certificat OV vous apportera un niveau de confiance supérieur à celui d’un DV.
En janvier dernier, le conseil des normes de sécurité PCI publiait son guide des bonnes pratiques de sécurisation du commerce en ligne. Une section de ce document est consacrée au choix des certificats à clé publique (comme les certificats SSL/TLS), et présente les différents critères de sélection d’une AC et du type de certificat pour un site e-commerce. Le conseil des normes de sécurité PCI recommande d’utiliser des certificats OV et EV si vous réalisez des transactions en ligne.
Source : Conseil des normes de sécurité PCI. Bonnes pratiques de sécurisation du commerce en ligne, page 38
Autorité de certification leader du secteur, GlobalSign vous aide à choisir le bon certificat SSL/TLS. Depuis plus de 20 ans, nous aidons les organisations de toute taille à faire leur choix. Nous proposons également des solutions gérées pour simplifier la gestion multicertificats dans votre environnement, depuis leur détection jusqu’à leur renouvellement en passant par leur émission et leur révocation. Appelez-nous aujourd’hui.