Eléments de réponses avec Patrick Duboys, Responsable de l’offre SSL de Keynectis.
Rappelons en premier lieu ce qu’est un certificat SSL : il s’agit du certificat numérique d’un serveur qui héberge une page web, équivalent d’un « passeport électronique ». Il permet d’établir avec certitude le lien entre la page web hébergée (un nom de domaine ou une URL) et son propriétaire (une entreprise, un marchand, un individu), d’authentifier ce serveur, et de sécuriser les échanges électroniques entre ce serveur et les individus qui s’y connectent via Internet.
Concrètement, le certificat SSL permet :
– L’instauration de la confiance en authentifiant un site Web et en chiffrant l’ensemble des informations (personnelles, bancaires, etc.) entre ce site et la personne qui s’y connecte, afin de garantir la confidentialité des échanges ;
– Et de prouver l’identité du site Web consulté par les utilisateurs qui se connectent chez eux, et empêcher ainsi un site malveillant d’usurper l’identité du site officiel et détourner ainsi les clients.
Pourquoi cette attaque a pu se produire et quelles en sont les conséquences ?
Dans ce cas précis, une attaque a permis à des pirates de se faire passer pour un émetteur de certificats. Certains systèmes d’exploitation ne vérifiant ni la CRL*, ni l’OCSP*, les faux certificats générés ont ainsi pu être diffusés sur la toile.
Neuf certificats ont été émis dont huit pour des sites web extrêmement populaires. Le phishing (ou Hameçonnage) a alors eu lieu : les internautes se rendant sur ces faux sites auraient pu voir leurs identités usurpées ou encore leurs données personnelles utilisées à leur insu.
Il existe des solutions simples pour s’en prémunir : les certificats SSL et plus particulièrement ceux dits Extended Validation :
Les certificats SSL sont la parade la plus efficace pour éviter de telles situations.
Deux types de certificats existent :
– Les certificats SSL « simples » ;
– Et les certificats SSL Extended Validation (EV).
Apportant une sécurité la plus élevée aujourd’hui disponible sur le marché, les certificats SSL EV représentent une réelle parade aux attaques de type phishing. Ils ont été créés en réponse directe à l’augmentation de la fraude sur Internet qui érode la confiance des consommateurs dans les transactions
en ligne.
La norme SSL EV améliore la vérification des certificats SSL en affichant des repères visuels dans les navigateurs hautement sécurisés. Seuls les certificats SSL EV déclenchent, dans ces derniers, l’affichage du nom de l’organisation dans une barre d’adresse de couleur verte. La délivrance de certificats SSL EV fait l’objet de vérifications encore plus poussées que celles
concernant les certificats simples : procédures complexes, audits réguliers…
Ces exigences permettent ainsi d’obtenir, avec les certificats SSL EV un niveau de sécurité maximum.
* CRL (Certificate Revocation List ou en français liste des certificats révoqués) : liste des certificats qui ne sont plus valables. On dit qu’ils ne sont plus dignes de confiance.
OCSP (Online Certificate Status Protocol ou en français protocole de vérification en ligne de certificat) : Protocole Internet utilisé pour valider, en temps réel, les certificats électroniques.
L’intégration des solutions Splunk sur la plateforme Microsoft Azure ouvre de nouvelles opportunités pour les…
Une tribune libre de Jan Gabriel, Directeur Alliances & Marketing, ITS Integra 2024 est malheureusement une…
Le marché de la cybersécurité continue de se transformer à un rythme effréné, poussé par…
Barracuda, spécialiste des solutions de cybersécurité « cloud-first », lance sa Partner Sales Engineer Community.…
La plupart des entreprises continuent de remplacer leurs équipements (ordinateurs, tablettes, smartphones) selon des cycles…
Westcon-Comstor poursuit sa transition vers un modèle basé sur des revenus récurrents, s'appuyant notamment sur…