Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

Certificat électronique d'authentification

Certificat électronique d'authentification : signature numérique certifiant qu'un code téléchargé est bien identique à l'original et que l'émeteur est bien celui qu'il prétend être.

Le rôle des certificats numériques (signatures numériques) augmente rapidement sur les ordinateurs personnels, les réseaux et sur Internet (le Web).

Utilisé dans bien des domaines, nous regarderons le certificat numérique (la signature numérique) , ici, lorsqu'il sert à certifier que l'auteur/éditeur d'un logiciel est bien celui qu'il prétend être et non pas un usurpateur. L'authentification confirme une identité.

Le certificat numérique (la signature numérique) ne sert absolument pas à certifier qu'un logiciel téléchargé est sain (un virus peut parfaitement être certifié (signé numériquement), et ils le sont souvent pour passer au travers de cette couche de vérification de l'authenticité de l'auteur du virus [données évidemment trompeuses et fausses]).

Le certificat certifie l'origine du code, pas sa finalité

La certificat électronique d'authentification certifie numériquement que :

  • le code reçu est conforme au code d'origine (peu importe que le code d'origine soit gentil ou criminel)
  • l'émetteur est bien celui qu'il prétend être (peu importe qu'il s'agisse d'un gentil ou d'un cybercriminel)

Un certificat s'achète et ne certifie pas la finalité du code mais son origine, rien d'autre. En plus, les certificats peuvent être frauduleux ou compromis.

La certification (le certificat numérique (la signature numérique) s'obtient auprès une autorité de certification (une autorité de confiance). Il s'agit d'une démarche payante et bien des petits logiciels gratuits, développés par des particuliers, ne peuvent se permettre d'acheter un certificat numérique (une signature numérique), qui, en plus, doit être renouvellé tous les ans.

Comme la délivrance de certificats numériques (signatures numériques) est une opération commerciale (et du fric récurant puisque renouvellée tous les ans), les autorités de certification (les autorités de confiance) ne sont pas toujours « de confiance » (renouvellements automatiques sans aucune vérification, etc.).

Bien que les certificats puissent être utilisés avec peu sinon aucune intervention de la part de l'utilisateur, il peut également s'avérer important de voir et de comprendre le contenu du certificat, et de gérer leur utilisation. Vous pouvez accomplir ces objectifs à l'aide du composant logiciel enfichable Certificats.

Certificats frauduleux ou compromis

Un certificat numérique (une signature numérique) n'est, en principe, pas falsifiable. Pourtant, de nombreux cas existent. Un exemple célèbre - Stuxnet :

En 2009/2010, Stuxnet a, à la fois, un mode utilisateur et un mode nécessitant des privilèges noyau (Ring 0, capacité de Rootkit) sous Windows. Ses pilotes de périphériques ont été signés numériquement avec les clés privées de deux certificats qui ont été volés (les certificats Verisign de Realtek Semiconductor Corps et JMicron Technology Corp, toutes deux situées au parc scientifique de Hsinchu à Taiwan). Les signatures des pilotes (drivers) ont permis l’installation réussie et silencieuse de ces pilotes, dans le noyau de Windows (Ring 0), sans interaction avec l’utilisateur qui n’en a pas été informé. Ces pilotes (drivers) sont donc restés inaperçus pendant une période de temps relativement longue. Les deux certificats compromis ont été révoqué par VeriSign mais trop tard. Les 1000 centrifugeuses nucléaires acquises secrètement par l’Iran, malgré l’embargo, ont été physiquement détruites par le virus qui a augmenté la vitesse limite de rotation sans que l'utilisateur ne puisse s'en appercevoir sur ses écrans de contrôle, provoquant leurs déstructions et, parfois, leurs explosions.

Le 12 septembre 2017, la société Talos (CISCO) observe des transferts de données, dans l'ultra célèbre logiciel (2,27 millions d'utilisateurs) de nettoyage des ordinateurs sous WIndows, CCleaner, vers une adresse IP inconnue. CCleaner s'avère être affecté d'une faille de sécurité (un backdoor y a été injecté) depuis le 15 août 2017 (depuis la précédente mise à jour 5.33). Ce backdoor permet à l'attaquant, gérant un botnet depuis son C&C, d'injecter du code quelconque et de le faire s'exécuter sur chaque machine au monde disposant de la version 5.33 de CCleaner (seules sont concernées les versions CCleaner v5.33.6162 et CCleaner Cloud v1.07.3191 pour Windows 32-bit). Ce logiciel, se comportant comme un virus (un cheval de Troie) et doté d'un certificat (signature numérique) totalement légal délivré par Symantec.
Billet de Piriform
Billet de Talos
Billet de Morphisec

Lecture d'un certificat électronique d'authentification

L'un des usages de la lecture d'un certificat est, par exemple, de connaître le pays du siège social de la société qui certifie être l'auteur d'un logiciel. Si l'autorité de certification, qui est une autorité de confiance, a bien fit son travail (vérification des inscriptions dans les registres du commerce et des sociétés, analyses des prises de participations et de l'organigramme des maisons mères et des filiales, identification de la maison mère et non pas de simples bureaux répartis dans le monde, etc.), on peut trouver ainsi la nationalité de l'éditeur d'un logiciel, ce qui a son importance en matière de législations oposables en cas de litige (au même titre que l'on cherchera, avec des IP Whois, dans quel pays se trouve le serveur et donc de quelles législations dépendent, par exemple, l'hébergement de nos données dans un Cloud).

Une autre raison de chercher le pays d'origine d'un logiciel est la méfiance que l'on peut avoir eu égard à la réputation de nombreux pays en matière de logiciels et d'utilisation de l'Internet et du Web.

Pour lire le détail d'une signature numérique d'un logiciel, faites :

Localisez le programme téléchargé Certificat électronique d'authentification - Certificat numérique (signature numérique) Clic droit Certificat électronique d'authentification - Certificat numérique (signature numérique) Propriétés Certificat électronique d'authentification - Certificat numérique (signature numérique) Onglet « Signature numérique » Certificat électronique d'authentification - Certificat numérique (signature numérique) Sélectionnez une signature s'il y en a plusieurs Certificat électronique d'authentification - Certificat numérique (signature numérique) Clic sur le bouton Certificat électronique d'authentification - Certificat numérique (signature numérique) Dans l'onglet « Général », clic sur le bouton Certificat électronique d'authentification - Certificat numérique (signature numérique) Dans la fenêtre « Certificat » qui vient de s’ouvrir, clic sur l'onglet « Détails ».

L'onglet « Détails » d'un certificat fournit les informations suivantes relatives au certificat :

  • Version : numéro de version X.509.
  • Numéro de série : numéro de série unique attribué au certificat par l'autorité de certification émettrice. Le numéro de série est unique pour tous les certificats émis par une autorité de certification donnée.
  • Algorithme de signature : algorithme de hachage utilisé par l'autorité de certification pour signer numériquement le certificat.
  • Émetteur : informations relatives à l'autorité de certification qui a émis le certificat.
  • Valide à partir du : date de début de la période de validité du certificat.
  • Valide jusqu'au : date de fin de la période de validité du certificat.
  • Sujet : nom de l'autorité de certification, de l'individu, de l'ordinateur ou du périphérique pour lequel le certificat est émis. Si l'autorité de certification émettrice existe sur un serveur membre du domaine de votre entreprise, il s'agira d'un nom unique au sein de celle-ci. Sinon, il pourra s'agir d'un nom complet et d'une adresse électronique ou de tout autre identificateur personnel.
  • Clé publique : type et longueur de la clé publique associée au certificat.
  • Algorithme d'empreinte numérique : algorithme de hachage qui génère une synthèse des données (ou empreinte numérique) pour les signatures numériques.
  • Empreinte numérique : synthèse (ou empreinte numérique) des données du certificat.
  • Nom convivial : (facultatif) nom d'affichage à utiliser à la place du nom stocké dans le champ Sujet.
  • Utilisation avancée de la clé : (facultatif) rôles auxquels le certificat peut être destiné.

Il existe d'autres extensions X.509 v3 supplémentaires utilisables dans un certificat. Le cas échéant, elles sont affichées.

Période de validité d'un certificat

Le composant logiciel enfichable Certificats vous permet de renouveler un certificat émis par une autorité de certification d'entreprise Windows, avant ou après sa période de validité, à l'aide de l'Assistant Renouvellement de certificat.

Chaque certificat a une période de validité. Au terme de cette période, les informations d'identification contenues dans le certificat ne sont plus considérées comme étant acceptables ou utilisables.

Vous pouvez renouveler le certificat à l'aide du même jeu de clés utilisé précédemment, ou avec un nouveau jeu.

Avant le renouvellement d'un certificat, vous devez connaître l'autorité de certification émettrice. Éventuellement, si vous souhaitez une nouvelle paire clé publique / clé privée pour le certificat, vous devez connaître le fournisseur de services de chiffrement qui doit être utilisé pour générer la nouvelle paire de clés.

Par ailleurs, vous pouvez renouveler des certificats émis aussi bien par des autorités de certification d'entreprise que par des autorités de certification autonomes à l'aide des pages d'inscription Web de l'autorité de certification, en collant le contenu d'un fichier PKCS #7.

Références supplémentaires

Certificat électronique d'authentification - Certificat électronique d'authentification