CASES.LU

Glossary

  1. ▹ Antivirus
  2. ▹ Actifs
  3. ▹ Authentification
  4. ▹ Disponibilité
  5. ▹ Critères de base pour l'analyse des risques
  6. ▹ Attaque informatique
  7. ▹ Confidentialité
  8. ▹ Control
  9. ▹ Cryptographie
  10. ▹ Cybercriminalité
  11. ▹ Cybercriminel
  12. ▹ DRP – Disaster Recovery Plan
  13. ▹ Sauvegarde de données
  14. ▹ Perte de données
  15. ▹ Défiguration
  16. ▹ Désinfectez la machine avec un live CD
  17. ▹ Mise au rebut
  18. ▹ Email
  19. ▹ Firewall
  20. ▹ Erreurs humaines
  21. ▹ IDS/IPS
  22. ▹ Droit à l'image
  23. ▹ Impact
  24. ▹ Intégrité
  25. ▹ Internet et droits d'auteurs
  26. ▹ Aspects légaux
  27. ▹ LuxTrust
  28. ▹ Logiciels malveillants
  29. ▹ Sites Web malicieux
  30. ▹ Segmentation réseau
  31. ▹ Password
  32. ▹ Correctifs - patch
  33. ▹ Phishing
  34. ▹ Pannes physiques
  35. ▹ Sécurité physique
  36. ▹ Vol Physique
  37. ▹ Recommandations pour sécuriser un serveur de fichiers
  38. ▹ Recommandations pour sécuriser un serveur connecté à Internet
  39. ▹ Recommandations pour sécuriser un serveur Web
  40. ▹ Supports amovibles
  41. ▹ Gestion des risques
  42. ▹ Spam - les courriers indésirables
  43. ▹ SSL/TLS - les technologies de chiffrement sur la toile
  44. ▹ Mettre à jour les logiciels sur son ordinateur à l'aide de Secunia PISA
  45. ▹ Charte de sécurité
  46. ▹ Ingénierie sociale
  47. ▹ Menaces
  48. ▹ VPN : Les réseaux privés virtuels
  49. ▹ Vulnérabilités
  50. ▹ Web of Trust - WOT
  51. ▹ Filtre web - Proxy
  52. ▹ Pourquoi est-il important de protéger son ordinateur?

SSL/TLS - les technologies de chiffrement sur la toile

En quelques mots

L’ensemble de technologies qui forment le SSL (Secure Socket Layer) a initialement été développé par la société Netscape pour son navigateur. La version 3 fût reprise et étendue par l’IETF (Internet Engineering Task Force) pour le développement et la standardisation de TLS (Transport Layer Security). Pour être exact il faudrait d’ailleurs parler de TLS au lieu de SSL, mais ce dernier est resté dans le vocabulaire usuel comme le terme le plus utilisé pour désigner les méthodes de chiffrement utilisées principalement pour les technologies web. Concrètement ces techniques ajoutent une couche de chiffrement au protocole «http» et le transforment en «https», où la lettre «s» ajoutée signifie «secure». Cela signifie que la communication est chiffrée depuis le navigateur jusqu’au serveur web.

Certificats

Les sites voulant offrir la possibilité de chiffrer la communication doivent impérativement se doter d’un certificat. Un certificat est un ensemble de données cryptographiques et d’informations d’identité. Le «https» garantit donc non seulement le chiffrement de la communication mais aussi l’identité du site.

Les certificats utilisés par «https» respectent la norme X509. Un tel certificat contient entres autres les informations suivantes :

  • le nom du serveur pour lequel ce certificat à été créé. (p.ex : www.cases.lu) ;
  • le nom de l’émetteur du certificat. (p. ex. LuxTrust SA) ;
  • la date à partir de laquelle le certificat est valide et la date à partir de laquelle il sera considéré comme étant expiré ;
  • la clé publique du serveur, ainsi que le nom de l’algorithme avec lequel s’utilise cette clé ;
  • la signature de l’émetteur du certificat, ainsi que le nom de la méthode utilisée pour la générer.

Comme pour une carte d’identité, qui est émise et certifiée par les différents États, le certificat SSL doit être signé de manière digitale par une autorité de certification qui fera office d’émetteur du certificat. La signature d’un certificat est vérifiée par le navigateur à l’aide du certificat de l’autorité de certification, qui est appelé certificat racine. Tous les navigateurs contiennent un grand nombre de certificats racines.

Un navigateur mettra en garde les internautes en cas de :

  • expiration du certificat ;
  • non concordance entre le nom de domaine du site est le nom utilisé dans le certificat (un certificat pour www.cases.lu ne peut pas être utilisé pour www.etat.lu) ;
  • signature par une autorité inconnue (risque d’usurpation de nom de domaine) ;

Confiance et sécurité

Contrairement à la croyance populaire et bien que souvent le terme «site sécurisé» soit utilisé, le SSL ne garantit pas la sécurité d’un site web, qui pourrait contenir des vulnérabilités, mais bien l’identité du site et la sécurité de la communication.

Par exemple, si vous utilisez votre site de web banking usuel, le SSL vous garantit que personne sur le réseau ne pourra lire votre mot de passe, ni voir vos transactions. De plus, le certificat vous garantira que vous êtes bien sur le bon site. En revanche il ne garantira pas que le site visité est honnête ni qu’il ne présente pas de failles de sécurité.