Aujourd’hui, le commerce en ligne a pris une part importante sur le web et continue de croître à un rythme frénétique. L’un des facteurs clés du succès de l’e-commerce a été sans doute la mise en œuvre de technologies de sécurité disponibles sur les navigateurs et les serveurs Web – notamment le SSL.
L’utilisation généralisée de la technologie SSL qui fournit le fameux de protocole https a encouragé le commerce en ligne à monter à son niveau actuel. Par conséquent, le commerce sur internet est devenu très dépendant du SSL en tant que technologie de sécurité et de confiance. Le mystère autour du SSL n’a pas encore donné son verdict tant d’innombrables interrogations viennent s’ajouter à une liste non exhaustive.
Le SSL, de quoi s’agit-il en réalité ? Définition :
Le SSL (Secure Sockets Layer) est la technologie de sécurité utilisée pour établir une communication cryptée entre un serveur web et un navigateur. Il garantit la sécurité de toutes les transactions entre le serveur Web et les navigateurs (clients). Le SSL est une norme utilisée par des millions de sites Web pour la protection de leurs transactions avec leurs différents clients. C’est cette technologie qui vous permet d’avoir accès au protocole HTTPS.
Qu’est-ce qu’un certificat SSL ?
Un certificat SSL (Secure Sockets Layer) est un certificat numérique qui authentifie l’identité d’un site Web et crypte les informations envoyées au serveur en utilisant la technologie SSL.
C’est quoi un certificat numérique alors ?
Un certificat numérique est un passeport électronique qui permet à une personne, un terminal, smartphone, tablette, etc…) ou une organisation d’échanger des informations en toute sécurité sur Internet en utilisant l’infrastructure à clé publique (PKI). Un certificat numérique peut également être désigné comme un certificat de clé publique.
Quelles sont les différentes catégories de certificat SSL ?
On peut en distinguer plusieurs mais nous nous pencherons sur les trois les plus récurrentes :
- Certificat auto-signé : il n’est signé par aucune autorité de certification
- Certificat signé simple : il est délivré par une autorité de certification
- Certificat signé « Green bar » : il est signé par une autorité de certification et affiche une barre verte dans le navigateur.
Que comprendre par AC ?
Une autorité de certification (AC) est une entité de confiance qui émet des certificats numériques permettant de sécuriser les transactions sur internet et de vérifier l’identité d’un site internet.
La garantie financière sur un certificat ?
La plupart des AC offre une garantie (assurance) dans le but de protéger l’utilisateur final en cas de faille de sécurité du certificat. Cette assurance est utilisée pour pallier les éventuelles pertes financières de vos clients (l’assurance peut couvrir l’équivalent du montant perdu) liées intrinsèquement à la qualité du certificat SSL délivré. Rappelons également qu’avoir un certificat avec garanties peut aussi rassurer vos clients et les amener à effectuer plus de transactions que sur un certificat sans garanties.
Pourquoi utiliser le SSL?
Pour crypter les informations sensibles
La raison principale pour laquelle le SSL est utilisé est de conserver les informations sensibles envoyées à travers Internet, cryptées de sorte que seul le destinataire puisse le comprendre. Cela est d’une importance capitale car les informations envoyées sur Internet sont passées de terminaux en terminaux avant que le serveur de destination ne les récupère. Tout terminal se trouvant entre le client et le serveur peut voir les numéros de carte de crédit, les noms d’utilisateur, les mots de passe et d’autres informations sensibles si elles ne sont pas chiffrées avec un certificat SSL. Lorsqu’un certificat SSL est utilisé, l’information devient illisible pour toutes les entités sauf pour le serveur destinataire (serveur-hôte). Celui-ci se charge de protéger vos utilisateurs contre les pirates et les usurpateurs d’identité.
Pour authentifier votre site internet
En plus du chiffrement, un certificat SSL approprié permet également une authentification de votre serveur. Cela signifie que vos utilisateurs seront sûrs qu’ils envoient leurs informations au bon serveur et non sur le serveur d’un criminel.
Pour gagner la confiance de vos clients
Les navigateurs Web donnent des repères visuels, comme une icône de verrouillage (un cadenas) ou une barre d’URL verte ou la présence du protocole (https et non http), pour assurer aux visiteurs que leur connexion est sécurisée. Cela est sans doute le gage d’une confiance absolue entre l’utilisateur et votre site Web. Les visiteurs de votre plateforme seront donc amenés à travers ces indices à acheter chez vous. Le sceau de confiance donné par les fournisseurs de SSL peut également inspirer plus de confiance auprès de votre clientèle.
Le référencement
Le SSL booste le référencement de votre site internet. Google a annoncé récemment que le chiffrement des sites occuperait une grande place dans les critères de positionnement. Cette nouvelle devrait susciter un grand engouement vers l’univers SSL.
Pour se protéger contre le phishing
Un email de phishing est un courriel envoyé par un criminel qui tente d’usurper l’identité de votre site Web. L’e-mail contient généralement un lien vers son propre site Web ou utilise une attaque man-in-the-middle pour prendre votre propre nom de domaine. Parce qu’il est très difficile pour ces criminels d’avoir un certificat SSL approprié, ils ne seront pas en mesure d’usurper l’identité de votre site. Cela signifie que vos utilisateurs seront beaucoup moins susceptibles de tomber dans ce genre de piège, car ils seront à la recherche des indicateurs de confiance dans leur navigateur, comme une barre d’adresse verte, un cadenas ou un sceau de confiance ou la présence du protocole https et ils ne le verront pas.
Qu’est-ce que le SSL ne fait pas ?
Le SSL assure primordialement la sécurisation de l’échange d’information. Bien que ce soit une couche de sécurité importante pour les données sensibles, la plupart des attaques sur le Web ne sont pas réellement faites de cette façon. La plupart des attaques sont faites avec des méthodes diverses :
- Le serveur est attaqué directement. Le SSL ne vous protège pas de cela. Au contraire, vous devez avoir une bonne politique de sécurité informatique pour protéger votre serveur.
- L’utilisateur est attaqué directement, soit en infectant son terminal avec des malwares (programmes malveillants), ou en utilisant le «phishing» pour récupérer ses mots de passe (cela fait appel à la vigilance de l’utilisateur).
Pour protéger un ordinateur de ces types d’attaques, vos utilisateurs doivent utiliser un bon programme anti-virus, et user de beaucoup de bon sens au cours de leurs navigations. Une petite posture paranoïaque n’est pas à exclure. Cependant, il est irréaliste de penser que tous les ordinateurs de tous les visiteurs de votre site seront protégés de manière adéquate.
En d’autres termes, le SSL empêche seulement l’interception des transactions entre les utilisateurs et votre site web (le serveur).
Quand est-il important d’avoir un certificat SSL ?
Si vous transmettez des données privées sensibles sur Internet, un certificat SSL est une couche importante de sécurité supplémentaire. Bien que l’écoute peut être une forme moins fréquente d’attaque, il n’y a aucune raison de ne pas protéger les transactions tant les déconvenues d’une telle négligence sont désastreuses.
Et même si le risque que court votre site internet peut ne pas être grand, le risque pour les utilisateurs peut être important dans certains cas. Par exemple, tout utilisateur accédant à votre site Web à partir d’une connexion wifi public (comme dans une cafétéria) peut être espionné assez facilement par d’autres utilisateurs à proximité. Les intrus peuvent voir ce que vos visiteurs, potentiels clients ou clients absolus saisissent sur les formulaires de votre site si ce dernier ne dispose pas de certificat SSL.
La menace prend toute son ampleur lorsqu’il s’agit des formulaires de connexion qui demande généralement le nom d’utilisateur et mot de passe. Un indélicat sous de mauvaises inspirations peut bien récupérer les informations de connexion de vos clients et se substituer à eux.
Même si le risque est faible en ce qui concerne votre site Web, vous devriez également considérer que certains utilisateurs réutilisent ces mots de passe sur de nombreux sites Web. Le danger peut s’étendre à d’autres sites et créer des situations que vous ne pourrez pas gérer.
Vous devez aussi être conscient que vous êtes responsable de toutes les données, tous les fichiers qui transitent par votre site. Votre responsabilité est engagée juridiquement et moralement d’où cette nécessité de passer au SSL.
Dans les normes, les sites qui manipulent des informations sensibles devraient être coûte que coûte protégés par un certificat SSL, c’est-à-dire :
- les sites de commerce électronique
- les fournisseurs de services
- les banques et institutions financières
- les institutions d’enseignement
- Les sites gouvernementaux
- les organisations détenant des intranets
- tout site web offrant des zones « membres »
Tous les certificats SSL ne sont pas égaux !
La valeur du certificat SSL est protégée par la force d’un processus de validation de deux points à plusieurs étapes :
- L’AC Vérifie que le demandeur est propriétaire, ou a le droit d’utiliser le nom de domaine qu’il a spécifié.
- L’AC Vérifie que le demandeur est une entité légitime et juridiquement responsable.
- Selon le l’AC d’autres vérifications pourraient s’ajouter.
Par conséquent, les AC sont une première ligne de protection pour la sécurité de l’utilisateur final (votre client), grâce la vérification complète et critique suivant des étapes bien définies avant la délivrance du certificat. En général, un internaute encourt un degré de risque plus élevé si ces étapes de vérification ne sont pas exécutées dans les normes.
Sans une authentification complète qu’une autorité de certification délivre, certains risques d’assurance de l’identité comprennent:
Aucune authentification de l’identité de l’organisation par le AC ou aucune vérification du droit du requérant d’utiliser le nom de domaine par l’AC. Un individu malveillant pourrait passer pour une organisation existante, tromper les utilisateurs en leur faisant croire que le faux site est en fait le site «réel» dont le nom figure sur le certificat SSL.
Aucune vérification de l’existence de l’organisation par l’AC. Un individu malveillant pourrait prétendre être une organisation, même si une telle organisation existe (i.e., l’organisation n’a pas été enregistré auprès de l’autorité gouvernementale compétente).