Lorsque vous accédez à un site vous pouvez remarquer à gauche dans la barre d’adresse un petit cadenas. Les professionnels de la sécurité des données vous ont expliqué que cela signifie que le site est certifié et sécurisé. Mais qu’entendent-ils par cela ?
La certification
Par certifié, il faut comprendre que lorsque vous appelez un site, ce dernier vous présente sa carte d’identité, le certificat SSL. Il s’agit d’un document qui donne les moyens de vérifier l’authenticité du site. Avec ce certificat, votre navigateur va interroger un serveur d’autorité fiable et reconnu pour s’assurer de sa validité.
Le certificat SSL contient d’autres informations dont deux indispensables pour la suite : la clé publique et le protocole de cryptage. Vous pouvez consulter le certificat. Pour cela, cliquez sur le cadenas, puis sur la mention ‘la connexion est sécurisée’, enfin sur la mention ‘certificat valide’. Son contenu apparaît alors en clair.
L’une des utilités de la clé publique est de valider que les informations proviennent bien du site interrogé. Le serveur du site crypte l’échange à partir d’une clé privée connue uniquement du site avant de le transmettre. La clé publique permet de décrypter l’information et assure que l’information provient du site validé.
La sécurisation
Par sécurité, les professionnels entendent que les informations que vous échangez avec le site sont cryptées. Si un pirate se positionne sur un nœud par lequel transite vos communications, il ne peut pas les déchiffrer et connaître les pages que vous consultez ou les informations que vous transmettez.
Pour assurer cela, le certificat a fourni à votre navigateur une clé publique et un protocole. Chaque fois qu’il interrogera le site, il cryptera l’échange selon cette clé. Le message chiffré ne peut être déchiffré qu’avec une clé privée connue uniquement du site. Même si quelqu’un voit l’échange, il ne pourra pas le lire.
Mise en place
Le site internet a donc besoin d’un certificat SSL pour assurer sa sécurité. Autrement, tout navigateur moderne affichera l’infamant message ‘site non sécurisé’ chaque fois que quelqu’un voudra y accéder. Pour cela, il doit se rapprocher d’un fournisseur de certificat réputé : ionos, sectigo, …
Mais cela a un coût. Certes le travail de certification est réel. Un agent s’assure que la personne à l’origine de la demande est réelle en contrôlant son identité physique (ou bancaire) et qu’elle est propriétaire du domaine qu’elle souhaite certifier. Il existe donc une alternative gratuite pour les non professionnels.
Let’s encrypt
Let’s encrypt est une service dont le premier objectif est de délivrer des certificats dans un objectif de sécurité. Les échanges sur Internet ne doivent plus être affichés en clair afin de limiter les possibilités d’attaque de la part des pirates de l’Internet. Ce service est donc porté par des sociétés spécialisées dans le domaine : Cisco, Mozilla, OVH, …
Let’s encrypt propose des outils simples pour générer et renouveler les certificats. Un vrai bonheur pour les administrateurs de site qui n’ont plus à se préoccuper de cette corvée. Certes, ce type de certificat n’est pas le plus performant, mais convient très bien pour la sécurisation d’un blog ou d’un site vitrine.
Conclusion
Il y a une faille dans mes explications. Avec un peu de logique vous la verrez et il me faudra comprendre comment ce problème est résolu dans la pratique. Je n’ai pas non plus parlé des attaques MITM, mais dans l’ensemble, ces solutions assurent la confidentialité et la fiabilité des échanges. Le certificat en est une brique essentielle.