Certificat et chiffrement SSL, protocole HTTPS. À quoi ça sert ?

Si vous tombez sur cet article, c’est que vous vous êtes posé la bonne question !

Pour les élèves en recherche d’une réponse rapide, fiable et efficace et qui ont compris que Google est leur ami.
Voici la liste récapitulative de ce que veut dire HTTPS et à quoi cela sert.

• HTTPS : HyperText Transfert Protocol Secure
• Chiffrement des données par le biais d’un certificat SSL signé par un organisme spécialisé et reconnu
• Distribution du certificat à l’utilisateur du site
• Sécurisation des données par chiffrement grâce aux clés privées et publiques

Pour ceux qui souhaitent mieux comprendre à quoi sert le protocole HTTPS, voici une explication vulgarisée du chiffrement SSL

Le HTTPS, une histoire de clés

Lorsque vous vous connectez à un site internet sécurisé avec un certificat SSL et une url commençant par https, vous recevez automatiquement ce qu’on appelle une clé de chiffrement publique. Cette clé est générée automatiquement par le site sur lequel vous vous connectez. On appelle ça le chiffrement asymétrique. Vous êtes la seule personne, avec le site, à être en possession de cette clé de chiffrement. En gros, si un type à capuche passe par là et tente de récupérer les échanges de données que vous avez avec le site en question, il pourra intercepter le message, mais ne pourra pas le lire, car il lui manque cette fameuse clé de chiffrement que vous seul et le site détenez.

Voilà les clés de chiffrement SSL qui sont utilisées :

1. Clé publique : cette clé peut être donnée à tous
2. Clé privée : cette clé est secrète, et seul le site sur lequel vous vous connectez détient cette clé

La grande question qui est à l’origine du HTTPS c’est : Comment savoir si je transfère réellement mes données vers le site sur lequel je me connecte ?

Le https, une question de confiance

Bon, pour être plus simple, on va donner un petit prénom à tous les intervenants du système de chiffrement SSL.

On va dire que vous, internaute sensé et amateur d’article sur le https, vous vous appelez Joffrey. Si, c’est comme ça et pis c’est tout.
Le site sur lequel vous souhaitez vous connecter s’appelle Clic-en-berry (tiens donc).
L’organisme de certification s’appellera Jessica. Comme notre collègue, c’est dingue cette originalité qui se dégage de mon esprit.
Et le hacker s’appellera BlackPerl.

En résumé, on se retrouve avec tous ces intervenants :

1. Joffrey = Vous
2. Clic-en-berry = le site avec lequel vous souhaitez échanger des informations
3. Jessica = l’organisme de certification
4. BlackPerl = le hacker

Alors, comment savoir si mon transfert de données est protégé par le chiffrement SSL ?

Le gros du danger réside dans le fait que BlackPerl le hacker puisse se faire passer pour Joffrey ou Clic-en-berry. La solution est donc de l’empêcher d’arriver à ses fins par le moyen du certificat.

Voici ce qu’il se passe par étapes, croyez moi, ce sera bien plus digeste :

1. Clic-en-berry transmet sa clé de chiffrement publique à Jessica (organisme de certification)
2. Jessica vérifie que Clic-en-berry est bien Clic-en-berry (elle le contacte par téléphone (si c’est aussi simple que ça), ou par courrier etc.)
3. Si c’est bon, Jessica signe la clé publique de Clic-en-berry avec sa propre clé privée (que elle seule détient)
4. Le certificat SSL vient d’être créé et Jessica le transmet à Clic-en-berry pour qu’il puisse le mettre en place
5. Joffrey (vous, l’utilisateur), se connecte à Clic-en-berry
6. L’ordinateur de Joffrey va demander automatiquement le certificat SSL à Clic-en-berry
7. Clic-en-berry transmet automatiquement son certificat SSL à Joffrey
8. L’ordinateur de Joffrey a en mémoire tous les organismes de certification de chiffrement SSL de confiance. Il va comparer les clés publiques des organismes de certification qu’il a en mémoire, avec celle qui est contenue dans le certificat que vient de lui transmettre Clic-en-berry
9. S’il réussit à identifier la clé publique contenue dans le certificat de Clic-en-berry, cela signifie que le certificat SSL est fiable
10. L’ordinateur de Joffrey récupère donc la clé publique de Clic-en-berry qui est vérifiée et fiable
11. La connexion en HTTPS a alors lieu

Pfoua tout ça pour ça ! Bon ok, en vrai c’est un peu plus complexe que ça, on devrait parler d’empreintes et tout mais là on n’a pas besoin de jouer les ingénieurs pour compliquer les choses.

À partir de maintenant, vous êtes certain que seul Clic-en-berry pourra déchiffrer les messages de Joffrey. Et BlackPerl (le hacker) est marron car il n’a pas la clé privée de Jessica. Il ne peut donc plus se faire passer pour Clic-en-berry ou Joffrey.

J’espère que vous n’avez pas vomis sur votre clavier en lisant l’article, mais si c’est le cas je vous conseille d’aller le nettoyer rapidement. Pensez à retourner votre clavier (les touches vers le sol) avant de le frotter, pour ne pas coincer les bouts de viande sous les touches.

Cordialement.

PS : si vous voulez mieux comprendre le chiffrement SSL je vous conseille d’aller voir notre article sobrement intitulé “Pourquoi passer son site Web au protocole SSL.”
Et pour les grands excités voici un tuto made in google.