Les certificats et signatures électroniques : A quoi cela sert et comment cela fonctionne

En surfant sur le net, vous avez déjà dû entendre parler des certificats électroniques X.509 ou la signature électronique ou numérique.

Ce procédé étant de plus en plus courant avec les besoins en sécurité et les échanges de documents et fichiers.
Seulement, vous ne savez pas exactement ce qu’est un certificat électronique.
A quoi servent les certificats électroniques et comment cela fonctionne ?

Cet article vous explique le fonctionnement et l’intérêt des certificats et signatures électroniques X.509.

Les certificats électroniques X.509

Sur internet, beaucoup d’échanges d’informations ont lieu, que ce soit des e-mails, des documents, des pièces jointes ou des fichiers.
Il n’est parfois pas aisé de s’assurer que l’expéditeur est bien celui que l’on pense.
Comment être certains que le site que l’on visite, quand on saisit ses mots de passe ou informations est bien bon et qu’aucune redirection n’a lieu ?

C’est la que les certificats électroniques entrent en jeu, car ils permettent d’assurer l’identité de l’interlocuteur, l’entité ou le serveur avec lequel vous échangez.
Un certificat comporte les informations suivantes :

• le nom du propriétaire du certificat;
• sa date de validité;
• le système cryptographique associé;
• la clé publique associée;
• la signature de l’autorité de certification, qui doit garantir à la fois la justesse des informations du certificat, et leur origine.

On parle ici de certificat au format X.509 mais il existe d’autres formats :

Voici un exemple de certificat pour le site malekal.com.
Les certificats électroniques sont délivrés par les autorités de certification.
Le demandeur créé un fichier CSR (Certificate Signing Request) qui comprend les informations du demandeur et génèrent aussi une clés privées et publiques.
Ce CSR est transmis à l’autorité de certification qui se doivent de bien vérifier l’identité réelle du demandeur avant la délivrance du certificat en retour.
Ce certificat électronique ne peut-être modifié sans compromettre son intégrité.
Enfin, si la date de validité est dépassée, un renouvellement est à effectuer avec l’autorité de certification.

Le certificat possède aussi une empreinte numérique pour effectuer une vérification de la somme de contrôle (Checksum) :

Par analogie on assimile souvent le certificat électronique à une carte d’identité numérique et l’autorité de certification à une préfecture ou mairie.

La signature électronique

Maintenant que l’on a la carte d’identité, il faut un mécanisme qui permet de s’assurer que les documents proviennent bien d’une personne spécifique.
C’est là que la signature électronique ou signature numérique entre en jeu à son tour.
Cette signature permet en quelque sorte d’apposée sa signature à un document, un peu comme dans le passé avec un saut royal.

La signature électronique doit assurer les éléments suivants :

• Au lecteur d’identifier la personne ou l’organisme qui a apposé sa signature sur un document. Cette identité peut-être liée à un certificat électronique.
• Que ce document n’a pas été ensuite modifié, altéré par une personne tiers. Elles assurent donc l’intégrité du document.

Quand on parle d’un document, cela peut-être un document Word, PDF, un fichier JAR ou images ou même un exécutable par son éditeur.
Cette signature est invisible en apparence contrairement à la signature papier. Toutefois, il est possible d’afficher l’identité du signataire qui est souvent un certificat électronique.

Il faut savoir que cette signature électronique a une valeur légale.
De ce fait, elle sera de plus en plus utilisé dans le future par l’administration dans les échanges de documents dans le but d’effectuer des économies.
Les entreprises peuvent aussi utiliser la signature électronique pour échanger des documents tels que des factures ou des contrats.

Les certificats et signatures électroniques : Comment cela fonctionne

Avant d’essayer de comprendre le fonctionnement technique, il est conseillé de comprendre le fonctionnement général du chiffrement.
Pour cela, vous pouvez reporter  notre article : Le chiffrement (cryptage) des données : comment ça marche et pourquoi l’utiliser

Pour comprendre le principe de la signature électronique, nous allons détailler le schéma ci-dessous.
A gauche, l’émetteur d’un document et à droite son destinataire.

Voici les étapes faites par l’émetteur d’un document signé :

1. On applique une fonction de hachage (SHA-1, SHA-256) pour obtenir une empreinte des données à signer ou condensé. (Rappelons qu’il est impossible de revenir aux données originales à partir d’un hash).
2. Puis on applique un chiffrement de l’empreinte à l’aide de la clé privée auquel on joint le certificat électronique. On obtient alors la signature électronique. (Rappelons que le certificat électronique comporte le clé publique).

Enfin du côté du destinataire du document :

1. Le destinataire sépare le document (les données) de la signature électronique.
2. On déchiffre la signature à l’aide de la clé publique contenu dans le certificat électronique de l’expéditeur. Cela permet de retrouver l’empreinte associée aux données signées.
3. Sur les données on applique la même fonction de hachage que le destinataire à appliquer au départ pour obtenir une empreinte de données.
4. On vérifie que cette empreinte correspond à la précédente, auquel cas la signature est valide : les données sont donc intègres et l’identité de l’expéditeur est vérifiée.

Exemples d’utilisation de certificats et signatures électroniques

Les sites HTTPs et certificats SSL ou X.509

Les certificats électroniques X.509 sont par exemples utilisées sur les sites HTTPS afin :

• d’assurer de l’identité du site sur lequel vous vous connectez et prévenir d’usurpation d’identité
• La mise en place d’une connexion chiffrée et sécurisée afin :
  • de prévenir de modifications ou d’altération par un tiers durant la communication
  • de protéger les données qui transitent du regard par un tiers.

En clair donc, le but est de sécuriser la connexion à un site internet pour pouvoir effectuer des échanges de données généralement sensibles (mot de passe, infos bancaires, etc).

Vous trouverez plus d’informations sur les sites sécurisés sur la page : Les sites HTTPs : pourquoi sont-ils sécurisés ?

Chiffrer ses emails

On peut chiffrer ses emails que ce soit le corps du texte et les pièces jointes.
Vous pouvez aussi signer vos emails afin de s’assurer que vous êtes bien l’expéditeur de ce dernier.
La page suivante explique comment procéder.

A noter que dans l’article de chiffrement d’emails, on utilise le protocole OpenPGP qui est un peu différent des certificats X.509 expliqués dans cet article.

La signature numérique de fichiers

La signature numérique peut aussi être utilisé dans les fichiers d’un système d’exploitation.
Le but là aussi est d’assurer de l’intégrité des fichiers et notamment qu’aucune modification n’a été faites par un attaquant ou un malware.

Par exemple, les exécutables de Windows peuvent être signés par Microsoft pour assurer qu’aucune modification n’a été faites :

• Signature numérique des fichiers sur Windows et sécurité
• Signature numérique et malware

Les pilotes peuvent aussi être signés afin de s’assurer qu’ils proviennent bien de l’éditeur.
Windows 10 interdit l’utilisation de pilotes non signés : Comment désactiver la signature numérique des pilotes sur Windows 7, 8 ou 10

Le Secure Boot

L’UEFI apporte un nouveau mécanisme de sécurité : Le Secure Boot ou démarragte sécurisé.
Ce dernier ne permet de booter que sur des firmares UEFI signés.
Là aussi donc on s’appuie sur la signature électronique pour autoriser le démarrage à travers la technologie TPM (Trust Platform Module).

L’article suivant donne les mécanismes de sécurité de l’UEFI.

Les formats de certificat électroniques

Les certificats électroniques, clés privés existent dans des formats différents.
On trouve par exemple les formats PEM, DER, P7B/PKCS#7, PFX/PKCS#12 et PFX.

Selon la configuration du serveur (Windows, Apache, Java), il peut être nécessaire de convertir vos certificats SSL d’un format à un autre.
En effet, les serveurs Microsoft Windows utilisent des fichiers .pfx alors que les serveurs Apache utilisent .crt, .cer.

On peut aussi convertir les formats comme l’explique ce tutoriel :