Actuellement, la plupart des échanges se font par réseau informatique, et particulièrement par Internet. En matière de sécurité informatique, les experts mentionnent souvent l’importance de l’utilisation d’un certificat électronique. En gros, c’est pour sécuriser davantage les échanges, car malgré les autres protocoles mis en place précédemment tels que les cryptages, sans certificat et signature électronique, les risques de piratage restent élevés.
Échanges de données et risques d’interception
Afin de connaître la nécessité d’un certificat électronique, il faut d’abord comprendre le fonctionnement des échanges sur Internet et sa sécurité. Considérons deux organismes A et B qui s’envoient des données électroniques. La première mesure de sécurité mise en place est le cryptage. Les données cryptées sont sécurisées, mais le problème réside au niveau du partage des clés de décryptage (clés publiques). Il se peut qu’un organisme usurpateur se place au milieu de l’échange (prétendant à A qu’il est B et à B qu’il est A), crée ses propres clés et les distribue à chacun des organismes. Le hacker pourrait ainsi avoir accès aux données censées être protégées. C’est là qu’intervienne la
signature électronique à l'ère numérique qui certifie et assure l’identité de l’organisme distributeur de la clé.
Qu’est-ce qu’un certificat électronique ?
Certificat électronique, certificat de clé publique ou carte d’identité numérique. Ce sont tous des termes qui désignent un fichier avec un formalisme particulier et qui possède les informations suivantes : le numéro de série qui va en gros lui servir d’identifiant, l’émetteur, les renseignements sur l’organisme possédant la clé (en l’occurrence le nom d’une personne ou d’une entreprise), la clé publique elle-même et l’objet de référence pour la certification (contenu du site par exemple). Par ailleurs, ces certificats ont une date de validité de 1 an ou 2 afin que les hackers n’aient plus assez de temps pour les craquer. Enfin, il faut préciser que le plus important des informations présentes sur le certificat est l’émetteur, car c’est lui qui certifie par une signature électronique l’authenticité du propriétaire de la clé.
Certificats électroniques et PKI, comment assurent-ils l’authenticité de la distribution des clés ?
Le PKI (Public key infrastructure) ou infrastructure à clés publiques est en fait l’émetteur du certificat électronique. D’abord, les PKI enregistrent les informations concernant le propriétaire de la clé. Ensuite, l’étape la plus importante est la certification. Les PKI certifient les enregistrements par signature électronique à la suite des vérifications faites (téléphone, photocopie CIN …). En cas de doute, là-dessus, l’organisme récepteur de la clé peut demander aux PKI si la clé est bien authentique. Enfin, les certificats se font déposer dans un espace de stockage sécurisé. En résumé, le PKI va vérifier et déclarer sur son honneur, notamment à l’aide d’une signature électronique, que la clé est bien à son propriétaire.