Sécurité des communications Internet II: Authentification

Leturia Azkarate, Igor

Informatikaria eta ikertzailea

Elhuyar Hizkuntza eta Teknologia

Dans l'article précédent concernant la sécurité des communications sur Internet, nous avons vu qu'il existe un moyen de garantir la confidentialité (pour qu'un message ou une communication que nous envoyons à un destinataire ne puisse être intercepté par des tiers). Ainsi, si des tiers ne peuvent pas intercepter le message, une façon d'obtenir des informations est de nous faire croire qu'ils sont des destinataires. Dans cet article, nous parlons de l'authentification.
interneteko-komunikazioen-segurtasuna-ii-autentifi
Ed. © Bruce Rolff/350RF

Pour faire une analogie avec le monde réel, nous pouvons considérer le cas du paiement par carte dans un magasin ou un restaurant. Ce que nous avons vu dans l'article précédent serait la nécessité de cacher les données de la carte et le code que nous tapons à partir des regards des autres et la façon de le faire; à cette occasion, nous allons nous référer à la nécessité et la façon de faire le serveur, magasin, etc. Ils sont fiables.

Et c'est que sur Internet il y a aussi le même problème: quand nous achetons dans un magasin en ligne, comment savons-nous que ce magasin est ce qu'il dit et que ce n'est pas un voleur qui a monté un site avec le même aspect que le vrai magasin pour obtenir nos données? C'est le thymus du phishing : un site web ressemble beaucoup à une banque ou un magasin, avec une URL très similaire, à laquelle les utilisateurs sont attirés, généralement par un e-mail, où les données des mots de passe ou des cartes que nous saisissons restent au pouvoir du fraudeur. Il y a des antivirus qui ont des détecteurs de phishing mais ils ne sont pas 100% sûrs. Il est préférable de bien vérifier l'URL à la recherche de pistes suspectes. Mais il n'est pas toujours facile de détecter les fraudes. Existe-t-il un mécanisme Internet qui garantit que c'est ce que dit un site Web, c'est-à-dire l'authentification du site Web ?

Authentification du site par HTTPS

Le protocole HTTPS mentionné dans l'article précédent le garantit. Comme nous l'avons vu, le protocole HTTPS utilise la cryptographie avec clé publique, c'est-à-dire que le message est chiffré avec la clé publique du destinataire, mais le message ne peut pas être déchiffré avec cette clé publique que connaît n'importe qui, mais avec la clé privée que connaît seulement le destinataire, garantissant ainsi que seul le destinataire puisse lire notre message. Cela garantit que nos données seront cryptées et ne pourront pas être capturées par des tiers. Mais l'authentification est garantie grâce à une autre fonctionnalité du protocole HTTPS : les certificats numériques à clé publique.

Les certificats numériques sont des documents numériques qui garantissent le lien entre une entité numérique et sa clé publique, émis par des tiers fiables (stations de certificats). Ainsi, les magasins en ligne doivent obtenir un certificat de démarrage d'un serveur HTTPS avec un ou plusieurs émetteurs. Et quand un navigateur doit démarrer une connexion HTTPS, la première chose à faire est de se connecter avec les certificats émetteurs et demander le certificat numérique de ce site pour s'assurer que la clé publique est celle de la société qui le dit vraiment et que la clé publique est correcte.

Si tout est correct avec le certificat numérique, nous pouvons voir les données du certificat en cliquant sur l'icône du cadenas qui apparaît dans la barre d'adresse. Si ce n'est pas le cas, le navigateur nous montre un avertissement que vous avez sûrement vu plus d'une fois, un policier avec une icône qui apparaît demandant de la documentation. Chaque fois que cela apparaît, cela ne signifie pas que nous sommes face à un site frauduleux : notre navigateur ne peut pas être informé de cet émetteur de certificats (par exemple, parce qu'il est obsolète), ou que le site est exclusivement réservé à un groupe restreint (par exemple, l'extranet d'une entreprise) et n'a pas demandé de certificats ; si nous sommes certains que le site est sécurisé, le navigateur nous permet de progresser.

Par conséquent, si nous devons entrer des données privées (mot de passe, document confidentiel, données de carte de crédit, etc.) sur certains sites, si nous voyons le cadenas correspondant au protocole HTTPS et le navigateur ne nous fait aucune observation, nous pouvons le faire en toute tranquillité, car nous sommes sûrs que le destinataire est celui qui dit et personne ne peut être capturé.

Authentification de l'expéditeur du message

Une autre façon de faire des fraudes est l'e-mail. Au nom de quelqu'un que nous connaissons peut obtenir un courriel demandant des informations ou donner des instructions, et s'il dit qu'ils peuvent nous voler des données, car il est facile d'envoyer un courriel au nom d'un autre. Est-il possible d'authentifier l'expéditeur? Oui, par signature numérique.

La signature numérique est essentiellement une utilisation spéciale de la cryptographie avec clé publique. L'expéditeur crypte une copie du message avec une clé privée et le destinataire, pour le décryptage, utilisera la clé publique de l'expéditeur obtenue d'un émetteur de certificats; si le décrypté est égal au message original, cela signifie que le message est nécessairement envoyé par l'expéditeur présumé, car lui seul a sa clé privée.

Les programmes de messagerie (Outlook, Thunderbird...) ont la possibilité de signer numériquement des messages, les uns propres et les autres avec l'installation du programme PGP (Pretty Good Privacy) ou GPG (GNU Privacy Guard) de leur version libre. Sur ce type de programmes, nous vous avons aussi parlé dans l'article précédent en disant qu'ils utilisent la cryptographie avec clé publique pour chiffrer le message et que seuls les destinataires peuvent déchiffrer. Mais ce n'est pas la seule chose qui fait ce genre de programmes: ils implémentent aussi la signature numérique pour authentifier l'expéditeur. Cependant, avec le web mail (Gmail, Hotmail, Yahoo...) il n'est pas possible de signer numériquement. Cela exigerait que notre clé privée passe aux mains du fournisseur, et cela ne peut pas être fait parce que pour que la cryptographie à clé publique soit fiable il suffit de garder la clé privée vous-même. La seule option est d'utiliser un plugin pour le navigateur, qui effectuera le cryptage sur votre ordinateur.

En bref, en naviguant sur les sites Web qui utilisent le protocole HTTPS et à travers la signature numérique par PGP, GPG ou autre, nous pouvons être sûrs que non seulement personne ne captera les données, mais aussi qu'il est notre interlocuteur.

Babesleak
Eusko Jaurlaritzako Industria, Merkataritza eta Turismo Saila