Aller au contenu principal

Certificat électronique

Objectifs

  • Comprendre l'attaque de l'homme du milieu
  • Comprendre le rôle des tiers de confiance
  • Comprendre le fonctionnement des certificats électroniques
  • Comprendre le fonctionnement de la chaîne de confiance

Cours

Certificat électronique

Sécurité

Échange de clés

Alice
Bob

Échange de clés

Alice
Bob

Attaque de l'homme du milieu

Alice
Eve
Bob

Attaque de l'homme du milieu

Alice
Eve
Bob

Attaque de l'homme du milieu

Alice
Eve
Bob

Message en clair : "Salut"

Message chiffré (+) : "u43y8xwJi0"

Attaque de l'homme du milieu

Alice
Eve

Message chiffré (+) : "u43y8xwJi0"

Message en clair : "Salut"

Bob

Message en clair : "Salut"

Attaque de l'homme du milieu

  • Man in the middle

  • Eve se fait passer pour Alice (impersonation) auprès de Bob en interceptant les messages et en les modifiant.

  • Elle peut ainsi lire et modifier tous les messages.

  • Besoin d'un tiers de confiance pour garantir que c'est bien la clé publique d'Alice.

  • Analogie avec un ami en commun qui garantit que c'est la bonne personne.

Certificat électronique

  • Permet de certifier l'identité d'une personne en ligne.

  • Délivré par une autorité de certification.

  • Contient la clé publique de la personne, son identité, la signature de l'autorité de certification, …

https://upload.wikimedia.org/wikipedia/commons/c/ca/Certificat_utilisateur_contenu.png

https://commons.wikimedia.org/wiki/File:Certificat_utilisateur_contenu.png

Certificat électronique

https://www.icodia.com/images/solutions/certificats-ssl/schema-ssl.jpg

https://www.icodia.com/fr/solutions/certificats-ssl/en-savoir-plus-certificats-ssl.html

Autorité de certification

  • Certificate Authority (CA)

  • Tier de confiance qui délivre les certificats.

    • Un tiers de confiance (trusted third party) vérifie et garantit l'identité des personnes.

  • Vérifie l'identité du demandeur et garantit l'authenticité des informations.

  • Signe les certificats avec sa clé privée.

    • Garantit l'intégrité des informations du certificat.

    • Non répudiation du certificat (ne peut être remis en cause par les parties).

Chaîne de confiance

https://www.globalsign.com/application/files/2917/2975/6628/fr_x509-certificate-diagram.png

https://www.globalsign.com/fr/blog/concepts-et-applications-de-la-chaine-de-confiance

Chaîne de confiance

http://www.trucsweb.com/documents/images/2014/chaine_de_confiance.png

https://www.trucsweb.com/tutoriels/securite/sha-1/default.rdf

Autorité de certification racine (root)

  • Autorité de certification qui signe ses propres certificats (auto-signé) et qu'on déclare comme fiable.

  • Plusieurs sont pré-installées dans les navigateurs web, ordinateurs, smartphones, ...

Validation d'un certificat

https://www.keyfactor.com/wp-content/uploads/Certificate20Chain20of20Trust-Sep-02-2020-08-15-33-61-PM.jpg

https://www.keyfactor.com/fr/blog/certificate-chain-of-trust/

Validation d'un certificat

https://www.keyfactor.com/wp-content/uploads/Certificate20Chain20of20Trust-Sep-02-2020-08-15-33-89-PM.jpg

https://www.keyfactor.com/fr/blog/certificate-chain-of-trust/

Validation d'un certificat

  • Causes possibles

    • Expiration du certificat.

    • Certificat signé par une autorité de certification non reconnue.

    • Certificat signé par une autorité de certification révoquée.

  • Risques possibles

    • Man-in-the-middle : Impersonation (se faire passer pour) un autre site web.

    • Oubli de renouveler le certificat ou certificat non certifié.

      • Pas de garantie de l'identité du propriétaire.

      • Mais connexion toujours chiffrée (HTTPS).

    • Risques selon le contexte (banque vs blog).

F pour passer en plein écran ou O pour afficher la vue d'ensemble.
Versions sans animation, plein écran, imprimable.

Exercices

Certificat SSL

Vérifier les certificats SSL des sites suivants sur SSL Checker :

  • davidtang.ch
  • vd.ch

Pour chaque site, répondre aux questions suivantes :

  1. Qui a signé le certificat ? (donnez toute la chaîne de confiance jusqu'à la racine)
  2. Quelle est la période de validité du certificat ?
  3. Quels sont les noms de domaine couverts par le certificat ?
Solution
  • davidtang.ch
    1. Le certificat a été signé par le certificat intermédiaire "R13" qui lui-même a été signé par le certificat racine "ISRG Root X1". davidtang.ch → R13 → ISRG Root X1
    2. Du 25 octobre 2025 au 23 janvier 2026
    3. Le certificat ne couvre que le nom de domaine davidtang.ch.
  • vd.ch
    1. www.vd.ch → SwissSign RSA TLS EV ICA 2022 - 1 → SwissSign RSA TLS Root CA 2022 - 1 → SwissSign Gold CA - G2
    2. Du 7 mai 2025 au 7 mai 2026
    3. Le certificat couvre les noms de domaine www.vd.ch et vd.ch.

Problème de certificat SSL

Pourquoi les certificats SSL des sites suivants ne sont pas valides ?

  1. expired.badssl.com
  2. wrong.host.badssl.com
  3. self-signed.badssl.com
  4. untrusted-root.badssl.com
Solution
  1. Le certificat a expiré le 12 avril 2015.
  2. Le nom de domaine du certificat ne correspond pas au nom de domaine du site. Il est valide pour badssl.com et *.badssl.com (remplaçant * par n'importe quel sous-domaine) mais pas pour wrong.host.badssl.com.
  3. Le certificat a été auto-signé, il n'a pas été signé par une autorité de certification reconnue.
  4. Le certificat a été signé par une autorité de certification auto-signée qui n'est pas reconnue par les navigateurs.

Article

Lire l'article Pourquoi vous avez besoin d'un certificat SSL pour votre site web.

  1. Quel est le rôle d'un certificat SSL ?
  2. Quel est le rôle de Let's Encrypt dans les certificats SSL ?
  3. Les navigateurs web ont changé la façon dont ils gèrent les certificats SSL au fil du temps. Pourquoi ?
  4. Quelles sont les conséquences pour un site web de ne pas avoir de certificat SSL valide ?
Solution
  1. Un certificat SSL permet de chiffrer les communications entre le navigateur web et le serveur web, assurant ainsi la confidentialité et l'intégrité des données échangées. Il permet également d'authentifier l'identité du site web.
  2. Let's Encrypt est une autorité de certification gratuite qui fournit des certificats SSL automatisés et renouvelables, facilitant ainsi l'adoption du chiffrement sur le web.
  3. Les navigateurs web ont renforcé la gestion des certificats SSL pour améliorer la sécurité des utilisateurs, en avertissant les utilisateurs lorsque les certificats sont invalides ou absents, et en encourageant l'utilisation de HTTPS.
  4. Un site web sans certificat SSL valide peut être marqué comme "Non sécurisé" par les navigateurs, ce qui peut dissuader les visiteurs. De plus, les données échangées avec le site peuvent être interceptées ou altérées par des attaquants.

Ai-je compris ?

  • Pourquoi a-t-on besoin d'un tiers de confiance pour sécuriser les communications sur Internet ?
  • Quels sont les risques lors d'une attaque de l'homme du milieu ?
  • Quel est le lien entre un certificat électronique et un tiers de confiance ?
  • Qu'est-ce qu'une chaîne de confiance ?

Références

Dernière mise à jour le