Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


Autorités de certification

Dernière mise à jour : 2017-02-01T00:00 - 01.02.2017 - 00h00
01.04.2012 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour de notre article antérieur (versions 1997-2007)

L'autorité de certification délivre un certificat associant un contenu numérique unique à un émetteur unique, dont l'identité a été contrôlée par les moyens qu'elle juge adéquats.

Autorités de certification

Autorités de certificationAutorités de certificationAutorités de certification

L'autorité de certification délivre un certificat associant un contenu numérique unique à un émetteur unique, dont l'identité a été contrôlée par les moyens qu'elle juge adéquats.

L'utilisateur (son navigateur Internet, son contrôleur d'intégrité, etc. ...) effectue l'opération s'assurant que le contenu numérique est bien conforme au certificat qui l'accompagne (le contenu est intègre et l'émetteur est bien celui qu'il prétend être). Grâce à l'autorité de certification, les utilisateurs n'ont plus à conserver que la clé publique de cette autorité, qui leur permet de vérifier la signature des certificats délivrés.

L'autorité de certification, aussi appelée autorité racine, est un organisme possèdant, en sécurité informatique, une clé privée de signature (au sens du chiffrement - cryptographie) qui va lui servir à certifier les associations entre contenus numériques (contenu web, code logiciel, code script, etc. ...) accompagnés d'une clé publique et l'identité de la personne (physique ou morale) possédant la clé privée correspondante.

Tous les domaines (les sites) souhaitant apporter une relative sécurité des flux de données entre un ordinateur client (celui de l'internaute) et un serveur, utilisent le protocole sécurisé de transmission de données "https", au lieu du protocole habituel "http". Le "S", à la fin de "http", signale que les conversations entre le "client" et le "serveur" seront chiffrées (cryptées).

Mais, pour utiliser "https", il ne suffit pas que les conversations soient assez difficiles à intercepter. Il faut, avant même d'établir la communication, s'assurer que celui qui est à l'autre bout, le serveur de la banque, de l'organisme administratif, etc. ... est bien celui qu'il prétend être et non pas celui d'un usurpateur. C'est le rôle des certificats électroniques délivrés par des " Autorités de certification ".

Le système d'exploitation contient un inventaire, régulièrement mis à jour, des clés publiques des " Autorités de certification " et des certificats. A la demande d'ouverture d'une connexion sécurisée, ile système d'exploitation commence par vérifier si le service est certifié, si le certificat est valide, s'il n'est pas périmé etc. ...

Si ce n'est pas le cas, un message d'alerte est affiché qui permet à l'utilisateur de choisir ce qu'il compte faire (sortir de là ou poursuivre malgré tout etc. ...).

L'autorité de certification, aussi appelée autorité racine, est un organisme possèdant, en sécurité informatique, une clé privée de signature (au sens du chiffrement - cryptographie) qui va lui servir à certifier les associations entre contenus numériques (contenu web, code logiciel, code script, etc. ...) accompagnés d'une clé publique et l'identité de la personne (physique ou morale) possédant la clé privée correspondante.

L'autorité de certification délivre un certificat associant un contenu numérique unique à un émetteur unique, dont l'identité a été contrôlée par les moyens qu'elle juge adéquats.

L'utilisateur (son navigateur Internet, son contrôleur d'intégrité, etc. ...) effectue l'opération s'assurant que le contenu numérique est bien conforme au certificat qui l'accompagne (le contenu est intègre et l'émetteur est bien celui qu'il prétend être). Grâce à l'autorité de certification, les utilisateurs n'ont plus à conserver que la clé publique de cette autorité, qui leur permet de vérifier la signature des certificats délivrés.

Autorité de certification : peut-on avoir confiance dans les autorités de confianceAutorité de certification : peut-on avoir confiance dans les autorités de confianceAutorité de certification : peut-on avoir confiance dans les autorités de confiance

Les "Autorités de certification" sont des sociétés commerciales. Elles se font payer pour auditer, pour s'assurer que le demandeur d'un certificat est bien celui qu'il prétend être et pour délivrer le certificat et le gérer.

Les sociétés appelées " Autorité de certification " sont des sociétés qui s'autoproclament garantes de la confiance sur l'Internet. Il n'y a pas de contrôle des contrôleurs - Quis custodiet ipsos custodes ? (Qui surveille les surveillants).

La certification porte sur le site visité (Est-ce que le site visité est bien celui qu'il prétend être. Est-ce qu'il est bien de la personne physique ou morale qui a obtenu le certficat et non pas d'un usurpateur.) et sur le contenu (Est-ce que le code est strictement conforme au code pour lequel un certificat a été délivré).

On ne peut pas toujours accorder confiance dans ces sociétés qui peuvent être propriété de groupes maffieux ou être abusées et certifier un groupe maffieux ou un code malveillant.

Les Autorités de certification ne certifient jamais, contrairement à une idée reçue, qu'un code n'est pas une fraude ou une malveillance mais simplement qu'il est reçu dans notre ordinateur depuis son auteur certifié et tel qu'il a été soumis à la certification par son auteur. Si le code est celui d'un virus ou d'une malveillance, une autorité de certification va simplement certifier que le virus ou la malveillance est intègre. C'est la raison pour laquelle on ne peut pas s'appuyer exclusivement sur le contrôle d'intégrité mais que l'on doit disposer d'un antivirus, les deux logiciels travaillant en compagnon l'un de l'autre. Les contrôleurs d'intégrité peuvent vérifier, à la demande, la totalité des objets relevant d'un certificat, dans un ordinateur, tandis que les antivirus ou les navigateurs, ou les plugins des navigateurs, comme Finjan Secure Browsing, Google Safe Browsing ou Microsoft SmartScreen, etc. ... vérifient, ou assiste à la vérification, au coup par coup, d'un objet qui se prétend certifié.

Message d'alerte "Cette connexion n'est pas certifiée"Message d'alerte " Cette connexion n'est pas certifiée "Message d'alerte "Cette connexion n'est pas certifiée"

Exemple d'affichage et traitement d'un message d'alerte dans un navigateur

Certificat de sécurité invalide - Connexion sécurisée en httpS non certifiée ou non reconnue - Firefox
Certificat de sécurité invalide - Connexion sécurisée en httpS non certifiée ou non reconnue
Firefox
Certificat de sécurité invalide - Connexion sécurisée en httpS non certifiée ou non reconnue - Internet Explorer
Certificat de sécurité invalide - Connexion sécurisée en httpS non certifiée ou non reconnue
Internet Explorer
Certificat de sécurité invalide - Connexion sécurisée en httpS non certifiée ou non reconnue - Opera
Certificat de sécurité invalide - Connexion sécurisée en httpS non certifiée ou non reconnue
Opera
Certificat de sécurité invalide - Connexion sécurisée en httpS non certifiée ou non reconnue - Safari
Certificat de sécurité invalide - Connexion sécurisée en httpS non certifiée ou non reconnue
Safari
Certificat de sécurité invalide - Connexion sécurisée en httpS non certifiée ou non reconnue - Google Chrome
Certificat de sécurité invalide - Connexion sécurisée en httpS non certifiée ou non reconnue
Google Chrome

RessourcesRessourcesRessources

Autorités de certification reconnues dans Microsoft Windows au 24 novembre 2009 (document pdf)