Quand une transmission est-elle considérée comme sûre? La sécurité des données sur Internet implique que les informations
ne soient accessibles que par leur véritable destinataire (confidentialité),
ne puissent pas être manipulées par une tierce personne durant la transmission (intégrité) et
puissent être attribuées sans équivoque à un expéditeur (authenticité).
Pour ce faire, diverses technologies sont utilisées; certaines font désormais office de normes.
La confidentialité grâce au chiffrement Le chiffrement (ou cryptographie) consiste à masquer un document ou à coder des données, afin que ces dernières ne puissent être déchiffrée qu'avec la clé appropriée. On distingue deux systèmes de chiffrement, symétrique (plus simple) et asymétrique. Le second est plus sûr, car il utilise deux clés différentes pour le codage et le décodage; il est notamment employé pour la transmission des données par une connexion SSL (Sécure Socket Layer).
Pour le chiffrement asymétrique, un programme crée une clé privée (private key) et une clé publique (public key). La seconde est connue de tout un chacun et permet de chiffrer les données à transmettre aux détenteurs de ces paires de clés. La clé privée reste sur l'ordinateur de son détenteur et permet de déchiffrer les données cryptées avec la clé publique, ce qui garantit que seul le destinataire autorisé pourra lire les données envoyées.
L'intégrité grâce aux signatures numériques Pour les signatures numériques, une valeur de hachage (ou hash value, sorte d'empreinte digitale électronique) est calculée et cryptée avec la clé privée de l'expéditeur. Cette empreinte chiffrée (la signature) est envoyée avec le document. Le destinataire la déchiffre, crée à son tour une valeur de hachage qu'il compare avec celle de l'expéditeur. Si les deux valeurs correspondent, il valide le message. Comme il est pratiquement impossible de manipuler un document sans modifier la valeur de hachage, le destinataire peut être sûr que le document vient de l'expéditeur attendu et n'a pas été manipulé durant sa transmission. Si la valeur de hachage a été modifiée, la signature est signalée comme étant non valable.
L'authentification par les certificats et les signatures Les signatures et les chiffrements seuls ne garantissent pas pour autant l'identité de l'utilisateur déclaré (authenticité). Voilà pourquoi le concept du certificat a été développé.
Un certificat est la confirmation de l'identité d'un utilisateur, délivrée par une autorité de certification (également "trustcenter", de l'anglais "trust" = confiance). Il confirme qu'un certain signe électronique (p. ex. une clé publique) appartient à une personne donnée (physique ou morale) et fait donc office de carte d'identité numérique.
Les signatures numériques créées avec une paire de chiffres certifiée ne garantissent pas uniquement l'intégrité des données transmises, mais également l'authenticité de l'expéditeur.
Les principales normes
Fonction
Sécurité
SSL
Chiffrement asymétrique des données et vérification automatique des certificats. Quand vous surfez sur le Web, votre navigateur (browser) établit automatiquement une connexion SSL pour les pages sécurisées.
Vous ne devriez envoyer les informations de vos cartes de crédit que par des connexions SSL, par exemple. Elles sont reconnaissables à la suite de caractères https:// qui précède l'adresse Internet dans la barre de navigation, ainsi qu'au cadenas fermé s'affichant dans la barre d'information, au pied du navigateur.
HTTPS
HTTPS est le protocole de transfert utilisé par SSL (par opposition à HTTP, le protocole employé pour la transmission normale).
PGP
PGP (Pretty Good Privacy) est la norme la plus utilisée pour la transmission sécurisée du courrier électronique. PGP se fonde également sur un procédé de chiffrement asymétrique.
Le courrier électronique confidentiel (p. ex. celui qui contient des données personnelles) devrait être crypté avant l'envoi, afin de s'assurer que seul le destinataire prévu puisse le déchiffrer.
