Qu’est-ce qu’un certificat de sécurité numérique?
Certificat de sécurité
Vous êtes-vous déjà demandé en quoi un certificat de sécurité sur un site web vous protège? Récemment je me suis fait poser la question et voici ma réponse:
Un certificat de sécurité numérique sert à deux choses :
1. Identifier une personne physique (ex. Simon Robert) ou morale (ex. www.mdinfo.ca)
2. Chiffrer l’échange de données entre les deux parties (ex. Simon Robert visite www.mdinfo.ca)
Avant de continuer, je me dois de vous expliquer le terme chiffrer. Un bon parallèle serait avec le code morse. Seuls ceux qui connaissent la clé du code peuvent déchiffrer le message. Ceux qui ne connaissent pas la clé entendront que des bruits qui n’auront aucune signification pour eux.
Le certificat de sécurité contient donc des clés qui permettront le décryptage du message échangé entre deux entités. Le certificat inclus aussi le nom de l’entreprise ou encore l’adresse du site web.
N’importe qui peut se générer un certificat de sécurité dans le but de sécuriser ses échanges ou garantir la sécurité sur son site web. Les fureteurs web comme Internet Explorer, Firefox ou encore Chrome ne reconnaîtront pas le certificat comme étant valide pour une bonne raison, personne ne sait si le certificat représente la bonne entité. EX. Je pourrais me générer un certificat de Desjardins simplement en écrivant que c’est mon site web lors de sa création.
Ce qui rend le certificat valide ou si vous préférez sécuritaire c’est le certificat intermédiaire qui est inclus lorsque l’on se fait émettre un certificat d’une société reconnue ex. Verisign, Entrust etc. Avant de donner leur approbation et d’ainsi émettre un certificat dit « racine », la compagnie ex. Entrust va faire les vérifications si le site est sécuritaire et si le propriétaire est vraiment Desjardins. Cette vérification peut parfois prendre une semaine.
En gros, votre fureteur voit la page https://accesd.desjardins.com et y trouve le certificat que Desjardins à lui-même à créer ainsi qu’un certificat émis par une autorité de certification reconnue. C’est pourquoi quand vous allez dans la page d’AccèsD, aucun message d’erreur n’apparait car le certificat est valide et vérifié par la compagnie Entrust qui est un des piliers d’Internet.
Aperçu de la barre d’adresse du fureteur avec les cadenas montrant que le site est sécurisé:
Pour rendre les choses encore plus sécuritaires, un certificat à une durée de vie (ex. 4ans pour Desjardins). Après la date d’expiration, un message d’erreur apparaîtra dans le fureteur mentionnant à la personne de ne pas naviguer sur ce site web.
Si vous changez la date de votre ordinateur et qu’elle n’est pas dans la période de validité du certificat, vous verrez ce message d’erreur : Le certificat est expiré. C’est un problème fréquent, les gens changent l’année ou encore l’ordinateur perds la date et c’est parti, plus aucuns sites sécurisés ne fonctionnent.
Questions sur les certificats de sécurité :
Q : Comment savoir si je navigue sur une page sécurisée par un certificat?
R : l’adresse du site débutera obligatoirement par : HTTPS://
Q : Qu’arrive-t-il si je me connecte et donne des informations confidentielles sur un site non sécurisé débutant par : http://
R : Il y a un risque de sécurité. Dans un site non sécurisé, toute informatique que vous partagez est publique et n’importe qui pourrait intercepter vos informations transmises comme votre numéro de carte de crédit etc. On dit que le texte est transmis en clair : On peut lire les données en interceptant les paquets (communications)
Q : Comment puis-je m’assurer que le site est sécuritaire :
R : Un cadenas apparaîtra dans la barre d’adresse de votre navigateur. Généralement la couleur verte signifiera que le site est sécurisé.
Q : Pourquoi quand je vais sur Google.com j’obtiens un site en HTTPS://
R : Google prends la sécurité des internautes à cœur, ils ne veulent pas que tout le monde sache ce que vous recherchez sur internet.
Merci d’avoir lu,
Simon Robert
MD Informatique