Le chiffrement des échanges numériques par clés est une technique maintenant ancienne mais très efficace. Lorsqu’il s’agit d’un échange entre un serveur et un client (un site web et le navigateur par exemple), les certificats SSL électroniques servent d’abord à s’assurer de l’identité du serveur. Ils permettent ensuite de sécuriser l’échange de données pour éviter une interception par un pirate ou une agence gouvernementale.
Sa fiabilité repose malgré tout sur une condition centrale : le certificat émis par le serveur doit être digne de confiance et quelques anomalies sont malheureusement apparues.
Des certificats SSL qui se multiplient
La multiplication des affaires impliquant des agences gouvernementales dans la surveillance des flux d’informations a largement stimulé le déploiement de liaisons sécurisés sur le web. Dès 2014, le risque de perte de confiance dans internet était patent.
Les annonces se sont enchaînés depuis. WordPress a déployé le SSL pour les sites hébergés sur wordpress.com et pousse fortement à ce qu’il en soit de même sur l’ensemble des solutions wordpress. Google annonce déjà un traitement différencié du référencement selon la sécurisation des sites. Bref, tous les géants du web poussent à l’adoption du SSL.
Il est tout à fait possible de générer des certificats auto-signés. Mais tout le monde a déjà expérimenté le message d’alerte qui s’affiche alors pour signaler un risque de piratage et inviter l’internaute à aller voir ailleurs.
Conséquence : mieux vaut commencer à s’interroger sur la possibilité de déployer un certificat électronique signé par un tiers pour votre site internet et autres.
Comment passer en https ?
Le premier test est déjà d’essayer de vous connecter à votre site en utilisant le protocole https (https://mondomaine.fr). Certains hébergeurs activent l’option par défaut. Si un joli petit cadenas vert apparaît à gauche de la barre d’adresse, bingo, tout fonctionne.
Si vous avez une erreur, c’est qu’il vous fait obtenir un certificat électronique valide. La première démarche est de se tourner vers votre hébergeur pour connaître les solutions qu’ils proposent. La plupart auront des offres payantes pour quelques dizaines d’euros par an mais la bonne nouvelle est que cela peut également être gratuit !
La fondation let’s Encrypt est une autorité de certification proposant des certificats gratuits et de plus en plus d’hébergeurs les ont adoptés. Si vous avez la main en tant qu’administrateur sur votre serveur, ils sont relativement facile à installer.
Pour les sites nécessitant une garantie plus élevée (e-commerce…), il faudra se tourner vers des certificats électroniques plus sécurisés pour obtenir une meilleure couverture en cas d’utilisation frauduleuse des données de vos clients.
Les certificats SSL sont-ils la panacée ?
En ce qui concerne la sécurisation des échanges de données entre deux entités se connaissant, la réponse est clairement oui. Sous réserve d’une méthode de chiffrement efficace et d’une clé suffisamment grande, la confidentialité de vos données est assurée. Sauf que vous n’avez pas besoin de certificats électroniques à ce moment là puisque vous vous connaissez !
En ce qui concerne la fiabilité de votre interlocuteur, on pourrait penser que la délivrance d’un certificat électronique est un signe positif, mais ce n’est pas si simple.
Des autorités de certification pas toujours sécurisées
En effet, il y a toujours le risque d’une défaillance de l’autorité de certification. En 2014, Comodo a été mis en cause suite à un piratage d’un de ses utilisateurs ayant conduit à la génération de certificats frauduleux. Plus récemment, c’est Symantec qui s’est fait taper sur les doigts par Google suite à l’émission de certificats illégitimes. La firme de Mountain View est même allé jusqu’à bannir les certificats émis par Symantec de Google Chrome et Android. Sympa pour les utilisateurs qui ont payé leur certificat électronique !
Un problème de fond d’identité sur le net
Au-delà des hauts et des bas classiques des technologies du web, la gestion des sésames SSL pose un débat plus profond. L’identité d’un site sur le web se définit d’une part par un nom de domaine permettant de remonter à la personne physique ou morale détenant le domaine. D’autre part, un certificat électronique délivrée par une autorité de certification est censé garantir que la connexion que vous établissez se fait bien avec une machine appartenant à ce domaine. Un bon schéma valant mieux d’un long discours :
Autrement dit, le système de cartes d’identité sur internet repose essentiellement sur des organismes privés avec tout les problèmes de contrôles et de fiabilité que cela peut poser. Il est évident que le poids du modèle libéral a orienté cette architecture pour installer des centres de profit dans le milieu.
Il en résulte que :
- la délivrance et la certification des identités relève de la compétences d’organismes privés et pas toujours à but non lucratif;
- comme dans la vraie vie, la falsification ou l’utilisation frauduleuse d’identités est possible. Le risque est d’autant plus multiplié par le nombre d’intervenants.
La nature même d’internet par son aspect transnational a entraîné cette situation et, s’il est certain que les certificats SSL vont se généraliser, il conviendrait malgré tout de s’interroger sur le modèle sous-jacent et de se souvenir que le SSL n’est pas la panacée pour éviter tous les dangers du web.