Comment utiliser la sécurisation SSL ? Les bonnes pratiques

Le protocole SSL est devenu sur internet le moyen le plus utilisé pour crypter les données et les envoyer sur le réseau de manière sûre. Grâce à un système d’authentification, de certificat, de clé privée et de clé publique, les données sont cryptées avant d’être envoyées sur le réseau et décryptées à la réception. L’intégrité des données est garantie : c’est-à-dire que si un pirate modifie les données en cours de route, le protocole s’en apercevra. Utilisé dans de nombreuses applications, le protocole SSL est devenu incontournable quand on travaille sur internet.

Sécurité SSL

Un peu de cryptographie

Sans entrer dans les détails complexes qui me rappelleraient mes cours de cryptographie auxquels j’ai assistés à l’université pendant mon Master II E-Services, voici chronologiquement à quoi ressemble une transaction SSL :

  • Le client se connecte au serveur qui lui demande de s’authentifier
  • Le serveur renvoi au client un certificat contenant une clé publique
  • Le client génère une clé de session, en cryptant une clé privée avec la clé publique
  • Les données cryptées grâce à la clé de session peuvent alors être échangées

Je peux vous dire que j’ai mis un sacré bout de temps avant de comprendre comment ça marchait, et encore, je ne vous ai pas encore parlé de TLS, d’AES, de RSA, de MD5 ou d’authentification forte (l’authentification forte est par exemple utilisé par le site des impôts, qui utilise un certificat d’authentification forte). N’allons donc pas plus loin pour le côté technique : le protocole SSL a été pensé par des petits génies de l’informatique. Il est aujourd’hui largement répendu sur internet, notamment lorsqu’on se connecte de manière sécurisé à un site internet avec le protocole HTTPS.

Ci-dessous, vous trouverez une infographie interactive qui vous expliquera le fonctionnement du protocole SSL, son histoire, sa mise en place sur un site internet…

Infographie réalisée par Stay Secure Online

Infographie réalisée par Stay Secure Online (cliquez ci-contre pour plus de détails)

Le protocole SSL est-il un protocole sûr ?

Le protocole SSL est utilisé pour les services bancaires et les paiements en ligne, ce qui suscite bien évidemment la curiosité des pirates. Les algorithmes de cryptage utilisés pour le protocole SSL sont notamment AES et RSA. L’algorithme AES est utilisé par la NSA américaine (National Security Agency) pour chiffrer les documents classés « TOP SECRET » et l’algorithme RSA, avec une clé qui respecte les recommandations des experts en sécurité informatique, nécessiterait des centaines de machines très récentes pour être cassé. Donc niveau algorithme de cryptographie, c’est du costaud !

On voit tout de même fleurir tous les 2-3 ans des scoops du genre « des chercheurs trouvent un nouveau moyen d’attaquer SSL ». En réalité, ces attaques visent toujours les anciennes versions du protocole et ne sont réalisables que dans certaines conditions très particulières. Très peu d’entres-elles sont validées par la communauté scientifiques.

Bref, le protocole SSL est en effet un protocole sûr. A moins que l’informatique connaisse une révolution imminente (nanotechnologique ou biotechnologique), le protocole SSL a encore de longues années devant lui.

2 cas concrets d’utilisation pour un nomade digital

Votre messagerie email : Gmail, Hotmail…

Mots de passe, coordonnées personnelles, informations bancaires, informations sur ses clients… La boîte email est devenue un endroit très confidentiel pour les travailleurs du net. Bien sûr, je vous conseille toujours de changer régulièrement votre mot de passe, avec une complexité forte (M&x1c@n@2013$SSL), mais aussi de vérifier dans les paramètres de votre webmail que l’option SSL est bien activée. Si elle ne l’est pas, vos emails navigueront en clair sur internet et seront disponibles aux pirates sur les réseaux wifi, dans les cyber-café, les hotspots… Sur Gmail, l’option est activée par défaut. Vous remarquerez d’ailleurs le petit cadenas et le préfixe https :

Connexion https dans Gmail

Connexion https dans Gmail

Votre logiciel FTP (File Transfert Protocole)

Le protocole FTP vous servira à télécharger ou uploader des données sur votre serveur. Vous pouvez par exemple l’utiliser pour uploader des images, pour downloader les sauvegardes de votre site internet, pour faire des modifications sur votre thème WordPress… Sachez que le protocole FTP n’est pas du tout sécurisé et lorsque vous vous connectez via votre logiciel FTP, (WinSCP par exemple), le mot de passe est transmis en claire sur le réseau ! Je vous recommande donc d’utilisez des mots de passes uniques pour vos connexions FTP. Et pour utiliser SSL, il existe les protocoles SFTP (Secure File Transfert Protocole) ou SCP  (Secure Copy). Le fonctionnement de ces protocoles est le même que celui du protocole FTP, mais les données sont cryptées. Malheureusement, les hébergeurs ne proposent pas cette fonctionnalité sur toutes leurs offres…

Parce que j’ai déjà traité des manières de voyager en sécurité tout en travaillant sur internet et que j’aime aborder des sujets très différents sur mon blog, je vous ai présenté aujourd’hui comment fonctionne la sécurisation SSL. J’espère que cela vous permettra d’acquérir quelques notions de cryptographie, et de bien sûr, continuer à travailler sur internet en toute sécurité.