Qu’est-ce qu’un certificat numérique ? Définition et exemples

Les certificats numériques, également appelés certificats d’identité ou certificats de clé publique, sont un type de mot de passe électronique utilisant l’infrastructure de clé publique (PKI, Public Key Infrastructure) qui permet aux individus et aux entreprises d’échanger des données sur Internet de manière sécurisée.

Un certificat numérique utilise la cryptographie et une clé publique pour prouver l’authenticité d’un serveur, d’un terminal ou d’un utilisateur, afin de garantir que seuls les terminaux de confiance peuvent se connecter au réseau d’une entreprise. Il permet également de vérifier l’authenticité d’un site web dans un navigateur.

Un site, une entreprise ou un individu peut demander un certificat numérique qui devra ensuite être validé par une autorité de certification reconnue.

Les certificats numériques peuvent contribuer à sécuriser les communications, les données et les sites web sur Internet. Certaines faiblesses potentielles des certificats numériques peuvent être exploitées, mais les sites web sécurisés par ces certificats de clé publique sont considérés comme plus sûrs que ceux qui ne le sont pas.

Qu’est-ce qu’un certificat numérique ?

Un certificat numérique est un type d’identifiant électronique qui peut prouver l’authenticité d’un utilisateur, d’un terminal, d’un serveur ou d’un site web. Il utilise l’infrastructure PKI pour permettre l’échange sécurisé de communications et de données sur Internet.

Cette forme d’authentification est un type de cryptographie qui exige l’utilisation de clés publiques et privées pour valider les utilisateurs.

Les certificats de clé publique sont émis par un tiers de confiance, une autorité de certification, qui signe le certificat, puis vérifie l’identité du terminal ou de l’utilisateur demandant un accès. Pour garantir sa validité, la clé publique sera combinée à une clé privée correspondante dont seul le destinataire a connaissance. Les certificats numériques disposent d’une paire de clés spécifique à laquelle ils sont associés : une clé publique et une clé privée.

Un certificat numérique contient les informations d’identification suivantes :

• Nom de l’utilisateur
• Entreprise ou département de l’utilisateur
• Adresse IP ou numéro de série du terminal
• Copie de la clé publique du titulaire du certificat
• Durée de validité du certificat
• Domaine que le certificat est autorisé à représenter

Avantages de la certification numérique

La certification numérique peut offrir un niveau de sécurité qui revêt une importance croissante dans le contexte numérique actuel. Aux États-Unis, la cybersécurité a d’ailleurs été citée parmi les principales priorités du gouvernement par le ministère de la Sécurité intérieure. La cybercriminalité fait peser une grave menace sur les entreprises et les individus.

Les certificats numériques peuvent offrir divers avantages :

• Sécurité – Les certificats numériques peuvent préserver la confidentialité des communications internes et externes ainsi que protéger l’intégrité des données. Ils peuvent également assurer le contrôle des accès, dans le but que seul le destinataire prévu reçoive les données et puisse y accéder.  
• Authentification – Avec un certificat numérique, les utilisateurs ont la certitude que l’entité ou la personne avec qui ils communiquent est qui elle prétend être et peuvent s’assurer que les communications ne parviennent qu’au destinataire prévu.  
• Évolutivité – Les certificats numériques peuvent être utilisés sur un large éventail de plateformes, pour les individus comme pour les grandes et petites entreprises. Ils peuvent être émis, renouvelés et révoqués en quelques secondes seulement. Ils permettent de sécuriser de nombreux terminaux utilisateurs et peuvent être gérés via un système centralisé.  
• Fiabilité – Un certificat numérique ne peut être émis que par une autorité de certification reconnue publiquement et rigoureusement validée, ce qui signifie que ce type de certificat ne peut pas être facilement falsifié ou contrefait.  
• Confiance du public – L’utilisation d’un certificat numérique prouve l’authenticité d’un site web, de documents ou d’e-mails. Un tel certificat assure aux utilisateurs et aux clients que l’entreprise ou l’individu est légitime, respecte la vie privée et attache de l’importance à la sécurité.

Différents types de certification numérique

Il existe trois principaux types de certificats de clé publique : certificats TLS/SSL (Transport Layer Security/Secure Sockets Layer), certificats clients et certificats de signature de code. Chaque type de certificat présente également des variations.

• Certificats TLS/SSL – Le certificat TLS/SSL est utilisé pour sécuriser les communications entre un ordinateur et le serveur. Il est hébergé par le serveur. Lorsqu’un ordinateur client cherche à accéder au serveur, ce dernier présentera le certificat numérique pour prouver son authenticité et la destination souhaitée.

La mention HTTPS (HyperText Transfer Protocol Secure) au début d’une adresse web ou URL (Uniform Resource Locator) indique la présence d’un certificat numérique.

Lorsque le certificat numérique du serveur est présenté à un ordinateur client, ce dernier procédera à la validation du chemin de certification pour s’assurer que le sujet du certificat correspond au nom d’hôte. Dans le champ du sujet du certificat, un nom d’hôte principal, ou nom commun (Common Name), doit être identifié. Dans le cas des certificats SAN (Subject Alternative Name) et UCC (Unified Communications Certificates), il peut exister plusieurs noms d’hôte.

Des serveurs web publics, ou serveurs exposés à Internet, sont nécessaires pour qu’un certificat numérique soit signé par une autorité de certification de confiance. Les certificats TLS/SSL peuvent être validés par le domaine (pour les sites web) ou par l’entreprise (pour l’authentification métier légère).

La validation étendue offre une authentification métier complète. Elle peut fournir le niveau le plus élevé de sécurité, de confiance et d’authentification.  

• Certificats clients – Il s’agit d’une forme d’identité numérique permettant d’identifier une machine auprès d’une autre – un utilisateur spécifique auprès d’un autre. Ces certificats peuvent servir à permettre à un utilisateur d’accéder à une base de données protégée et sécurisée, ainsi que pour l’e-mail.

Dans le cas de l’e-mail, c’est le protocole S/MIME (Secure/Multipurpose Internet Mail Extensions) qui est souvent utilisé ; il fonctionne pour les communications au sein d’une entreprise. Les deux parties devront disposer de copies du certificat numérique avant toute communication.

Les e-mails peuvent être chiffrés et l’intégrité des messages validée grâce à l’utilisation d’un certificat client. Chaque utilisateur devra envoyer un message signé numériquement et importer le certificat de l’expéditeur au préalable.  

• Certificats de signature de code – Ce type de certificat numérique implique un logiciel ou des fichiers. L’éditeur ou le développeur du logiciel le signera pour valider son authenticité auprès des utilisateurs qui le téléchargent.

Ces certificats sont particulièrement avantageux lorsqu’un logiciel est téléchargé via un tiers, car ils garantissent qu’il s’agit bien du logiciel annoncé et qu’il n’a pas été altéré par des cybercriminels. Ils permettent de vérifier la validité et l’authenticité de fichiers ou de logiciels téléchargés sur Internet.

Où les certificats numériques sont-ils utilisés ?

Les autorités de certification publiques doivent respecter un ensemble d’exigences de base. La plupart des navigateurs web sont configurés pour faire confiance à une liste prédéfinie d’autorités de certification, établies par le navigateur lui-même ou par le système d’exploitation du terminal. La vérification d’un certificat numérique s’effectue souvent rapidement et en arrière-plan, sans que l’utilisateur ne s’en rende compte.

Les sites web utilisent des certificats numériques pour créer la connexion HTTPS. Leur validité est vérifiée grâce à la signature d’une autorité de certification de confiance. Un navigateur peut ainsi s’assurer qu’il visite le vrai site web qu’il recherche, et non une version frauduleuse.

Les certificats numériques sont également utilisés dans l’e-commerce pour protéger les informations sensibles, financières et d’identification. Les achats, les transactions boursières, les services bancaires et les jeux en ligne utilisent tous des certificats numériques. Les certificats numériques permettent aux titulaires de carte de crédit électronique et aux commerçants de protéger les transactions financières.

Une autre utilisation courante des certificats numériques concerne les communications par e-mail. Il n’est pas rare que les e-mails contiennent une signature numérique, qui envoie des messages chiffrés à l’aide d’un hachage.

Critiques des certificats numériques

Si les certificats numériques sont conçus pour susciter la confiance du public et prouver la sécurité et la validité, ils ne sont pas infaillibles. Les certificats numériques présentent des faiblesses potentielles qui sont exploitées par les cybercriminels.

Par exemple, il arrive que les entreprises elles-mêmes soient compromises et que les cybercriminels volent des certifications et des informations de clé privée, ce qui leur permet de distribuer ensuite des malwares. Un certificat illégitime peut configurer un système infecté afin qu’il soit considéré comme fiable, ce qui ouvre la voie aux attaques.

Les attaques man-in-the-middle (MITM) sont également connues pour intercepter le trafic SSL/TLS afin d’accéder à des informations sensibles, soit en créant un faux certificat d’une autorité de certification racine, soit en installant un certificat malveillant capable de contourner les protocoles de sécurité. Malgré tout, il est plus sûr d’utiliser des certificats numériques pour sécuriser des sites web que de s’en passer.

Points à retenir

Les certificats numériques fonctionnent comme des mots de passe permettant de protéger des données et des communications, souvent entre des sites web et des navigateurs. Ils peuvent servir à authentifier un site web, en indiquant au navigateur qu’il peut s’y connecter et distribuer des informations en toute sécurité.

La certification numérique utilise PKI pour déplacer des données entre des utilisateurs, des terminaux et des serveurs. Un certificat numérique utilise une paire de clés (une publique et une privée) pour chiffrer et déchiffrer les informations transmises entre un expéditeur et un destinataire.

Un certificat numérique est digne de confiance, car il ne peut être signé que par une autorité de certification publique soumise à une validation rigoureuse. La plupart des systèmes d’exploitation et des navigateurs disposent de listes prédéfinies de certificats numériques de confiance. En règle générale, le processus de certification est donc simple et rapide.

Les certificats numériques sont également hautement évolutifs et constituent un aspect essentiel de la cybersécurité.

Références

What Is Federated Identity? 2013. Federated Identity Primer.

Cybersecurity. Octobre 2021. Department of Homeland Security (DHS).

S/MIME pour la signature et le chiffrement des messages dans Exchange Online. Décembre 2021. Microsoft.

Baseline Requirement Documents (SSL/TLS Server Certificates). CA/Browser Forum.

Certificates. CIO.gov.

On the Security of SSL/TLS-Enabled Applications. Janvier 2014. Applied Computing and Informatics.