Articles IT et Télécoms

Les certificats sur Internet : des « passeports numériques » dignes de confiance ?

Sur Internet, il est difficile à priori de s’assurer de l’identité d’une entreprise ou d’un site. C’est la raison pour laquelle ont été instaurés les certificats numériques qui ont pour mission de vérifier l’authenticité des sites. Mais cette solution n’est pas la panacée comme le montrent certaines usurpations d’identité récentes à fort retentissement.

Depuis une bonne décennie, le commerce électronique est en plein essor. Mais comment les internautes peuvent-ils être sûrs que leur commande a bien été enregistrée par le site d’une boutique ayant pignon sur le web et non pas par un faux site mis en ligne par des escrocs ?

Aux premier temps d’Internet dans le grand public, cette interrogation légitime a été à l’origine du dessin ci-après.

SSL et HTTPS

La solution mise en place dans la seconde moitié des années 90 repose sur une connexion sécurisée composée de deux éléments : le protocole HTTPS (HyperText Transfer Protocol Secured) et le certificat SSL (Secure Socket Layer).

Le grand public s’est désormais familiarisé avec le cadenas qui apparait soit en bas de l’écran, soit dans la barre d’adresses, lors de l’établissement d’une connexion invoquant un certificat SSL.

Affichage du cadenas dans Internet Explorer 9 lors de l’établissement d’une connexion sécurisée

Intégré dans le navigateur internet, le certificat SSL est en quelque sorte un « passeport numérique ». Il a pour finalité de vérifier que l’entreprise dont le site est visité est bien celle qu’elle prétend être et que la communication ne peut être ni lue ni modifiée par un tiers. Ce « tampon » version high-tech est par exemple utilisé par l’administration fiscale lorsqu’on fait sa déclaration de revenus sur le net.

Les «préfectures» du web

Ce sésame électronique est également de plus en plus utilisé par les entreprises pour sécuriser leurs échanges de données ainsi que dans le cadre de la dématérialisation des formalités administratives.

Ces certificats numériques sont délivrés par une cinquantaine de sociétés dans le monde, parmi lesquelles une poignée d’entreprises françaises comme CertEurope, CertiNomis (filiale de La Poste), ChamberSign France et Keynectis, le leader français des solutions et services de certification électronique. Reconnues par les états comme Autorités de Certification (AC), on peut les comparer avec les préfectures en charge de la délivrance des cartes d’identité et des passeports.

Le processus d’émission d’un certificat

L’émission et la vérification des certificats numériques reposent sur une infrastructure connue sous le nom de PKI ou Public Key Infrastructure (infrastructure de clés publiques).

Les autorités de certification reçoivent les demandes de création de certificats venant des autorités d’enregistrement et vérifient la validité de la signature des messages reçus, garantie de l’intégrité de la demande et de l’authentification des émetteurs.

Elles créent ensuite les certificats (avec une date de création et de fin de validité) et les signent en utilisant leurs clés privées. Elles les envoient aux utilisateurs et en parallèle les transmettent au service des autorités de certification.

Une autorité de certification est dotée d’un couple de clés privée-publique lui permettant de signer les certificats. Cette prestation est généralement facturée entre 15 et 1500 euros.

Si la clé publique a pour vocation à être le plus largement diffusée, la clé privée de cet organisme est au contraire ultra confidentielle et doit être très bien protégée. Dans l’hypothèse où cette clé viendrait à être connue, un tiers pourrait générer des faux certificats.

Ces autorités de certification sont reconnues comme étant de « confiance » par les navigateurs web, après un engagement contractuel auprès des éditeurs tels que Microsoft, Mozilla, Apple ou encore Google. Leurs certificats électroniques sont ensuite inclus dans ces navigateurs web.

Le choix de l’autorité de certification pour une administration ou une entreprise représente donc une décision stratégique. C’est la raison pour laquelle certaines sociétés créent leur propre autorité de certification, seule entité habilitée à délivrer des certificats à des unités de recherche ou des filiales.

Une sécurité informatique très perfectible

Cette organisation n’est néanmoins pas parfaite. Des attaques informatiques récentes ont rappelé que ce système pouvait présenter des failles. Il apparait en particulier que la gestion des certificats laisse parfois à désirer et que la protection de ces éléments reste perfectible.

Ce constat n’est, hélas, pas récent. Les 29 et 30 janvier 2001, VeriSign (le leader mondial du secteur) avait validé deux certificats à une personne se faisant passer pour un employé de Microsoft. Le nom assigné à ces deux certificats était « Microsoft Corporation ». Avec ce genre de sésame, l’escroc pouvait installer ou exécuter n’importe quel programme malveillant portant la signature Microsoft ! Cette erreur n’a été corrigée qu’au bout de quelques jours…

Plus récemment, deux autorités de certification ont été victimes d’attaques informatiques.

Les serveurs de la société américaine Comodo et de la néerlandaise DigiNotar ont été infiltrés par le même pirate (qui aurait attaqué d’autres AC). Ce dernier a tiré profit de failles évidentes de sécurité (serveurs non mis à jour, mots de passe faibles…) pour créer de faux certificats dont un *.google.com.

Un peu plus de 500 certificats ont été émis sur une période de dix jours et activement utilisés dans le cadre d’attaques planifiées. Ils ne seront révoqués par les principaux navigateurs qu’un mois après leur mise en circulation sur le web par le pirate ! Apple aura été le plus long à réagir puisque Safari ne sera patché que deux semaines après les autres logiciels…

Mis au banc des accusés par les autorités néerlandaises, l’AC DigiNotar a été contraint de mettre la clé sous la porte. Cette affaire montre à quel point des entreprises qui devraient disposer d’une politique de sécurité informatique irréprochable sont loin d’être à la hauteur. Un constat à mettre en parallèle avec les différentes attaques dont a été victimes ces derniers mois Sony…

Le protocole SSL apparaît aussi comme un maillon faible dans cette chaîne de confiance.

Mi-septembre, deux chercheurs ont indiqué avoir mis au point un logiciel (BEAST pour « Browser Exploit Against SSL/TLS ») capable de casser le SSL. La presse a aussitôt relayé cette annonce en indiquant qu’elle remettait en cause toute la confiance sur le web. En réalité, les deux experts ne font que rappeler des limites du SSL connues depuis des années mais qui ne sont toujours pas corrigées…

En dépit d’une infrastructure d’authentification sécurisée, l’usurpation d’identité reste toujours possible du fait de défaillances humaines portant sur la protection des données. Il n’en reste pas moins que l’infrastructure de sécurisation des identités mise en place a jusqu’ici rempli sa mission en permettant notamment l’essor du commerce électronique. Il n’existe pas de mesure infaillible permettant de se garantir à 100 % du risque d’usurpation, l’arme la plus efficace demeurant le bon sens.

Publicités

Discussion

Les commentaires sont fermés.

%d blogueurs aiment cette page :