Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Patrick Duboys, Keynectis : Comment choisir ses certificats SSL pour une protection efficace des sites web ?

mars 2011 par Patrick Duboys, Responsable de l’offre SSL de Keynectis

Ces derniers jours, un épisode de hacking a impacté plusieurs certificats de sites Web
extrêmement populaires et, a fortiori, fréquentés par un grand nombre d’internautes. La
conséquence de cette cyber attaque a été la fabrication de faux certificats.
Ainsi, l’identité de ces sites a été usurpée et a conduit à des opérations de phishing : les
internautes pensant naviguer sur un site Web officiel ont été, en réalité, orientés sur un faux site
similaire. Le risque encouru par les internautes : vol d’identité, de données personnelles comme
par exemple des coordonnées bancaires.

Comment de telles attaques peuvent avoir lieu dans ce cas précis ? Quelles sont leurs
conséquences ? Et comment peuvent-elles être évitées ?

Rappelons en premier lieu ce qu’est un certificat SSL :

Il s’agit du certificat numérique d’un serveur qui héberge une page web, équivalent d’un « passeport
électronique ». Il permet d’établir avec certitude le lien entre la page web hébergée (un nom de domaine
ou une URL) et son propriétaire (une entreprise, un marchand, un individu), d’authentifier ce serveur, et de
sécuriser les échanges électroniques entre ce serveur et les individus qui s’y connectent via Internet.

Concrètement, le certificat SSL permet :

 L’instauration de la confiance en authentifiant un site Web et en chiffrant l’ensemble des
informations (personnelles, bancaires, etc.) entre ce site et la personne qui s’y connecte, afin
de garantir la confidentialité des échanges ;

 Et de prouver l’identité du site Web consulté par les utilisateurs qui se connectent chez eux,
et empêcher ainsi un site malveillant d’usurper l’identité du site officiel et détourner ainsi les
clients.

Pourquoi cette attaque a pu se produire et quelles en sont les conséquences ?
Dans ce cas précis, une attaque a permis à des pirates de se faire passer pour un émetteur de certificats.

Certains systèmes d’exploitation ne vérifiant ni la CRL*, ni l’OCSP*, les faux certificats générés ont
ainsi pu être diffusés sur la toile.

Neuf certificats ont été émis dont huit pour des sites web extrêmement populaires. Le phishing (ou
Hameçonnage) a alors eu lieu : les internautes se rendant sur ces faux sites auraient pu voir leurs
identités usurpées ou encore leurs données personnelles utilisées à leur insu.

Il existe des solutions simples pour s’en prémunir : les certificats SSL et plus particulièrement ceux
dits Extended Validation :

Les certificats SSL sont la parade la plus efficace pour éviter de telles situations. Deux types de
certificats existent :

 Les certificats SSL « simples » ;

 Et les certificats SSL Extended Validation (EV).

Apportant une sécurité la plus élevée aujourd’hui disponible sur le marché, les certificats SSL EV
représentent une réelle parade aux attaques de type phishing. Ils ont été créés en réponse directe à
l’augmentation de la fraude sur Internet qui érode la confiance des consommateurs dans les transactions
en ligne.

La norme SSL EV améliore la vérification des certificats SSL en affichant des repères visuels dans
les navigateurs hautement sécurisés. Seuls les certificats SSL EV déclenchent, dans ces derniers,
l’affichage du nom de l’organisation dans une barre d’adresse de couleur verte.

La délivrance de certificats SSL EV fait l’objet de vérifications encore plus poussées que celles
concernant les certificats simples : procédures complexes, audits réguliers…
Ces exigences
permettent ainsi d’obtenir, avec les certificats SSL EV un niveau de sécurité maximum.

* CRL (Certificate Revocation List ou en français liste des certificats révoqués) : liste des certificats qui ne sont
plus valables. On dit qu’ils ne sont plus dignes de confiance.

OCSP (Online Certificate Status Protocol ou en français protocole de vérification en ligne de certificat) :

Protocole Internet utilisé pour valider, en temps réel, les certificats électroniques.


Voir les articles précédents

    

Voir les articles suivants