Embed Size (px)
Citation preview
Avis d’expert
Issy-les-Moulineaux, le 24 mars 2011
Comment choisir ses certificats SSL pour une protection efficace des sites web ?
Ces derniers jours, un épisode de hacking a impacté plusieurs certificats de sites Web extrêmement populaires et, a fortiori, fréquentés par un grand nombre d’internautes. La conséquence de cette cyber attaque a été la fabrication de faux certificats. Ainsi, l’identité de ces sites a été usurpée et a conduit à des opérations de phishing : les internautes pensant naviguer sur un site Web officiel ont été, en réalité, orientés sur un faux site similaire. Le risque encouru par les internautes : vol d’identité, de données personnelles comme par exemple des coordonnées bancaires. Comment de telles attaques peuvent avoir lieu dans ce cas précis ? Quelles sont leurs conséquences ? Et comment peuvent-elles être évitées ? Eléments de réponses avec Patrick Duboys, Responsable de l’offre SSL de Keynectis. Rappelons en premier lieu ce qu’est un certificat SSL :
Il s’agit du certificat numérique d'un serveur qui héberge une page web, équivalent d’un « passeport électronique ». Il permet d'établir avec certitude le lien entre la page web hébergée (un nom de domaine ou une URL) et son propriétaire (une entreprise, un marchand, un individu), d'authentifier ce serveur, et de sécuriser les échanges électroniques entre ce serveur et les individus qui s'y connectent via Internet. Concrètement, le certificat SSL permet :
- L’instauration de la confiance en authentifiant un site Web et en chiffrant l'ensemble des informations (personnelles, bancaires, etc.) entre ce site et la personne qui s'y connecte, afin de garantir la confidentialité des échanges ;
- Et de prouver l’identité du site Web consulté par les utilisateurs qui se connectent chez eux, et empêcher ainsi un site malveillant d'usurper l’identité du site officiel et détourner ainsi les clients.
Pourquoi cette attaque a pu se produire et quelles en sont les conséquences ?
Dans ce cas précis, une attaque a permis à des pirates de se faire passer pour un émetteur de certificats. Certains systèmes d’exploitation ne vérifiant ni la CRL*, ni l’OCSP*, les faux certificats générés ont ainsi pu être diffusés sur la toile. Neuf certificats ont été émis dont huit pour des sites web extrêmement populaires. Le phishing (ou Hameçonnage) a alors eu lieu : les internautes se rendant sur ces faux sites auraient pu voir leurs identités usurpées ou encore leurs données personnelles utilisées à leur insu.
Il existe des solutions simples pour s’en prémunir : les certificats SSL et plus particulièrement ceux dits Extended Validation :
Les certificats SSL sont la parade la plus efficace pour éviter de telles situations. Deux types de certificats existent :
- Les certificats SSL « simples » ; - Et les certificats SSL Extended Validation (EV).
Apportant une sécurité la plus élevée aujourd’hui disponible sur le marché, les certificats SSL EV représentent une réelle parade aux attaques de type phishing. Ils ont été créés en réponse directe à l'augmentation de la fraude sur Internet qui érode la confiance des consommateurs dans les transactions en ligne. La norme SSL EV améliore la vérification des certificats SSL en affichant des repères visuels dans les navigateurs hautement sécurisés. Seuls les certificats SSL EV déclenchent, dans ces derniers, l'affichage du nom de l’organisation dans une barre d'adresse de couleur verte. La délivrance de certificats SSL EV fait l’objet de vérifications encore plus poussées que celles concernant les certificats simples : procédures complexes, audits réguliers… Ces exigences permettent ainsi d’obtenir, avec les certificats SSL EV un niveau de sécurité maximum. * CRL (Certificate Revocation List ou en français liste des certificats révoqués) : liste des certificats qui ne sont plus valables. On dit qu’ils ne sont plus dignes de confiance. OCSP (Online Certificate Status Protocol ou en français protocole de vérification en ligne de certificat) : Protocole Internet utilisé pour valider, en temps réel, les certificats électroniques. Pour tout éclairage et expertise à ce sujet, n’hésitez pas à contacter OXYGEN pour être mis en relation avec Patrick Duboys, Responsable de l’offre SSL de Keynectis. A propos de Keynectis : KEYNECTIS est un éditeur français, spécialisé dans le domaine de la sécurité des échanges numériques. Pionnier du SaaS (Software as a Service) et bénéficiant de plus de 12 ans d'expérience, KEYNECTIS propose une offre globale assurant la gestion des identités numériques et la sécurisation des documents et des communications électroniques, au profit des gouvernements, industriels, institutions financières et in fine au bénéfice des usagers à travers le monde. M. Thierry Dassault assure la présidence du Conseil d’Administration. Pour en savoir plus www.keynectis.com Contacts presse Contact Keynectis OXYGEN Caroline Drobinski Tatiana Graffeuil / Estelle Deswarte 01 55 64 22 85 01 41 11 37 89 [email protected] [email protected]
