certificat numerique C’est quoi un certificat numérique ?

certificat numérique

 

Nous allons regarder :

Sur Internet, les pirates sont très actifs, il est important d’avoir la garantie que l’on est bien connecté sur le site voulu, et non pas sur un site malintentionné.

Pour nous aider dans cette jungle, il existe un système de certificats numériques qui atteste de l’identité du site sur lequel vous surfez. Regardons ensemble comment tout cela fonctionne.

Rappel

Il existe 2 types de façons de se connecter à un site : en http ou https. (je vous rappelle que l’un de ces protocole est sécurisé et l’autre pas. N’hésitez pas à relire : c’est quoi la différence entre http ou https ?)
Quand vous êtes connecté sur un site en https, vous vous dites : « le site sur lequel je suis en train de surfer est en https, donc je suis en toute sécurité » et vous avez raison mais seulement partiellement !

En effet, lorsque vous surfez sur Internet, vous accédez aux différents sites à l’aide d’URL (Voir la définition d’URL dans le dictionnaire). Vous faites donc confiance à ces url et à votre navigateur pour vous emmener vers les sites que vous souhaitez consulter, mais êtes vous sûr d’être sur le bon site ?

Pourquoi utiliser un certificat numérique ?

Pourquoi, est-il si important d’être sûr que l’on est bien connecté sur le bon site ? Pour bien comprendre, je vais reprendre un exemple avec le téléphone.

Exemple

Imaginons que vous voulez appeler votre banque. Vous allez donc cherchez dans l’annuaire. Vous trouvez le numéro de téléphone, vous le composez et vous êtes donc en ligne avec votre banquier.

Maintenant, imaginons que votre annuaire ait été piraté (oui, avec un annuaire papier cela semble peu plausible, mais en informatique malheureusement ça arrive ). Si votre annuaire a été piraté et que le numéro de votre banque ait été remplacé par le numéro du pirate. Si vous composez ce numéro, vous serez en ligne avec ce pirate qui pourra alors vous extorquer des informations confidentielles. A moins de reconnaître sa voix, vous n’avez aucune autre possibilité de savoir si vous êtes au téléphone avec votre banquier ou avec un pirate !

Rappelez vous comment fonctionne les accès aux différents sites Internet. Vous savez qu’avant d’appeler les pages d’un serveur web, l’ordinateur va faire une requête DNS pour retrouver l’adresse du site, un peu comme on recherche dans un annuaire. (Si vous ne vous en souvenez plus très bien ? Alors jetez un oeil ici : C’est quoi un serveur DNS ?).

Regardons tout cela avec des schémas :

Voici le schéma « normal », la connexion n’est pas piratée :

certificat numerique

et voici comment cela se passerait si la connexion de l’internaute était piratée (il existe pas mal de façons différentes d’acheminer l’utilisateur vers un site pirate, mais ce n’est pas le sujet de cet article)

certificat numérique

Comme on peut le voir sur ces 2 schémas, la seule différence est que le « Vrai » serveur présente son certificat numérique. Le serveur pirate ne peut pas le faire, car il n’en possède pas. Nous verrons plus loin pourquoi est-ce qu’un pirate ne peut pas avoir de certificat numérique.

Cela se traduit pour l’internaute par un affichage avec des messages d’alertes au niveau du navigateur :

Internet Explorer

certificat electronique

Mozilla Firefox

certificat numerique

Google Chrome

certificat numerique

Dans les 3 exemples du dessus, les navigateurs nous mettent en garde contre les risques de continuer sur de tels sites.
Mais rien ne vous empêche de continuer ! En tout cas, vous avez été avertis !

Dans quels cas, ces messages apparaissent ?

Ces messages d’alertes peuvent apparaître dans plusieurs cas :

  • Le site n’émet pas de certificat. (absence de certificat)
  • Le site émet un certificat mais celui-ci a expiré (les certificats ont une durée de validité)
  • Le certificat est auto-signé (cela arrive souvent en interne dans les entreprises pour les serveurs qui ne sortent pas sur Internet)
  • Le certificat est valide pour un nom de site et il est emis pour un autre (Exemple : le certificat est valide pour www2.monsite.fr et le certificat est émis pour www.monsite.fr il s’agit bien de 2 adresses différentes : ils doivent donc 2 certificats différents ou alors avoir un certificat : *.monsite.fr)
  • L’autorité qui a délivré le certificat n’est pas connue

 

 

Définition du certificat numérique.

Il est temps maintenant de nous intéresser à la définition du certificat numérique ou certificat électronique.

Le certificat numérique est une sorte de carte d’identité. Comme les cartes d’identité, il est délivré pour un organisme habilité. Et comme les cartes d’identité, le certificat numérique est

  • infalsifiable : il est crypté pour empêcher toute modification,
  • nominatif : il est délivré à une entité (comme la carte d’identité est délivrée à une personne et une seule),
  • certifié : il y a le « tampon » de l’autorité qui l’a délivré.

 

Il est composé de 2 parties essentielles :

  1. Les informations d’identité du certificat :
    • nom du porteur
    • adresse du porteur
    • les dates de début et de fin de validité
    • le nom de l’autorité de certification (CA : Certificate Authority)
  2. La signature de l’autorité de certification
    • cette signature est chiffrée. (cela va permettre de vérifier que le certificat est bien délivré par l’autorité de certification)

 

Et enfin, pour votre « culture », il faut savoir que les certificats numériques ne sont pas réservés à la seule certification des sites web. Il existe de nombreux type de certificats. Ils peuvent servir à certifier des fichiers, des mails, … Mais là, c’est une autre histoire  😉

 

Dans la 2ème partie de cet article, nous verrons allons nous attarder un peu plus sur un type de certificat numérique que vous utilisez tous les jours (ou presque) :

C’est quoi un certificat SSL ?
Qui délivre les certificats numériques ?
Comment ça marche les certificats numériques ?

 

Retrouvez les articles liés aux certificats :

 

Et puisque ces notions sont évoquées dans ces articles, retrouvez-les ici :

 

Comme d'habitude, tous les commentaires sont les bienvenus.
Inscrivez-vous à la lettre d'information. Celle-ci vous parviendra dès la parution de nouveaux articles. Vous trouverez la zone d'inscription à la lettre d'information en haut à droite de l'écran.
 
Et enfin, pour toutes vos questions techniques, utilisez le forum. D 'autre utilisateurs pourront vous répondre et vous aider. Cliquez ici pour accéder au forum...

9 réponses pour “C’est quoi un certificat numérique ?”

  • Ok mais comment mon fureteur sait que tel ou tel site devrait me présenter un certificat ou pas ? Est-ce que je dois préalablement installer des certificats pour que mon fureteur le sache ? Merci de m’éclairer.

    • Bonjour Eric,
      non c’est le site qui choisi d’être en https ou pas.
      Et les racines des grands fournisseurs de certificats sont à jour sur les ordinateurs. Ils sont mis à jour si besoin (soit manuellement, soit automatiquement). Mais il n’y a que très peu de modifications à ce niveau car il ne se créé pas de nouveaux fournisseurs tous les jours.
      A bientôt

  • Tu ne nous as pas encore expliqués pourquoi les sites pirates ne peuvent pas avoir de certificats même si cela semble assez évident (vu que ce sont des pirates, ils ne peuvent demander à aucune autorité de certifier leur site ou un truc dans le genre j’imagine, enfin ils pourraient le faire mais cela leur coûterait cher et j’imagine qu’ils devraient communiquer des infos de leur soit disante organisation avant la délivrance du certificat)

    • Bonjour Loïc,
      oui c’est ça : comme il y a des vérifications : ils ne pourraient pas justifier de tous les éléments demandés.
      A bientôt

  • Effectivement, il est parfois très difficile de différencier les sites sûrs avec les sites malintentionnés (particulièrement pour les particulier qui n’ont pas beaucoup de connaissance dans le domaine de l’informatique). C’est pourquoi il est essentiel de connaître davantage sur le sujet. J’espère que la suite de cet article sera bientôt achevé! je suis impatiente de lire la suite.

      • bonjour très intéressant le sujet des certificats.
        mais encore faut t’il en comprendre certaines subtilités.
        ici je parle des certificats des sites web.
        afin que les gens face bien la différence. car cela peut être trompeur.

        étant pas expert bien sûr je peut faire une erreur de jugement
        je souhaite donc avoir un avis de ta part. sûr cela.
        car les réponse que tu donne sont toujours très bien analyser. très juste.
        avec de plus une très bonne explication.

        trust seal = certificat de confiance / sceau de confiance
        un certificat de confiance signifie simplement que quelque chose
        sur un site internet. une procédure de paiement. la protection

        des données privée que laissent les visiteurs lors d’une inscription
        ou d’un achat. etc. est à priori fiable.

        c’est une sorte de label de qualité.
        cela se passe normalement en analysant la chose certifiée / le script logiciel.

        les protocoles. la mise en oeuvre chez le certifié.
        ordinateur et sauvegardes inaccessibles y compris à des personnes physiques
        dans les locaux du certifié. etc.

        de nombreuses certifications sont gérées par des sites web. qui recueillent
        les avis des internautes à propos de quelque chose.

        c’est le crowd sourcing. partagez votre savoir donnez votre avis.
        dans le cas d’avis sur un produit ou une transaction commerciale
        ou une société commerciale.

        une vérification est faite. numéro de facture / identification
        de celui qui s’exprime. afin de s’assurer que celui qui s’exprime
        en bien ou en mal est habilité à le faire.

        est réellement un client.

        un cahier des charges liste un ensemble de règles auxquelles le certifié
        doit répondre. une fois la certification délivrée la chose certifiée ne doit
        plus être modifiée. elle doit être figée sinon la certification. et pas valide.

        qu’est ce que l’utilisateur comprend de ces sceaux qui clignotent
        sur des dizaines de milliers de sites ? rien !
        c’est de la poudre aux yeux ?

        prenons le cas de la certification d’une procédure de paiement.
        procédure de certification de la procédure financière.
        lors d’un acte de paiement cela signifie que la procédure financière
        la transaction de paiement est fiable. rien de plus

        la plateforme de paiement à les agréments bancaires. etc.
        cela ne signifie absolument pas que le site est fiable ni que les produits
        vendus sont fiables.
        un site vendant des crapwares des virus des chevaux de troie.
        des copies pirates de trucs normalement gratuits.

        de contrefaçons. des molécules médicamenteuses fictives ou mortelles.
        de la merde en bocal. des arnaques etc.

        peut parfaitement les vendre de manière fiable. du point de vue
        du script qui gère la transaction financière avec un certificat de confiance.

        délivré par verisign. truste comodo etc.
        le certificat n’est rien d’autre que la certification d’un script d’un logiciel
        de transaction financière utilisé par un site marchand.

        cela n’a rien à voir avec le contenu du site et la qualité des produit.
        on vous prend pour des imbéciles !

        quelques exemple de sceaux d’approbation / certification / vérification
        paypal n’existe pas ! c’est un faux !
        paypal peut vérifier que le compte et la carte bancaire d’un vendeur / acheteur
        appartiennent bien à la personne physique ou morale qui prétend être
        titulaire du compte.

        cette vérification n’est en rien une certification.
        paypal n’a pas à ma connaissance. de procédure de certification d’un vendeur.

        on peut trouver un sceau de certification paypal sur certains sites marchand.
        c’est un faux. il existe une foule d’images de ce type. ce sont tous des faux.

        comme d’habitude la présence d’un tel faux doit immédiatement
        rendre le site suspect.

        microsoft partner . gold. silver bronze. il faut qu’il y ait un lien vers le
        site officiel de microsoft. si ce n’est pas vérifiable ça n’existe pas.

        usage généralement usurpé.
        lorsque l’éditeur de logiciel a obtenu un sceau microsoft partner
        c’est généralement. pour un petit logiciel inoffensif.
        et non distribué.

        avec ça l’éditeur affiche son sceau microsoft partout sur son site.
        pour tout autre chose. y compris s’il distribue des malveillances.
        cert plus . cert plus était le leader français de la certification.
        il a été racheté par keynitecs.

        pour finir

        sofware informer

        ces sceaux de type choix de la rédaction etc.
        sur des sites dont le modèle économique repose entre autre sur la vente
        de logiciels sont généralement le signe d’une grosse marge commerciale
        sur le produit choisi.

        beaucoup d’argent à gagner par le site qui fait ce choix.
        il s’agit donc de produits dans les quel on ne doit pas faire confiance.

        ce n’est pas comme cela que l’on doit choisir un logiciel.
        mais par des tests et comparatifs crédibles. et par l’usage du logiciel
        durant sa période d’essai gratuite. s’il n’a pas de période d’essai fuir le logiciel.

        voilà pour l’info. sûr ceux très bonne journée à toi et au plaisir.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *