Passeport, s’il vous plait, contrôle d’identité !
La cryptographie d’aujourd’hui va bien plus loin que la protection de la confidentialité et, dans une moindre mesure, de l’intégrité. Dans notre monde virtuel, on ne sait plus vraiment à qui on a affaire.
Si quelqu’un a intercepté un message chiffré et en connaît le code, il est au courant de nos plans. S’il le laisse passer, il pourra nous prendre par surprise.
Ce sont les deux problèmes qui sont à l’origine de la cryptographie asymétrique, dite également a clé publique. Qu’est-ce que cela veut dire ?
Ce système de cryptographie fait appel à une technologie et à une organisation particulières appelées ‘infrastructure à clés publiques’ dont le terme anglais ne vous sera sans doute pas inconnu ‘Public key Infrastructure (PKI)’.
Le concept
Ne rentrons pas dans des explications mathématiques complexes. L’idée est simple : on crée simultanément une paire de clés intimement et exclusivement associées : on chiffre avec l’une et on ne peut déchiffrer qu’avec l’autre.
Si on peut déchiffrer avec votre clé publique, cela signifie que c’est vous et uniquement vous qui avez chiffré le message. Connaissant la clé publique il est techniquement impossible – même avec des moyens considérables – de trouver l’autre.
Cela fonctionne également dans l’autre sens : on peut vous envoyer un message chiffré avec votre clé publique et vous seul pouvez le déchiffrer.
On en garde une pour soi – la clé privée – et on communique l’autre – la clé publique – soit à ceux avec lesquels on veut communiquer en toute sécurité, soit dans une base de données consultable par tout le monde.
Ça sert à quoi ?
Authentification :
On est toujours totalement sûr de l’identité de l’émetteur ou du récepteur. Ils sont authentifiés … à condition que la clé privée ait été certifiée et bien protégée.
- Ce que vous chiffrez avec votre clé privée est certifié et ceux qui le déchiffrent avec votre clé publique sont sûrs que cela vient de vous ;
- Ce que vous envoyez à quelqu’un avec sa clé publique ne pourra être déchiffré que grâce à sa clé privée. Vous êtes donc sûr que personne d’autre ne pourra lire votre message.
Signature :
On associe le message ainsi que la date et l’heure en un tout que l’on compresse (hachage) dans un document d’une longueur fixe. On chiffre cela avec votre clé privée, on envoie le tout accompagné du certificat qui vous authentifie et l’affaire est faite. Votre signature authentifie à la fois votre identité et le contenu du document.
Certificats
Les clés sont créées sur votre ordinateur ou sur un terminal spécial dans une administration.
Authentification simple
Elle est utilisée par exemple pour vos transactions bancaires. C’est votre carte de banque qui vous authentifie. L’authentification a une durée de vie très courte et généralement limitée à la communication sur Internet. Selon les habitudes, de la banque, vous devrez parfois vous authentifier pour accéder à votre compte et ensuite pour les transactions elles-mêmes.
Signature
La signature électronique possède la même valeur que votre signature manuelle à condition qu’elle soit certifiée. Vous pouvez utiliser cette signature pour tous les actes officiels.
Vos clés sont alors créées lors d’une visite dans une administration publique sur un terminal dédié dès que votre identité est prouvée.
On parle de « certificats » qui sont ‘certifiés’ par une autorité de confiance (et couverte en cascade jusqu’à un autorité nationale, voire même internationale).
Pour la signature on travaille avec les ‘bottins’ mis à disposition dans une base de données publique. Le « certificat » a une durée de validité déterminée. En cas de problème, de compromission ou de tout autre incident, on place votre clé publique sur une liste appelée ‘clés révoquées’ et il vous suffit de créer une nouvelle paire.
Voilà. Ce n’est pas plus compliqué que ça. Dites-vous bien que ce mode d’authentification et de signature gagne chaque jour du terrain. Vous l’utiliserez bientôt – si ce n’est pas déjà le cas – sur vos tablettes et téléphones mobiles pour les achats en ligne ou pour votre déclaration d’impôts. De nouvelles applications voient régulièrement le jour.
Comme ce sera votre numéro de téléphone mobile – que vous avez plus de chance de garder toute votre vie – qui vous authentifiera, vous veillerez donc
1° à ne plus le donner à tout le monde et à n’importe qui (à moins de disposer de deux numéros, un public et un privé)
2° à préserver votre portable contre la perte et le vol (à moins d’en réserver en permanence l’accès par un code et d’en chiffrer le contenu.)
…Un utilisateur averti en vaut deux.
A bientôt, plus en sécurité avec vos informations
Jean-Luc
© Adrianbrasov | Dreamstime.com – Destination Unknown Photo
Google+