Que sont les certificats numériques?

Le commerce électronique a prospéré grâce à la possibilité d'effectuer des transactions sécurisées en ligne en utilisant les outils appropriés. Ces outils sont le cryptage à clé publique et les certificats numériques.

Le cryptage à clé publique utilise SSL (Secure Sockets Layer) pour crypter toutes les données entre l'ordinateur du client et le site Web de commerce électronique. Les informations sont envoyées sous forme cryptée au site à l'aide de la clé publique du site. À la réception des informations, le site utilise sa clé privée pour déchiffrer les informations. Cela s'appelle une paire de clés . Les intrus qui pourraient capturer des données en cours de route le trouveront illisible.

Le problème, cependant, est que tout le monde peut créer un site Web et une paire de clés en utilisant un nom qui ne leur appartient pas. C'est ici que les certificats numériques entrent en jeu. Les certificats numériques sont des cartes d'identité sécurisées sous forme électronique qui associent la clé de cryptage publique d'un site Web à leur identité à des fins de confiance du public.

Les certificats numériques sont émis par un tiers indépendant, reconnu et digne de confiance, qui garantit que le site Web exploité est bien ce qu'il prétend être. Ce tiers est appelé une autorité de certification (CA) . Sans certificats numériques, le public n’a guère d’assurance quant à la légitimité d’un site Web en particulier.

Un certificat numérique contient notamment le nom, l'adresse, le numéro de série, la clé publique, la date d'expiration et la signature numérique de l'entité. Lorsqu'un navigateur Web tel que Firefox, Netscape ou Internet Explorer établit une connexion sécurisée, le certificat numérique est automatiquement retourné pour vérification. Le navigateur recherche des anomalies ou des problèmes et affiche une alerte, le cas échéant. Lorsque les certificats numériques sont en ordre, le navigateur établit des connexions sécurisées sans interruption.

Bien que cela soit rare, il y a eu des cas d'escroqueries par phishing faisant double emploi avec un site Web et "détournant" le certificat numérique du site pour inciter les clients à donner des informations personnelles. Ces escroqueries impliquaient de rediriger le client vers le site réel à des fins d'authentification, puis de le ramener sur le site Web dupé. D'autres escroqueries par phishing utilisent des certificats numériques autosignés pour se débarrasser du tiers de confiance ou de l'autorité de certification. L'émetteur du certificat numérique et le signataire ne font qu'un. Un navigateur alertera dans ce cas, mais la plupart des utilisateurs cliquent quand même, ne comprenant pas la différence.

Les certificats numériques jouent un rôle essentiel dans la sécurité du commerce en ligne. Si votre navigateur vous signale un problème avec un certificat numérique, il est conseillé de ne pas cliquer. Appelez plutôt l'entreprise en utilisant un numéro de téléphone de vos relevés ou de votre annuaire, et renseignez-vous sur le problème.

Toutes les autorités de certification ne sont pas égales. Certains CA sont plus récents et moins connus. VeriSign et Thawte sont deux exemples d’AC hautement fiables. Si votre navigateur ne reconnaît pas une autorité de certification, il vous alertera.