C’est quoi un certificat numérique ?
Nous allons regarder :
- Pourquoi utiliser un certificat numérique ?
- La définition du certificat numérique.
- Comment ça marche les certificats numériques ?
- Qui délivre le certificat numérique ?
Sur Internet, les pirates sont très actifs, il est important d’avoir la garantie que l’on est bien connecté sur le site voulu, et non pas sur un site malintentionné.
Pour nous aider dans cette jungle, il existe un système de certificats numériques qui atteste de l’identité du site sur lequel vous surfez. Regardons ensemble comment tout cela fonctionne.
Rappel
Il existe 2 types de façons de se connecter à un site : en http ou https. (je vous rappelle que l’un de ces protocole est sécurisé et l’autre pas. N’hésitez pas à relire : c’est quoi la différence entre http ou https ?)
Quand vous êtes connecté sur un site en https, vous vous dites : “le site sur lequel je suis en train de surfer est en https, donc je suis en toute sécurité” et vous avez raison mais seulement partiellement !
En effet, lorsque vous surfez sur Internet, vous accédez aux différents sites à l’aide d’URL (Voir la définition d’URL dans le dictionnaire). Vous faites donc confiance à ces url et à votre navigateur pour vous emmener vers les sites que vous souhaitez consulter, mais êtes vous sûr d’être sur le bon site ?
Pourquoi utiliser un certificat numérique ?
Pourquoi, est-il si important d’être sûr que l’on est bien connecté sur le bon site ? Pour bien comprendre, je vais reprendre un exemple avec le téléphone.
Exemple
Imaginons que vous voulez appeler votre banque. Vous allez donc cherchez dans l’annuaire. Vous trouvez le numéro de téléphone, vous le composez et vous êtes donc en ligne avec votre banquier.
Maintenant, imaginons que votre annuaire ait été piraté (oui, avec un annuaire papier cela semble peu plausible, mais en informatique malheureusement ça arrive ). Si votre annuaire a été piraté et que le numéro de votre banque ait été remplacé par le numéro du pirate. Si vous composez ce numéro, vous serez en ligne avec ce pirate qui pourra alors vous extorquer des informations confidentielles. A moins de reconnaître sa voix, vous n’avez aucune autre possibilité de savoir si vous êtes au téléphone avec votre banquier ou avec un pirate !
Rappelez vous comment fonctionne les accès aux différents sites Internet. Vous savez qu’avant d’appeler les pages d’un serveur web, l’ordinateur va faire une requête DNS pour retrouver l’adresse du site, un peu comme on recherche dans un annuaire. (Si vous ne vous en souvenez plus très bien ? Alors jetez un oeil ici : C’est quoi un serveur DNS ?).
Regardons tout cela avec des schémas :
Voici le schéma “normal”, la connexion n’est pas piratée :
et voici comment cela se passerait si la connexion de l’internaute était piratée (il existe pas mal de façons différentes d’acheminer l’utilisateur vers un site pirate, mais ce n’est pas le sujet de cet article)
Comme on peut le voir sur ces 2 schémas, la seule différence est que le “Vrai” serveur présente son certificat numérique. Le serveur pirate ne peut pas le faire, car il n’en possède pas. Nous verrons plus loin pourquoi est-ce qu’un pirate ne peut pas avoir de certificat numérique.
Cela se traduit pour l’internaute par un affichage avec des messages d’alertes au niveau du navigateur :
Internet Explorer
Mozilla Firefox
Google Chrome
Dans les 3 exemples du dessus, les navigateurs nous mettent en garde contre les risques de continuer sur de tels sites.
Mais rien ne vous empêche de continuer ! En tout cas, vous avez été avertis !
Dans quels cas, ces messages apparaissent ?
Ces messages d’alertes peuvent apparaître dans plusieurs cas :
- Le site n’émet pas de certificat. (absence de certificat)
- Le site émet un certificat mais celui-ci a expiré (les certificats ont une durée de validité)
- Le certificat est auto-signé (cela arrive souvent en interne dans les entreprises pour les serveurs qui ne sortent pas sur Internet)
- Le certificat est valide pour un nom de site et il est emis pour un autre (Exemple : le certificat est valide pour www2.monsite.fr et le certificat est émis pour www.monsite.fr il s’agit bien de 2 adresses différentes : ils doivent donc 2 certificats différents ou alors avoir un certificat : *.monsite.fr)
- L’autorité qui a délivré le certificat n’est pas connue
Définition du certificat numérique.
Il est temps maintenant de nous intéresser à la définition du certificat numérique ou certificat électronique.
Le certificat numérique est une sorte de carte d’identité. Comme les cartes d’identité, il est délivré pour un organisme habilité. Et comme les cartes d’identité, le certificat numérique est
- infalsifiable : il est crypté pour empêcher toute modification,
- nominatif : il est délivré à une entité (comme la carte d’identité est délivrée à une personne et une seule),
- certifié : il y a le “tampon” de l’autorité qui l’a délivré.
Il est composé de 2 parties essentielles :
- Les informations d’identité du certificat :
- nom du porteur
- adresse du porteur
- les dates de début et de fin de validité
- le nom de l’autorité de certification (CA : Certificate Authority)
- …
- La signature de l’autorité de certification
- cette signature est chiffrée. (cela va permettre de vérifier que le certificat est bien délivré par l’autorité de certification)
Et enfin, pour votre “culture”, il faut savoir que les certificats numériques ne sont pas réservés à la seule certification des sites web. Il existe de nombreux type de certificats. Ils peuvent servir à certifier des fichiers, des mails, … Mais là, c’est une autre histoire 😉
Dans la 2ème partie de cet article, nous verrons allons nous attarder un peu plus sur un type de certificat numérique que vous utilisez tous les jours (ou presque) :
C’est quoi un certificat SSL ?
Qui délivre les certificats numériques ?
Comment ça marche les certificats numériques ?
Retrouvez les 3 parties de ces articles liés aux certificats :
- C’est quoi un certificat numérique ?
- C’est quoi un certificat SSL ?
- Comment ça marche les certificats numériques ?
Et puisque ces notions sont évoquées dans ces articles, retrouvez-les ici :
Comme d’habitude, tous les commentaires sont les bienvenus.
N’hésitez pas à vous inscrire à la lettre d’information pour être informé de la parution de nouveaux articles. (vous trouverez la zone d’inscription à la lettre d’information sur la droite de l’écran).
Effectivement, il est parfois très difficile de différencier les sites sûrs avec les sites malintentionnés (particulièrement pour les particulier qui n’ont pas beaucoup de connaissance dans le domaine de l’informatique). C’est pourquoi il est essentiel de connaître davantage sur le sujet. J’espère que la suite de cet article sera bientôt achevé! je suis impatiente de lire la suite.
Oui, Léa.
Beaucoup sont impatients, mais je suis un peu débordé. J’essaie de finir ça dans la semaine.
A bientôt
Tu ne nous as pas encore expliqués pourquoi les sites pirates ne peuvent pas avoir de certificats même si cela semble assez évident (vu que ce sont des pirates, ils ne peuvent demander à aucune autorité de certifier leur site ou un truc dans le genre j’imagine, enfin ils pourraient le faire mais cela leur coûterait cher et j’imagine qu’ils devraient communiquer des infos de leur soit disante organisation avant la délivrance du certificat)
Bonjour Loïc,
oui c’est ça : comme il y a des vérifications : ils ne pourraient pas justifier de tous les éléments demandés.
A bientôt
Ok mais comment mon fureteur sait que tel ou tel site devrait me présenter un certificat ou pas ? Est-ce que je dois préalablement installer des certificats pour que mon fureteur le sache ? Merci de m’éclairer.
Bonjour Eric,
non c’est le site qui choisi d’être en https ou pas.
Et les racines des grands fournisseurs de certificats sont à jour sur les ordinateurs. Ils sont mis à jour si besoin (soit manuellement, soit automatiquement). Mais il n’y a que très peu de modifications à ce niveau car il ne se créé pas de nouveaux fournisseurs tous les jours.
A bientôt
bonsoir
si je supprime tous les certificats enregistrés sur mon ordi qu’est ce qui se passe
Bonjour,
ils vont se charger à nouveau si besoin et certains devront être réinstallés.
A bientôt