Comment HTTPS sécurise les connexions – Partie 2
Dans la première partie de cette série d’articles, nous avons vu comment sécuriser une communication entre deux correspondants afin d’éviter qu’un 3e acteur malintentionné puisse lire les messages envoyés en les interceptant. Ceci en encryptant les messages envoyés afin que seul le destinataire puisse les lire. Les correspondants sont dans le cas d’une consultation d’un site web, votre navigateur ainsi que le serveur hébergeant le site web.
Nous avons vu que l’encryption des messages nécessite certains échanges d’information au début de la communication. Afin que la communication soit réellement sécurisée, il faut donc être sûr que notre interlocuteur soit vraiment la personne qu’il prétend, car si nous mettons en place une communication encryptée avec une personne malintentionnée dès le début, par exemple une personne qui se fait passer pour quelqu’un d’autre, nos messages auront beau être encryptés, la communication ne sera pas sécurisée pour autant.
C’est là que les certificats entrent en jeu.
Lorsque vous souhaitez mettre en place une connexion HTTPS sur votre serveur et ainsi proposer cette sécurité aux utilisateurs de votre site web, vous devez avoir un certificat. Le certificat a pour but de lier une identité à une clé publique. Dans notre cas, l’identité est représentée par un nom de domaine comme unifr.ch.
Facile me direz-vous, il me suffit de savoir créer un certificat pour me faire passer pour n’importe quel domaine! C’est sans compter sur les autorités de certification (CA). Les CA sont chargés de signer les certificats afin de valider ceux-ci, sans cette signature votre navigateur n’acceptera pas la validité de cette connexion sécurisée et vous avertira. Les navigateurs disposent donc d’une liste de CA reconnus, auxquels ils font confiance pour la signature des certificats. Il est donc essentiel de disposer d’un navigateur sûr et mis à jour.
A titre d’exemple, vous pouvez consulter les informations sur la connexion HTTPS directement sur cet article, en cliquant sur le cadenas de la barre d’adresse de votre navigateur (ou similaire suivant votre navigateur). Vous pourrez constater que pour le cas du domaine unifr.ch, le CA est QuoVadis Limited.
Consultation des informations de connexion HTTPS
Afin de valider un certificat, les CA vont vérifier manuellement deux éléments essentiels concernant le demandeur :
- il s’agit d’une vraie personne ou entreprise qui existe dans le domaine public
- cette entité est effectivement le propriétaire du domaine pour lequel elle demande un certificat signé
Si ces critères sont remplis, le CA est sûr que la demande est fondée, il peut alors signer le certificat et l’enregistrer dans son registre. Ce même registre est ensuite utilisé par votre navigateur pour vérifier la validité d’un certificat.
Grâce aux certificats et à l’encryption, HTTPS permet d’établir une connexion sécurisée permettant l’échange de messages (au sens large, le message peut être du texte, une image, etc..) en toute sécurité.
Cela ne vous décharge cependant pas de la tâche de vérifier que tous les éléments sont en ordre lorsque vous communiquez des informations sensibles sur internet à savoir :
- l’adresse dans la barre de recherche est bien celle à laquelle je m’attends, par exemple unifr.ch car comme nous l’avons vu, les certificats sont liés au nom de domaine
- le cadenas est présent avec l’information que la connexion est sécurisée
En guise de rappel, cela ne garantit pas que les informations que vous communiquez sur le site web (ou autre service) soient encryptée sur leur serveur. Une fois le message décrypté sur le serveur, il se peut tout à fait que le service stocke les informations « en clair » et soit ainsi vulnérable aux attaques. Afin d’éviter ceci, essayez d’entrer des informations sensibles uniquement sur des sites web en lesquels vous avez confiance (votre banque, université, etc..) et essayez de vous renseigner sur leur politique de confidentialité.
