toolbar

Xavier Willemin
écrit le 12.06.2018 dans Vie privée


Certificats SSL: place à la pratique

Ma chronique dans la rubrique «Conseils» de l’édition papier de Coopération de cette semaine vous explique ce qu’est un certificat SSL en théorie. Passons maintenant à la pratique avec quelques exemples concrets.


La cas le plus simple est d’utilisation d’un certificat SSL est la connexion à un compte en ligne. Pour vérifier que votre mot de passe soit bien chiffré avant de valider la connexion, repérez le cadenas vert, la mention "Sécurisé" et l’adresse du lien débutant par "https" en haut à gauche dans l’interface de votre navigateur (voir capture d’écran ci-dessous). Ces éléments attestent de la présence d’un certificat SSL. Attention toutefois, toute mention similaire ailleurs qu’à gauche de l’adresse du lien serait une tentative de vous induire en erreur.

(NB : Les captures d’écran sont issues de Google Chrome. L’interface utilisateur peut est légèrement différente sur d’autres navigateurs.)

La page de connexion du site de la Supercard est bien sécurisé.

Pas sécurisé par défaut

En l’absence de certificat SSL sur un site web, quiconque étant connecté au même réseau que vous est en mesure d’espionner tout le trafic que vous générez sur ce site web: pages web consultées, formulaires remplis, mots de passe saisis, etc… Pire encore, un pirate informatique pourrait intercepter vos requêtes au site web et y répondre avec son propre contenu (par exemple une fake news sur le site de la RTS). C’est pourtant encore actuellement le standard par défaut sur Internet.

Le cas des sites sensibles

Cette protection n’est toutefois pas satisfaisante sur les sites web de banques, par exemple. Un certificat SSL avec validation étendue est très fortement recommandé pour rassurer les internautes. Une entité délivrant ce type de certificats SSL procèdera alors à des vérifications plus poussées sur l’identité des requérants (demande d’extrait du registre du commerce et vérification d’identité, par exemple).

Les trois étapes pour afficher les détails d’un certificat SSL (ici sur le site de la banque Cler). Pour une entreprise Suisse, vérifiez que le numéro d’identification des entreprises corresponde à celui inscrit dans le registre du commerce.

Pourquoi est-ce nécessaire ?

Pour illustrer mon propos, j’ai répliqué la page d’accueil de la banque Cler sur un site m’appartenant et ai fait la demande d’un certificat gratuit pour ce site (sans validation étendue). Le navigateur indique que le site est sécurisé (ce qui est vrai d’une certaine façon puisque les échanges de données sur le site sont chiffrés), mais les détails du certificat SSL indiquent bien que le site n’est pas contrôlé par la banque Cler.

Sur des sites web sensibles comme ceux d’une banque, vérifiez le propriétaire du site. Ici, c’est slashnet, ma startup, et non Bank Cler AG (CHE-101.390.939) comme le site pourrait laisser penser.

Pas la panacée

Le système n’est toutefois pas (encore ?) parfait, comme le montre l’exemple suivant. Un chercheur en sécurité informatique a pu obtenir un certificat SSL avec validation étendue au nom de Stripe (une entreprise très sensible de paiement sur Internet) pour un site web lui appartenant.

Seul un internaute à l’oeil averti aurait pu démasquer l’usurpation d’identité. Pour cela, deux solutions : soit remarquer que l’adresse du site n’appartient pas à Stripe (seule la fin de l’adresse compte) ou alors constater dans les détails du certificat SSL que le faux Stripe n’a pas été fondé dans le même état américain que le vrai. Source : Ian Carroll

Techniquement, rien n’est répréhensible dans ce cas-là. Deux entreprises peuvent avoir le même nom si elles sont constituées dans deux états américains différents. La subtilité réside dans la levée de l’ambiguïté et la bonne foi de la démarche.

Dans tous les cas, la prudence est donc de mise.


Article suivant Vacances bien connectées

 

Commentaires (0)

Merci pour votre commentaire

Ce commentaire comprend-il des contenus douteux?

Le texte va être contrôlé et éventuellement adapté ou bloqué.

Votre commentaire

Vous n'avez pas encore écrit de commentaire!

Ce champ doit être complété. Merci.

Champ obligatoire
Ce champ doit être complété. Merci.










Merci de prendre connaissance de notre charte et ne manquez de respect à personne!


Note de la rédaction: les propos tenus sur les blogs n'engagent que leurs auteurs.


S'abonner à ce blog:

S'abonner par mail:
Veuillez corriger votre adresse e-mail


Confirmer



Archives par sujet: