Cet article aborde en 2 parties le chiffrement, le SSL (Secure Socket Layer) et les certificats de sécurité. [1/2]

 Ces deux articles permettent d'aborder rapidement les méthodes de sécurisation des échanges de données que nous utilisons au quotidien (ex : https).

Pourquoi le chiffrement ?

Chiffrement : rendre des données incompréhensibles grâce à une clé de chiffrement, un mot de passe

Cette clé de chiffrement peut, par exemple, être de décaler toutes les lettres de 1 rang : a devient b, b devient c, … t devient u, … z devient a.

Dans cet exemple « Abomicro » devient « Bcpnjdsp » si l’on applique cette clé de chiffrement.

Déchiffrement : retrouver le message d’origine grâce à la clé de déchiffrement.

Dans notre exemple, la clé de déchiffrement est de décaler d’un rang inférieur toutes les lettres : a devient z, b devient a … z devient y.

Le message chiffré et incompréhensible « Bcpnjdsp »  redevient  « Abomicro » si l’on applique la clé de déchiffrement.

chiffrement-déchiffrement-algorithme

Décryptage : déchiffrement sans connaitre la clé

A contrario, le décryptage est le fait d’essayer de retrouver le message qui se cache derrière « Bcpnjdsp » sans connaître la clé de déchiffrement. Il faut alors chercher (plus ou moins longtemps selon la complexité de la clé) la méthode qui a été utilisée pour chiffrer ce message. On parle alors de casser la clé de chiffrement.

Vous avez dit Cryptage ?

Même si souvent utilisé  lorsque que l’on entend parler de sécurité des données informatique, le mot cryptage quant à lui n’existe pas. C’est un non-sens. Les données sont chiffrées à l’aide d’une clé de chiffrement et non cryptées. Pour rappel, ces données informatiques chiffrées peuvent être :

  • Déchiffrées grâce à la clé de déchiffrement
  • Décryptées, si l’on casse la clé de déchiffrement pour retrouver le message compréhensible

Le but : sécuriser les échanges numériques

Le chiffrement permet plusieurs choses au-delà de rendre un message incompréhensible comme dans notre exemple. Il permet :

  • De garantir la confidentialité des données (non exploitables par un tiers)
  • L’authentification (l’émetteur est bien celui qu’il prétend être)
  • L’intégrité (les données sont non altérées)
  • La non-répudiation (pour un contrat signé numériquement, elle permet de valider que les données ont bien été envoyées et reçues et garantit que l’émetteur et le destinataire sont bien les parties qui disent avoir envoyés et reçues ces données)

Toutes ces problématiques sont étudiées et gérées dans les hébergements de sites internet ou de virtualisation en ligne proposées par Abomicro.

Les risques sans chiffrement       

Dans la sécurisation des échanges informatiques, l’exemple le plus connu est l’attaque du « Man in the Middle » (homme-du-milieu).

Le principe est simple, vous envoyez des données à un destinataire. Si ces données ne sont pas chiffrées elle transite sur le réseau sous le format « Abomicro » et non « Bcpnjdsp ».

Si votre ordinateur est compromis (divers techniques existent), lorsque vous envoyez votre message, celui-ci est intercepté par une tierce personne intercalée entre vous et votre destinataire :

En situation normal :                   Vous ------ Message ---- > Destinataire

Avec un Man in the middle :         Vous ------- Message ----- > Man in the middle ------- > Destinataire

La personne tierce peut alors lire le message « Abomicro, prestataire à Lyon » et le renvoyer au destinataire.

Pire, elle peut lire, puis modifier le message « Abomicro, prestataire à Lyon » en « Abomicro, prestataire à Paris» avant de le renvoyer au destinataire.

De la même manière, une transaction bancaire pourrait être modifiée, en changeant le numéro de compte du destinataire.

En cas de message chiffré, celui-ci est inintelligible et inexploitable (dans une certaine mesure) par le Man in the Middle qui ne voit passer que le message « Bcpnjdsp ; qsftububjsf b Mzpm »

Notez que des solutions matériel et logiciel pour entreprises existent pour se protéger de ce type d'attaques.

Certificats SSL, Clés, ...

Nous traiterons dans un deuxième article les éléments complémentaires : Certificats SSL, Autorité de certification, PKI, Clé privée, Clé publique, révocation.

Enfin nous dresserons une liste des différents types de certificats ssl dont ceux utilisé comme certificat HTTPS et leurs usages. Lors des audits de sécurité, Abomicro met toutes ses compétence en oeuvre pour aborder ces problématiques, sensibiliser ses clients et mettre en oeuvre toutes les bonnes pratiques.

Twitter Timeline

Témoignages

Net Comme Web Romain Rozier

Abomicro réalise pour cette agence web de l’hébergement web, des prestations de sécurité et de la sauvegarde de données. Je fais appelle à Abomicro en premier lieu pour leur compétence, à cela s'ajoutent la réactivité, la confiance et un degré d'implication rarement égalé ailleurs. En plus, Abomicro nous laisse au quotidien, l'opportunité de nous concentrer sur notre cœur de métier, à savoir le développement de sites web, et ainsi d'augmenter notre productivité. Net Comme Web Romain RozierRomain Rozier
(Gérant)