Qu’est-ce qu’un certificat CA et comment fonctionne-t-il?

[ware_item id=33][/ware_item]

Une illustration d'un certificat CA.


Récemment, le gouvernement du Kazakhstan a temporairement contraint les citoyens à installer une autorité de certification (CA) qui a permis à l'État de décrypter tout le contenu et les communications lors d'une attaque par l'homme du milieu.

Le certificat a même permis au gouvernement de modifier les données et d'inciter les utilisateurs à exécuter et à télécharger des virus et des logiciels espions. L'initiative du gouvernement kazakh a peut-être échoué pour l'instant, mais la menace est réelle.

Explication des autorités de certification

Une autorité de certification vérifie qu'un site Web est ce qu'il dit être lors du chiffrement des données entre ses serveurs et vous. L'autorité de certification signera le certificat de chiffrement du site Web, qui est présenté à l'utilisateur chaque fois qu'un site Web est ouvert..

Le certificat ExpressVPN, signé par une autorité de certification (Amazon).

Les fournisseurs de navigateurs et de systèmes d'exploitation ne peuvent pas valider eux-mêmes la propriété de tous les sites Web. Ils la délèguent donc à plusieurs autorités de certification de confiance. Toutes les autorités de certification doivent avoir des processus et des contrôles en place pour garantir que les certificats ne sont délivrés qu'au propriétaire légitime d'un domaine.

Par exemple, lorsque vous visitez le site Web de votre banque, vous devez vous assurer que vous utilisez vraiment le site Web de votre banque et non un imposteur. Votre navigateur vérifiera donc que le certificat présenté par le site Web est émis par une autorité de certification de confiance, formant ainsi une "chaîne de confiance" fournissant la preuve que vous utilisez vraiment le bon site.

Dans le passé, il y a eu plusieurs cas dans lesquels les fournisseurs de navigateurs et de systèmes d'exploitation ont retiré les droits des autorités de certification parce qu'ils se sont révélés incompétents ou malveillants dans la façon dont ils ont délivré les certificats. Si l'autorité de certification signe des demandes pour d'autres, comme des États-nations ou des pirates, le système ne fonctionne pas.

Votre ordinateur est livré avec un ensemble d'autorités de certification préinstallées, tandis que Firefox utilise sa propre liste, vérifiée par ses propres experts. Le Kazakhstan a essayé d'inclure son autorité de certification malveillante dans Firefox, mais Mozilla a poliment refusé. L'autorité de certification n'est incluse dans aucun autre navigateur majeur, mais il est possible d'ajouter n'importe quelle autorité de certification manuellement. Les développeurs de navigateurs sont conscients de cette lacune, certains proposant de bloquer de manière permanente les autorités de certification malveillantes et de rendre impossible pour les utilisateurs de les installer ou de contourner les restrictions.

Une fausse autorité de certification

En créant sa propre autorité de certification et en se donnant la possibilité de se faire passer pour n'importe quel site de son choix, le gouvernement kazakh tente de contourner cette importante chaîne de confiance..

Tant qu'il contrôle le flux de données, il est en mesure de présenter n'importe quel serveur comme «légitime» et de l'utiliser pour hameçonner vos informations d'identification. Par exemple, le certificat valide de twitter.com prouve que vous êtes vraiment connecté à Twitter et qu'il est sûr d'entrer votre nom d'utilisateur et votre mot de passe. Cependant, si votre ordinateur fait confiance à une fausse autorité de certification, quelqu'un d'autre peut diriger votre connexion vers son propre serveur tout en se faisant passer pour Twitter.

Qu'est-ce qu'un certificat HTTPS?

Hypertext Transfer Protocol Secure (HTTPS) est un protocole utilisé pour crypter les sites Web. Lorsque vous accédez à un site Web qui prend en charge HTTPS (à présent la majorité de tous les sites), un canal crypté est mis en place entre votre appareil et le serveur du site Web, garantissant qu'aucune personne intermédiaire ne peut lire vos mots de passe ou informations sensibles. Cette mesure de sécurité est souvent indiquée par un verrou dans la barre d'adresse du navigateur.

Pour vérifier que votre ordinateur est connecté à un véritable site Web de banque et non à un clone, le certificat HTTPS est signé par une autorité de certification. Lorsque vous accédez au site, le serveur présente une signature électronique indiquant que l'autorité a vérifié qu'il appartient au site Web que vous essayez de visiter.

Étant donné que HTTPS est très fiable lorsqu'il n'est pas subverti, une grande majorité des sites Web et des applications s'appuient uniquement sur la sécurité fournie par HTTPS pour assurer la sécurité des données en transit..

Le chiffrement fonctionne

Le chiffrement aussi simple que HTTPS peut avoir un effet profond sur la sécurité et la confidentialité en ligne, c'est pourquoi les régimes autoritaires sont enclins à l'attaquer.

Surtout dans les États dont les systèmes juridiques ne sont pas fiables et qui ne sont pas responsables vis-à-vis du pouvoir, nous ne pouvons pas faire confiance aux gouvernements pour l'accès à nos données privées. Comme de nombreux exemples l'ont montré, les informations privées (telles que les informations relatives aux cartes de crédit et les messages privés) se répercuteront entre les mains des départements régionaux, puis des agents individuels et, éventuellement, dans le crime organisé, où elles menacent la stabilité de la société.

Qu'est-ce qu'un certificat CA et comment fonctionne-t-il?
admin Author
Sorry! The Author has not filled his profile.