Protéger les données qui transigent sur le réseau à l’aide d’un certificat numérique SSL

Dans le monde du Web, les données d'un site dont l'URL débute par http:// transigent via le protocole TCP/IP.

Mais qu'est-ce que ce protocole fait de particulier ? Les données y sont-elles sécurisées ?

▼Publicité

Les dangers de TCP/IP1

Le principal défaut de TCP/IP est que les données qui circulent à l'aide de ce protocole ne sont pas cryptées. Il devient donc possible de renifler les données qui transigent sur le réseau et d'en lire le contenu.

Le reniflage peut avoir lieu autant sur un réseau filaire que sur un réseau sans fil. Les utilisateurs malveillants utiliseront des logiciels spécialisés qui interagissent avec la carte réseau.

Si le reniflage sur un réseau sans fil est limité à la portée du réseau, il en va autrement pour les réseau filaires, et de façon plus large, pour Internet. Et voici pourquoi.

La force de TCP/IP, c'est sa souplesse. Les paquets de données arriveront à destination en empruntant différents chemins selon la disponibilité ou non des différents noeuds du réseau. La souplesse de TCP/IP a cependant un coût : puisque les paquets peuvent emprunter différents noeuds pour arriver à destination, il est possible de trafiquer les tables de routage afin de leur faire faire un détour qui permettra à un utilisateur malveillant de renifler les données qu'ils contiennent.

C'est pourquoi les sites Web qui manipulent des informations sensibles, comme un numéro d'assurance sociale ou un numéro de carte de crédit, doivent absolument protéger les données qu'ils manipulent. À la limite, les sites qui demandent une combinaison « code d'usager - mot de passe » devraient également protéger ces données. En effet, même si le site ne manipule aucune information sensible, l'usager dont le mot de passe a été saisi pourrait utiliser ce même mot de passe sur un autre site plus sensible.

Cette protection passe par SSL.

Protocole SSL (Secure Socket Layer)

Le protocole SSL est une couche supplémentaire installée au-dessus de TCP/IP afin de créer un canal sécurisé entre deux machines. 

SSL travaille à deux niveaux :

  • les données qui transigent sur le réseau via SSL sont cryptées. En cas de reniflage, elle ne seront pas déchiffrables.
  • SSL s'occupe également d'authentifier le détenteur de la machine avec laquelle on communique grâce au certificat SSL.

Les sites Web qui utilisent le protocole SSL ont un URL débutant par https://.

De plus, la communication utilise le port 443 plutôt que le port 80 généralement utilisé avec le web non sécurisé.

Certificat SSL

Le certificat SSL, aussi appelé certificat numérique, permet de vérifier l'identité du détenteur de la machine avec laquelle on communique grâce à un échange de clés publique et privée.

Le certificat est installé sur le serveur et les internautes qui accèdent aux pages délivrées par ce serveur recevront un certificat numérique contenant les informations d'identification de l'entreprise responsable de ce serveur. En fait, ce certificat ne sera pas affiché mais sa validité sera vérifiée par le navigateur.

La validité d'un certificat SSL est garantie par une autorité de certification reconnue (CA : Certification Authority), comme GlobalSign, GeoTrust, Thawte, Verisign, etc. Les navigateurs connaissent la liste des autorités de certification reconnues et permettent les échanges avec de tels serveurs de façon transparente.

Il est possible d'utiliser un certificat qui n'est pas délivré par une autorité de certification reconnue. On parlera alors de « certificat non signé » ou de « certificat auto signé ». Lorsqu'un navigateur détecte que le certificat SSL n'est pas reconnu, il affiche un message d'avertissement afin de protéger l'internaute.

Avertissement de certificat non vérifié

Sources

1. Charton, Éric. « Hackers guide ». Pearson. Extraits du livre disponibles en ligne : http://books.google.ca/books?id=Fqmkv2U0XeEC&printsec=frontcover&dq=Eric+Charton&hl=fr&sa=X&ei=eH5GVLfjHc7ksASJ24H4DA&ved=0CCcQ6AEwAA#v=onepage&q=Eric%20Charton&f=false

Pour plus d'information

« Le SSL en quelques mots ». TBS Internet. http://comodo.tbs-certificats.com/ssl_explication.html.fr

« Cryptographie - Secure Sockets Layers (SSL) ». Comment ça marche. http://www.commentcamarche.net/contents/crypto/ssl.php3

« Transport Layer Security ». Wikipédia. http://fr.wikipedia.org/wiki/Secure_Sockets_Layer

« Passer WordPress de http à https ». WP Formation. http://wpformation.com/wordpress-http-https

« Achat de certificat SSL ». Rapidenet.ca. http://www.rapidenet.ca/ssl.html

« Grille de prix des certificats SSL ». gandi.net. http://www.gandi.net/ssl/grid?lang=fr 

« Certificats SSL pour sécuriser votre site ». Hébergement Web Canada. http://hebergement-canada.net/certificats-ssl

« SSL : Secure Socket Layer ». SecuriteInfo.com. https://www.securiteinfo.com/cryptographie/ssl.shtml

« Certificats et authentification ». MDN. https://developer.mozilla.org/fr/docs/Introduction_%C3%A0_la_cryptographie_%C3%A0_clef_publique/Certificats_et_authentification

Merci de partager ! Share on FacebookTweet about this on TwitterShare on Google+Share on LinkedInPin on PinterestShare on StumbleUponEmail this to someone
Catégories