Certificat de sécurité : comment ça marche ?

Certificat de sécurité : comment ça marche ?  

Tout le monde connaît ce petit cadenas parfois vert, parfois blanc, selon le navigateur que l’on s’est choisi, installé à côté de l’adresse URL d’un site web. Ce cadenas est un certificat de sécurité SSL : s’il est fermé, c’est que la page web visitée est sécurisée.

Mais comment fonctionne-t-il vraiment ? Plongée dans le monde fascinant de la cryptographie avec David Petit, directeur délégué à la sécurité informatique chez Orange France.

Un protocole de chiffrement

Un certificat de sécurité SSL (“Secure Sockets Layer”) est un protocole électronique qui identifie l’identité d’un site sur le web. Il permet aux visiteurs du site une connexion chiffrée. C’est-à-dire que lorsque l’on visite un site avec ce cadenas, les informations qui transitent entre les deux systèmes (notre ordinateur et les serveurs hébergeant le site web) ne peuvent être interceptées ou modifiées.

“L’idée générale, c’est d’assurer la confidentialité des échanges pour qu’ils restent secrets entre deux interlocuteurs. L’objectif est que l’intégrité des données soit préservée et qu’elles ne soient pas modifiées par un tiers. Le certificat permet aussi l’authentification des données : on sait avec certitude que c’est bien une personne X qui envoie à une personne Y, sans que quiconque puisse se faire passer pour l’un des deux interlocuteurs”, explique David Petit, directeur délégué à la sécurité informatique de Orange France.

Une histoire de cryptographie

Alors concrètement, comment marche ce certificat de sécurité ? C’est une méthode cryptographique, comme il en existe depuis toujours.

Dans ses correspondances secrètes, le général romain et conquérant de la Gaule, Jules César, utilisait une méthode de cryptographie dite symétrique et désormais bien connue : le chiffrement par décalage. Il s’agissait de décaler, en accord avec son correspondant, les lettres de l’alphabet vers la droite ou la gauche. En décalant de trois vers la droite, A devenait ainsi D, B devenait E, etc.

“Le point commun de toutes les méthodes cryptographiques, c’est qu’elles ont une clé. C’est un code commun qui permet à deux interlocuteurs d’échanger de manière confidentielle. Or, sur Internet, on ne peut pas se mettre d’accord sur une méthode à chaque fois que l’on visite un site web”, continue David Petit.

Les clé du web

Contrairement à César, on utilise en ligne deux clés : une clé dite publique que l’on partage et l’autre dite privée. L’une ouvre ce que l’autre ferme et vice versa. Elles sont complémentaires et indissociables. C’est comme cela que mon navigateur et le serveur d’un site web arrivent à communiquer de manière chiffrée sans que l’on se soit mis d’accord au préalable.

Le fonctionnement est un peu complexe, mais tentons de le résumer. J’utilise ma clé privée pour chiffrer mon message. Seule ma clé publique peut le déchiffrer. Mon interlocuteur (le site web) va l’utiliser puisqu’elle est partagée/publique et ainsi il saura que je suis bien l’auteur de ce premier message, c’est le principe de la signature.
Ensuite je vais utiliser la clé publique de mon interlocuteur pour chiffrer les échanges. La seule clé susceptible de décoder et SA clé privée. Il pourra donc déchiffrer le contenu et il sera le seul à pouvoir le faire. C’est la confidentialité.
En somme et pour plus de simplicité, ces quatre jeux de clés (deux de chaque côté de l’écran) jouent au ping pong pour assurer l’authentification des données

C’est ce qu’on appelle de la cryptographie asymétrique. Et c’est exactement comme cela que fonctionne le petit cadenas paisiblement installé à côté de l’adresse URL d’un site. Le flux d’information entre l’ordinateur et le serveur est alors réputé fiable car il n’est ni lisible par un tiers, ni modifiable. “À ce jour, les algorithmes utilisés pour chiffrer ces informations sont réputés incassables”, conclut David Petit. Reste à espérer qu’ils le resteront encore longtemps !