Les certificats de sécurité

Les certificats de sécurité sont étroitement liés au chiffrement, dont nous avons parlé dans un précédent article. Pour l’internaute, ils sont une garantie de sécurité qui devient progressivement un standard incontournable.

Qu’est-ce qu’un certificat de sécurité ?

La présence d’un certificat de sécurité sur le site web que vous consultez est une garantie de sécurité, il vous rassure sur le fait que :

1. Les données que vous envoyez sur ce site web sont bien chiffrées. Exemple : votre numéro de carte bancaire ne transite pas en clair.
2. Le site web qui vous demande ces données est bien le bon. On dit qu’il est « légitime ».

Un site qui dispose d’un certificat de sécurité affiche une url de type https://monsite.com à la place de http://monsite.com. Dans notre jargon, on dit qu’il est en HTTPS, par opposition au HTTP.

Pourquoi c’est important ?

Avec l’utilisation croissante du web, il devient indispensable de s’assurer de la sécurité des données qui transitent sur ce réseau. L’utilisation systématique des certificats de sécurité est une bonne pratique qui se généralise depuis quelques années et qui est aujourd’hui devenue incontournable. Google pousse notamment fortement pour l’application de cette bonne pratique. Et à raison car les cas de piratages se multiplient aussi vite que l’utilisation du web augmente.

Aujourd’hui, on n’imaginerait pas d’effectuer un achat sur un site non sécurisé et encore moins de confier ses identifiants bancaires à un tel site web.

Qui les accorde  ?

Ces certificats sont accordés par des organismes de certification qui sont des organisations certifiées par les navigateurs web comme Google ou Firefox et par les systèmes d’exploitations. Parmi les plus connus on retrouve :

• Symantec à l’origine de Norton, l’antivirus.
• Thawte
• Geotrust
• Sectigo (ex Comodo)
• GlobalSign
• Digicert
• OpenTrust
• Certisign
• Let’s encrypt qui propose des certificats gratuitement

Il est aussi possible d’acheter des certificats de sécurités, auprès de fournisseurs partenaires des autorités de certification.

Les types de certificats de sécurité ?

Les certificats de sécurité offrent globalement tous le même niveau de protection technique. Les seules différences sont le prix, la profondeur de la vérification administrative opérée par le fournisseur du certificat et l’affichage du niveau de sécurité pour l’internaute.

Domaine validation (DV)

C’est le niveau de base, qui garantit un bon chiffrement des données envoyées sur le site. Pour obtenir ce certificat, il suffit juste de prouver qu’on est bien le propriétaire du nom de domaine du site. Une fois obtenu, un petit cadenas s’affiche à côté de l’adresse du site web.

Notez bien qu’il n’est pas très compliqué d’acheter un nom de domaine. Donc, un site frauduleux peut très bien afficher un certificat de sécurité. Si on reprend ce que nous expliquons plus haut, avec un certificat DV, ça donne :

1. Les données que vous envoyez sur ce site web sont bien chiffrées. Exemple : votre numéro de carte bancaire ne transite pas en clair. OUI
2. Le site web qui vous demande ces données est bien le bon. On dit qu’il est « légitime ». BOF, tout ce qu’on sait, c’est que le domaine est le bon.

Organization validation (OV)

C’est le niveau supérieur de certificat. Pour bien comprendre son intérêt, il faut différencier propriétaire du nom de domaine et propriétaire de l’organisation qui exploite un site. Pour schématiser, quelqu’un de mal intentionné peut créer un site “labanquepostal.lol” sans être La Banque Postale.

C’est sur ce niveau de vérification que joue ce certificat, on va vérifier que l’organisation qui achète le certificat est bien légitime. L’organisme de certification va donc procéder à une vérification plus longue car il va falloir prouver que l’organisation existe juridiquement à l’aide de documents justificatifs. Cependant, visuellement il n’y a aucune différence avec le certificat DV. Il faut afficher les détails du certificat pour voir la différence. Et la plupart des internautes ne s’embêtent pas à afficher les détails d’un certificat. Donc, pour résumer avec le certificat OV, ça donne :

1. Les données que vous envoyez sur ce site web sont bien chiffrées. Exemple : votre numéro de carte bancaire ne transite pas en clair. OUI
2. Le site web qui vous demande ces données est bien le bon. On dit qu’il est « légitime ». OUI, mais ça ne se voit pas pour l’internaute.

Extended validation (EV)

C’est le plus haut niveau, pour l’avoir il faut aussi renseigner l’identité du responsable de l’organisation. Il offre en revanche une transparence totale avec l’utilisateur qui voit en plus la société qui exploite le site web comme ci-dessous, avec labanquepostale.fr.

C’est le must et naturellement, c’est le certificat qui rassure le plus l’utilisateur. En synthèse, le EV ça donne :

1. Les données que vous envoyez sur ce site web sont bien chiffrées. Exemple : votre numéro de carte bancaire ne transite pas en clair. OUI
2. Le site web qui vous demande ces données est bien le bon. On dit qu’il est « légitime ». OUI, et en plus ça se voit, c’est le top.

EDIT du 10/02/2020 : les certificats EV ont depuis un peu perdu en visibilité car la barre de sécurité n’est plus visible ni sur Chrome ni sur Firefox. 

 Les certificats de sécurité chez Vigicorp

Il faut bien noter qu’en ce qui concerne la qualité du chiffrage des données, les 3 catégories DV, OV et EV ont grosso modo le même niveau de sécurité technique. Chez Vigicorp, nous allons donc utiliser principalement le certificat de sécurité DV pour nos clients car il a un bon rapport qualité/prix. Il suffit à rassurer le visiteur dans la plupart des cas.

Nous considérons que le certificat OV n’a pas vraiment d’intérêt car il n’affiche pas son niveau de réasurrance pour l’utilisateur. Et il est plus cher.

Lorsque des données sensibles entrent en jeu nous allons préférer partir sur un certificat EV qui offre clairement un niveau de réassurance supplémentaire.