Clusir : Pensez à "cadenasser" vos données confidentielles sur le web


PAPEETE, le 12 janvier 2014 - L’association Clusir Tahiti (Club de la Sécurité de l'Information Région Tahiti, une jeune association de professionnels du secteur) a établi ses 12 commandements de la sécurité informatique l'année dernière dans nos colonnes et les détaille un par un. Après une leçon sur comment choisir un bon mot de passe, voici la base de la confidentialité des données sur internet.

Le succès d’internet est lié à la facilité de communication qu’il apporte. La sécurité de ces communications n’a néanmoins pas été prise en compte par les pères d’internet, et les protocoles de base qu’ils ont inventés font circuler l’information sous forme de texte simple, facilement lisible par toute personne qui dispose d’un accès au réseau. S’il s’agit juste de consulter un site d’information ou d’envoyer un email pour souhaiter bon anniversaire à un ami, le fait que cette communication soit lue n’est sans doute pas très grave. En revanche si vous effectuez un achat en ligne en donnant vos informations de carte bancaire, ou si vous recevez un email de votre banquier, la sécurité devient indispensable.

Mais que signifie la sécurité dans le domaine des communications sur internet ? Elle est en réalité constituée de trois éléments : l’identification, l’intégrité, le chiffrement.

Identification

L’identification consiste à s'assurer que l'on communique avec l’entité souhaitée. Dans le domaine du web, il est en effet facile de « recopier » un site web. Si le nom du site a pu être détourné par un pirate, le risque est alors de se connecter sur le site du pirate et de lui transmettre des informations confidentielles.

Par exemple le site www.paypal.com.net pourrait faire croire qu’on est sur un site de paiement célèbre (et digne de confiance), alors qu’il s’agirait d’un site frauduleux ; le pirate pourrait facilement enregistrer des noms d’utilisateurs et mots de passe réels grâce à cette supercherie.

La parade pour les sites internet est la mise en place d’un certificat associé au nom du site ; si le certificat ne correspond pas au site, le navigateur signale à l’utilisateur qu’il y a un problème et lui recommande de ne pas continuer sur ce site. Le certificat est installé sur le serveur internet ; il est obtenu auprès d’une autorité de confiance. La liste des autorités de confiance est elle-même intégrée dans le navigateur internet.

Intégrité

On veut ici assurer que le message n’a pas été altéré lors sa transmission. Prenons l’exemple d’un virement bancaire via internet : l’ordre comporte diverses informations, en particulier le compte à créditer et le montant. Un pirate pourrait avoir pris le contrôle d’un équipement intermédiaire et modifier le compte à créditer ainsi que le montant. Il détournerait ainsi à son profit un virement réel.
Il existe des moyens techniques qui garantissent automatiquement que les données n’ont pas été modifiées.

Chiffrement

Le chiffrement consiste à assurer que le message ne peut être lu que par une personne qui connaît la clé de chiffrement. C’est probablement le concept le plus simple à appréhender : qui n’a pas dans son enfance utilisé un code secret pour transmettre des messages confidentiels à ses amis ?

Il existe deux types de chiffrement :
- Symétrique : l'expéditeur et le destinataire partagent une clé, utilisée pour coder et décoder les messages. La difficulté dans le cas d’internet est de trouver un moyen de transmettre cette clé : comment un site de vente peut-il transmettre une clé différente à chaque client ?
- Asymétrique ou à clés publique / privée : cette nouvelle méthode date des années 1970. Elle repose sur la génération d’un couple de clés : la clé publique sert à chiffrer le message, qui peut être uniquement déchiffré par la clé privée associée. Appliqué à un site internet, ce type de chiffrement permet au serveur de conserver sa clé privée, et de diffuser à tous ses clients la clé publique. Ce mécanisme s’applique aussi à la messagerie électronique.

Dans la pratique

Les concepts exposés ci-dessus (identification, intégrité et chiffrement) sont aujourd’hui utilisés communément par les sites web qui manipulent des données confidentielles (sites de vente, bancaires, réseaux sociaux, etc.) à travers le protocole https. Lorsque ce protocole est utilisé, votre navigateur préféré affiche généralement un petit cadenas fermé symbolisant la sécurité de la connexion. Vous devez absolument vérifier avant d’envoyer des informations confidentielles (même le mot de passe d’un réseau social est confidentiel) que le cadenas est fermé !


Bien qu’elle n’ait pas été prévue par les inventeurs d’internet, la sécurité a été rapidement implémentée, avec des solutions fiables et simples d’utilisation. Il faut être conscient des risques liés à la transmission de données confidentielles sur un réseau public et savoir utiliser les techniques disponibles, ou vérifier qu’elles sont bien appliquées par les techniciens. Ces mesures simples constituent la première condition pour assurer la confiance sur internet et permettront son développement harmonieux.

Rédigé par Jacques Franc de Ferrière le Lundi 12 Janvier 2015 à 14:51 | Lu 3031 fois