Internet et sécurité

Le succès d’internet est lié à la facilité de communication qu’il apporte. La sécurité de ces communications n’a néanmoins pas été prise en compte par les pères d’internet, et les protocoles de base qu’ils ont inventés font circuler l’information sous forme de texte simple, facilement lisible à toute personne qui dispose d’un accès au réseau. S’il s’agit juste de consulter un site d’information, ou d’envoyer un email pour souhaiter bon anniversaire à un ami, le fait que cette communication soit lue n’est sans doute pas très grave. En revanche si vous effectuez un achat en ligne en donnant vos informations de carte bancaire, ou si vous recevez un email de votre banquier, la sécurité devient indispensable.

Mais que signifie la sécurité dans le domaine des communications sur internet ? Elle est en réalité constituée de trois éléments : l’identification, l’intégrité, le chiffrement.

Identification

L’identification consiste à assurer qu’on communique avec l’entité souhaitée.

Dans le domaine du web, il est en effet facile de « recopier » un site web. Si le nom du site a pu être détourné par un pirate, le risque est alors de se connecter sur le site du pirate, et de lui transmettre des informations confidentielles, alors qu’on croit se connecter à un site de confiance.

Par exemple le sitewww.paypal.com.net pourrait faire croire qu’on est sur un site de paiement célèbre (et digne de confiance), alors qu’il s’agirait d’un site frauduleux ; le pirate pourrait facilement enregistrer des noms d’utilisateurs et mots de passe réels grâce à cette supercherie.

La parade à ce problème pour les sites internet et la mise en place d’un certificat associé au nom du site ; si le certificat ne correspond pas au site, le navigateur signale à l’utilisateur qu’il y a un problème, et lui recommande de ne pas continuer sur ce site. Le certificat est installé sur le serveur internet ; il est obtenu auprès d’une autorité de confiance. La liste des autorités de confiance est elle-même intégrée dans le navigateur internet.

Intégrité

On veut ici assurer que le message n’a pas été altéré lors sa transmission.

Prenons l’exemple d’un virement bancaire via internet : l’ordre comporte diverses informations, en particulier le compte à créditer et le montant. Un pirate pourrait avoir pris le contrôle d’un équipement intermédiaire et modifier le compte à créditer ainsi que le montant. Il détournerait ainsi à son compte un virement réel.

Il existent des moyens techniques qui garantissent que les données n’ont pas été modifiées.

Chiffrement

Le chiffrement consiste à assurer que le message peut être lu seulement par une personne qui connaît la clé de chiffrement. C’est probablement le concept le plus simple à appréhender : qui n’a pas dans son enfance utiliser un code secret pour transmettre des messages confidentiels à ses amis ?

Il existe deux types de chiffrement :

• Symétrique : l’expéditeur et le destinataire partagent une clé, utilisée pour coder et décoder les messages. La difficulté dans le cas d’internet est de trouver un moyen de transmettre cette clé : comment un site de vente peut-il transmettre une clé différente à chaque client ?

• Asymétrique ou à clés publique / privée : cette nouvelle méthode date des années 1970. Elle repose sur la génération d’un couple de clés : la clé publique sert à chiffrer le message, qui peut être uniquement déchiffré par la clé privée associée. Appliqué à un site internet, ce type de chiffrement permet au serveur de conserver sa clé privée, et de diffuser à tous ses clients la clé publique. Ce mécanisme s’applique aussi à la messagerie électronique.

Dans la pratique

Les concepts exposés ci-dessus (identification, intégrité et chiffrement) sont aujourd’hui utilisés communément par les sites web qui manipulent des données confidentielles (sites de vente, bancaires, réseaux sociaux, etc.) à travers le protocole https. Lorsque ce protocole est utilisé, votre navigateur préféré affiche généralement un petit cadenas fermé symbolisant la sécurité de la connexion. Vous devez absolument vérifier avant d’envoyer des informations confidentielles (même le mot de passe d’un réseau social est confidentiel) que le cadenas est fermé  !

Conclusion

Bien qu’elle n’ait pas été prévue par les inventeurs d’internet, la sécurité a été rapidement implémentée, avec des solutions fiables et simples d’utilisation. Il faut être conscient des risques liés à la transmission de données confidentielles sur un réseau public, et savoir utiliser les techniques disponibles, ou vérifier qu’elles sont bien appliquées par les techniciens. Ces mesures simples constituent la première condition pour assurer la confiance sur internet, et permettront son développement harmonieux.