Cet article aborde en 2 parties le chiffrement, le SSL (Secure Socket Layer) et les certificats de sécurité. [2/2]

Ces deux articles permettent d'aborder rapidement les méthodes de sécurisation des échanges de données que nous utilisons au quotidien (ex : https). 

Vous pouvez retrouver la première partie de cet article ici.

 SSL c’est quoi au juste ?

            Secure Sockets Layers (ou Couche de sockets sécurisée en français) est une technologie utilisée pour sécuriser des transferts de données principalement sur internet. Elle est gérée directement par votre  navigateur internet et est quasi transparente pour l’utilisateur. (Dans le même domaine on peut trouver également des technologies comme le TLS qui est plus évolué dans son système de chiffrement). Ces protocoles ont été créés dans le but de lutter conte les sites dit de “phishing” (Hameçonnage). Ce sont des sites qui vont tenter d’usurper visuellement l'identité d’un autre site (ex : le site d’une banque) dans le but de soutirer des informations personnelles à l’utilisateur.

Le SSL se base sur 2 fonctionnalités :

             Le chiffrement :

                        L’ensemble des données qui vont transiter entre le serveur et le navigateur vont être chiffrées.

             Une authentification :

                       Grâce aux certificats l’utilisateur va pouvoir identifier clairement et rapidement le propriétaire du site. Le détail de cette authentification va dépendre de la classe de certificat.   

Le protocole SSL en 4 étapes :

 Le navigateur  fait une demande de transaction sécurisée au serveur.

Navigateur ----> « Bonjour. Comment puis-je vous parler ?» ----> Serveur.

  1. Le serveur envoie un certificat contenant les différents chiffrements qu’il utilise pour communiquer avec les navigateurs.

Serveur ----> « Je dispose d’un certificat de niveau 3. Quel chiffrement désirez-vous ? » ---->Navigateur

  1. Le navigateur vérifie le certificat et choisit un chiffrement dans la liste.

Navigateur----> « Certificat de niveau 3 ? Oui je le connais. Je vais utiliser le 1er chiffrement.»

Imaginons que le 1er chiffrement consiste à décaler toutes les lettres d’un rang (a -> b, z -> a).

  1. Si le certificat est valide le navigateur envoie une clé secrète chiffré. Cette clé est un secret partagé uniquement entre le serveur et le navigateur. Qui va permettre d’échanger des données en toute sécurité.

Navigateur----> «Rvbou b npj kf gjojsbjt nft qisbtf qbs vo B (Quant à moi je finirais mes phrases par un A) » ---->Serveur

A quoi correspondent les certificats ? Et comment les obtenir ? 

Un certificat permet, pour un service web, d'authentifier la source avec qui l'on dialogue (de notre navigateur au serveur web). Il permet également de chiffrer via le protocole SSL les informations échangées.

On peut retrouver 3 classes de certificats bien distinctes.

Pyramide explicative des différentes classes SSL.

 

Toutes sont facilement trouvables sur internet. Le prix est défini selon trois critères :

  • Le délais de mise en ligne du service. Généralement entre 10 minutes  et 7 jours après la remise des documents à l'autorité de certification.

  • La classe du certificat. Par défaut la classe 1 sera la moins chère et la classe 3 sera la plus coûteuse.

  • Le niveau de chiffrement des données. En thermes de confidentialité cette partie est la plus importante et donc la plus coûteuse.

Retenez qu’il existe d’autres type de classe SSL. Par exemple la classe 3+ qui va permettre d’officialiser au même titre qu’une signature des documents numériques.

           

 Mise en situation :

            Vous êtes sur un site de e-commerce sur le point d’acheter un bibelot qui vous a tapé dans l’œil.  Au moment d’entrer vos coordonnées bancaires vous regardez la barre d’URL et vous vous rendez compte qu’il n’y a ni surlignement en vert ni cadenas. Ce site n’est peut-être pas sûr.

            Vous retrouvez le bibelot sur un autre site. Cette fois-ci le cadenas est bien là. Le site est sécurisé par l'utilisation d'un certificat. La question à présent est : « Qui est le propriétaire de ce site ? ». Il peut très bien appartenir à un pirate qui tente d’imiter un site connu. Dans ce cas, le cadenas n'apparaît pas en vert. Vous n'êtes pas certains du serveur avec qui vous échanger des informations. 

             La chance est de votre côté. Un troisième site propose également ce produit. Cette fois si le cadenas est présent, le nom de la société correspond et la barre est verte. Vous pouvez donc entrer vos informations bancaires en toute sécurité.

 

 

Afin d'en savoir plus ou si vous avez la moindre question ou le moindre doute sur les certificats pour vos sites, n'hésitez pas à contacter Abomicro.

 

Twitter Timeline

Témoignages

Témoignage Co Efficience Abomicro, désinfection site internet Abomicro a réalisé pour ce cabinet de conseil en recrutement la désinfection de leur site internet qui avait été piraté.    Nous avons fait appel à ABOMICRO après qu’une faille détectée sur notre site web ait entrainé le piratage de ce celui-ci ainsi que la suspension de nos activités en ligne.

   Nous avons pu nous reposer sur une équipe composée d’intervenants aussi sympathiques que professionnels qui ont su nous guider par leur capacité d’analyse et leurs conseils avisés.

   La prise en charge rapide de notre problème nous a permis de limiter l’impact causé par cette intrusion.

   Nouveau client nous sommes, client nous resterons !
Benjamin Dargaud Benjamin Dargaud
(Directeur associé)
http://www.co-efficienceconseil.com