En navigant sur Internet, il vous est sûrement arrivé de voir apparaître un message d’alerte du type : « Attention : risque probable de sécurité », car votre navigateur ne fait pas confiance au site visité. Dans ses interactions, le navigateur doit en effet vérifier l’authenticité du site, et pour cela il doit vérifier celle du certificat électronique présenté et s’appuyer sur l’expertise de l’autorité de certification qui a délivré et signé le certificat électronique. Dans le cas d’une autorité qui n’est pas enregistrée dans le magasin de certificats du navigateur ou qui est enregistrée mais qui n’est pas identifiée « de confiance », le certificat est considéré comme invalide et une alerte est émise.
Une autorité de certification a pour mission d’attester l’identité des sites, et plus largement l’identité de n’importe quelle entité. Elle est garante de cette dernière par l’émission d’un certificat électronique. Elle est donc décisionnaire de quelles entités sur Internet pourront être reconnues automatiquement de confiance par les navigateurs.
Une autorité peut en certifier une autre, ce qui crée naturellement une hiérarchie. Celle au sommet est appelée « autorité racine » ou « ancre de confiance » pour signifier son rôle indispensable dans l’organisation de la sécurité sur Internet.
Les très grands pouvoirs des autorités de certification
Qui fait main basse sur une autorité de certification racine, le fait également sur la sécurité d’Internet, et a le pouvoir de décider si telle entreprise ou tel serveur est érigé du statut d’inconnu sur Internet au statut de pleinement reconnu et de confiance par des milliards de navigateurs. C’est dire le pouvoir associé. Pire, l’autorité peut créer outrageusement de faux certificats et se mettre à intercepter les flux de messagerie ou de réseaux sociaux d’une personnalité, à son insu.
Pas étonnant…
La suite est à lire sur: theconversation.com
Auteur: Maryline Laurent, Professeur Directrice du département RST, Télécom SudParis, Institut Polytechnique de Paris
