C’est quoi un certificat numérique ?
Nous allons regarder :
- Pourquoi utiliser un certificat numérique ?
- La définition du certificat numérique.
- Comment ça marche les certificats numériques ?
- Qui délivre le certificat numérique ?
Sur Internet, les pirates sont très actifs, il est important d’avoir la garantie que l’on est bien connecté sur le site voulu, et non pas sur un site malintentionné.
Pour nous aider dans cette jungle, il existe un système de certificats numériques qui atteste de l’identité du site sur lequel vous surfez. Regardons ensemble comment tout cela fonctionne.
Rappel
Il existe 2 types de façons de se connecter à un site : en http ou https. (je vous rappelle que l’un de ces protocole est sécurisé et l’autre pas. N’hésitez pas à relire : c’est quoi la différence entre http ou https ?)
Quand vous êtes connecté sur un site en https, vous vous dites : « le site sur lequel je suis en train de surfer est en https, donc je suis en toute sécurité » et vous avez raison mais seulement partiellement !
En effet, lorsque vous surfez sur Internet, vous accédez aux différents sites à l’aide d’URL (Voir la définition d’URL dans le dictionnaire). Vous faites donc confiance à ces url et à votre navigateur pour vous emmener vers les sites que vous souhaitez consulter, mais êtes vous sûr d’être sur le bon site ?
Pourquoi utiliser un certificat numérique ?
Pourquoi, est-il si important d’être sûr que l’on est bien connecté sur le bon site ? Pour bien comprendre, je vais reprendre un exemple avec le téléphone.
Exemple
Imaginons que vous voulez appeler votre banque. Vous allez donc cherchez dans l’annuaire. Vous trouvez le numéro de téléphone, vous le composez et vous êtes donc en ligne avec votre banquier.
Maintenant, imaginons que votre annuaire ait été piraté (oui, avec un annuaire papier cela semble peu plausible, mais en informatique malheureusement ça arrive ). Si votre annuaire a été piraté et que le numéro de votre banque ait été remplacé par le numéro du pirate. Si vous composez ce numéro, vous serez en ligne avec ce pirate qui pourra alors vous extorquer des informations confidentielles. A moins de reconnaître sa voix, vous n’avez aucune autre possibilité de savoir si vous êtes au téléphone avec votre banquier ou avec un pirate !
Rappelez vous comment fonctionne les accès aux différents sites Internet. Vous savez qu’avant d’appeler les pages d’un serveur web, l’ordinateur va faire une requête DNS pour retrouver l’adresse du site, un peu comme on recherche dans un annuaire. (Si vous ne vous en souvenez plus très bien ? Alors jetez un oeil ici : C’est quoi un serveur DNS ?).
Regardons tout cela avec des schémas :
Voici le schéma « normal », la connexion n’est pas piratée :
et voici comment cela se passerait si la connexion de l’internaute était piratée (il existe pas mal de façons différentes d’acheminer l’utilisateur vers un site pirate, mais ce n’est pas le sujet de cet article)
Comme on peut le voir sur ces 2 schémas, la seule différence est que le « Vrai » serveur présente son certificat numérique. Le serveur pirate ne peut pas le faire, car il n’en possède pas. Nous verrons plus loin pourquoi est-ce qu’un pirate ne peut pas avoir de certificat numérique.
Cela se traduit pour l’internaute par un affichage avec des messages d’alertes au niveau du navigateur :
Internet Explorer
Mozilla Firefox
Google Chrome
Dans les 3 exemples du dessus, les navigateurs nous mettent en garde contre les risques de continuer sur de tels sites.
Mais rien ne vous empêche de continuer ! En tout cas, vous avez été avertis !
Dans quels cas, ces messages apparaissent ?
Ces messages d’alertes peuvent apparaître dans plusieurs cas :
- Le site n’émet pas de certificat. (absence de certificat)
- Le site émet un certificat mais celui-ci a expiré (les certificats ont une durée de validité)
- Le certificat est auto-signé (cela arrive souvent en interne dans les entreprises pour les serveurs qui ne sortent pas sur Internet)
- Le certificat est valide pour un nom de site et il est emis pour un autre (Exemple : le certificat est valide pour www2.monsite.fr et le certificat est émis pour www.monsite.fr il s’agit bien de 2 adresses différentes : ils doivent donc 2 certificats différents ou alors avoir un certificat : *.monsite.fr)
- L’autorité qui a délivré le certificat n’est pas connue
Définition du certificat numérique.
Il est temps maintenant de nous intéresser à la définition du certificat numérique ou certificat électronique.
Le certificat numérique est une sorte de carte d’identité. Comme les cartes d’identité, il est délivré pour un organisme habilité. Et comme les cartes d’identité, le certificat numérique est
- infalsifiable : il est crypté pour empêcher toute modification,
- nominatif : il est délivré à une entité (comme la carte d’identité est délivrée à une personne et une seule),
- certifié : il y a le « tampon » de l’autorité qui l’a délivré.
Il est composé de 2 parties essentielles :
- Les informations d’identité du certificat :
- nom du porteur
- adresse du porteur
- les dates de début et de fin de validité
- le nom de l’autorité de certification (CA : Certificate Authority)
- …
- La signature de l’autorité de certification
- cette signature est chiffrée. (cela va permettre de vérifier que le certificat est bien délivré par l’autorité de certification)
Et enfin, pour votre « culture », il faut savoir que les certificats numériques ne sont pas réservés à la seule certification des sites web. Il existe de nombreux type de certificats. Ils peuvent servir à certifier des fichiers, des mails, … Mais là, c’est une autre histoire 😉
Dans la 2ème partie de cet article, nous verrons allons nous attarder un peu plus sur un type de certificat numérique que vous utilisez tous les jours (ou presque) :
C’est quoi un certificat SSL ?
Qui délivre les certificats numériques ?
Comment ça marche les certificats numériques ?
Retrouvez les articles liés aux certificats :
- C’est quoi un certificat numérique ?
- C’est quoi un certificat SSL ?
- Comment ça marche les certificats numériques ?
- Comment ça marche un certificat SSL ?
Et puisque ces notions sont évoquées dans ces articles, retrouvez-les ici :
Vivre en France et trouver une communauté qui vous comprenne vraiment peut être difficile. C’est pourquoi j’ai été ravie de découvrir un site qui met en relation la communauté LGBT par le biais de webcams. Cet espace m’a permis de rencontrer d’autres personnes qui partagent mes expériences. Les interactions en direct donnent une impression incroyablement personnelle et solidaire. https://webcam.lgbt/fr/ C’est plus qu’une simple plateforme, c’est une communauté.
bonsoir
si je supprime tous les certificats enregistrés sur mon ordi qu’est ce qui se passe
Bonjour,
ils vont se charger à nouveau si besoin et certains devront être réinstallés.
A bientôt
Ok mais comment mon fureteur sait que tel ou tel site devrait me présenter un certificat ou pas ? Est-ce que je dois préalablement installer des certificats pour que mon fureteur le sache ? Merci de m’éclairer.
Bonjour Eric,
non c’est le site qui choisi d’être en https ou pas.
Et les racines des grands fournisseurs de certificats sont à jour sur les ordinateurs. Ils sont mis à jour si besoin (soit manuellement, soit automatiquement). Mais il n’y a que très peu de modifications à ce niveau car il ne se créé pas de nouveaux fournisseurs tous les jours.
A bientôt
Tu ne nous as pas encore expliqués pourquoi les sites pirates ne peuvent pas avoir de certificats même si cela semble assez évident (vu que ce sont des pirates, ils ne peuvent demander à aucune autorité de certifier leur site ou un truc dans le genre j’imagine, enfin ils pourraient le faire mais cela leur coûterait cher et j’imagine qu’ils devraient communiquer des infos de leur soit disante organisation avant la délivrance du certificat)
Bonjour Loïc,
oui c’est ça : comme il y a des vérifications : ils ne pourraient pas justifier de tous les éléments demandés.
A bientôt
Effectivement, il est parfois très difficile de différencier les sites sûrs avec les sites malintentionnés (particulièrement pour les particulier qui n’ont pas beaucoup de connaissance dans le domaine de l’informatique). C’est pourquoi il est essentiel de connaître davantage sur le sujet. J’espère que la suite de cet article sera bientôt achevé! je suis impatiente de lire la suite.
Oui, Léa.
Beaucoup sont impatients, mais je suis un peu débordé. J’essaie de finir ça dans la semaine.
A bientôt
bonjour très intéressant le sujet des certificats.
mais encore faut t’il en comprendre certaines subtilités.
ici je parle des certificats des sites web.
afin que les gens face bien la différence. car cela peut être trompeur.
étant pas expert bien sûr je peut faire une erreur de jugement
je souhaite donc avoir un avis de ta part. sûr cela.
car les réponse que tu donne sont toujours très bien analyser. très juste.
avec de plus une très bonne explication.
trust seal = certificat de confiance / sceau de confiance
un certificat de confiance signifie simplement que quelque chose
sur un site internet. une procédure de paiement. la protection
des données privée que laissent les visiteurs lors d’une inscription
ou d’un achat. etc. est à priori fiable.
c’est une sorte de label de qualité.
cela se passe normalement en analysant la chose certifiée / le script logiciel.
les protocoles. la mise en oeuvre chez le certifié.
ordinateur et sauvegardes inaccessibles y compris à des personnes physiques
dans les locaux du certifié. etc.
de nombreuses certifications sont gérées par des sites web. qui recueillent
les avis des internautes à propos de quelque chose.
c’est le crowd sourcing. partagez votre savoir donnez votre avis.
dans le cas d’avis sur un produit ou une transaction commerciale
ou une société commerciale.
une vérification est faite. numéro de facture / identification
de celui qui s’exprime. afin de s’assurer que celui qui s’exprime
en bien ou en mal est habilité à le faire.
est réellement un client.
un cahier des charges liste un ensemble de règles auxquelles le certifié
doit répondre. une fois la certification délivrée la chose certifiée ne doit
plus être modifiée. elle doit être figée sinon la certification. et pas valide.
qu’est ce que l’utilisateur comprend de ces sceaux qui clignotent
sur des dizaines de milliers de sites ? rien !
c’est de la poudre aux yeux ?
prenons le cas de la certification d’une procédure de paiement.
procédure de certification de la procédure financière.
lors d’un acte de paiement cela signifie que la procédure financière
la transaction de paiement est fiable. rien de plus
la plateforme de paiement à les agréments bancaires. etc.
cela ne signifie absolument pas que le site est fiable ni que les produits
vendus sont fiables.
un site vendant des crapwares des virus des chevaux de troie.
des copies pirates de trucs normalement gratuits.
de contrefaçons. des molécules médicamenteuses fictives ou mortelles.
de la merde en bocal. des arnaques etc.
peut parfaitement les vendre de manière fiable. du point de vue
du script qui gère la transaction financière avec un certificat de confiance.
délivré par verisign. truste comodo etc.
le certificat n’est rien d’autre que la certification d’un script d’un logiciel
de transaction financière utilisé par un site marchand.
cela n’a rien à voir avec le contenu du site et la qualité des produit.
on vous prend pour des imbéciles !
quelques exemple de sceaux d’approbation / certification / vérification
paypal n’existe pas ! c’est un faux !
paypal peut vérifier que le compte et la carte bancaire d’un vendeur / acheteur
appartiennent bien à la personne physique ou morale qui prétend être
titulaire du compte.
cette vérification n’est en rien une certification.
paypal n’a pas à ma connaissance. de procédure de certification d’un vendeur.
on peut trouver un sceau de certification paypal sur certains sites marchand.
c’est un faux. il existe une foule d’images de ce type. ce sont tous des faux.
comme d’habitude la présence d’un tel faux doit immédiatement
rendre le site suspect.
microsoft partner . gold. silver bronze. il faut qu’il y ait un lien vers le
site officiel de microsoft. si ce n’est pas vérifiable ça n’existe pas.
usage généralement usurpé.
lorsque l’éditeur de logiciel a obtenu un sceau microsoft partner
c’est généralement. pour un petit logiciel inoffensif.
et non distribué.
avec ça l’éditeur affiche son sceau microsoft partout sur son site.
pour tout autre chose. y compris s’il distribue des malveillances.
cert plus . cert plus était le leader français de la certification.
il a été racheté par keynitecs.
pour finir
sofware informer
ces sceaux de type choix de la rédaction etc.
sur des sites dont le modèle économique repose entre autre sur la vente
de logiciels sont généralement le signe d’une grosse marge commerciale
sur le produit choisi.
beaucoup d’argent à gagner par le site qui fait ce choix.
il s’agit donc de produits dans les quel on ne doit pas faire confiance.
ce n’est pas comme cela que l’on doit choisir un logiciel.
mais par des tests et comparatifs crédibles. et par l’usage du logiciel
durant sa période d’essai gratuite. s’il n’a pas de période d’essai fuir le logiciel.
voilà pour l’info. sûr ceux très bonne journée à toi et au plaisir.