En matière de chiffrement, il n'y a pas de solution miracle. Même le système de cryptage le plus complexe, invulnérable aujourd'hui, est susceptible d'être un jour décodé en un clin d'oeil. Le NIST américain (National Institute of Standards and Technology) a rendu public les orientations à prendre en matière de chiffrement afin de rester dans la course et surtout, de garder une avance sur les individus malintentionnés. Certes, en tant qu'agence gouvernementale américaine, les recommandations du NIST ne vont pas vraiment avoir d'impact au-delà des autres agences gouvernementales. Cependant, en général, de nombreux experts en sécurité et de nombreuses entreprises s'inspirent des normes NIST comme base de référence.

Sur le plan de la sécurité, tout se passe plus ou moins comme un jeu du chat et de la souris. Les parades mises en place fonctionnent jusqu'à ce que des attaquants trouvent les failles qui leur permettent de casser le système, ou comprennent comment les compromettre ou les contourner. Ce qui amène les experts en sécurité à concevoir d'autres méthodes, et le jeu recommence. Le chiffrement des sites web et les certificats qui servent à prouver qu'un site est légitime sont soumis à ce même jeu. Les sites sécurisés dépendent des certificats numériques émis par des autorités de certification (CA) lesquelles sont chargées de vérifier leur authenticité. Dans les faits, un tiers de confiance agit comme autorité de certification (CA). Celui-ci valide l'authenticité d'un individu ou d'une entreprise, et délivre le certificat digital qui en atteste. Lorsque l'on se connecte à un site web, le navigateur vérifie que le site possède un certificat valide délivré par une autorité de confiance, et dans la plupart des cas, il alerte l'utilisateur si le certificat est arrivé à expiration ou s'il pose un quelconque problème.

Une garantie pour les internautes

Le système des certificats numériques permet à des utilisateurs moyens, non technophiles, de surfer sur le Net, de consulter leurs données bancaires en ligne, d'effectuer des achats sur des sites d'e-commerce, avec un minimum de confiance et en assumant que leurs informations confidentielles utilisées dans ces échanges ne seront pas piratées. Effectivement, pendant des années, les certificats numériques ont joué ce rôle. Mais les pirates ont compris que les certificats étaient la clef pour voler des données confidentielles sur le net et pouvaient servir à tromper les utilisateurs pour les inciter à partager des informations sensibles à leur insu. Au cours de l'année passée, les certificats numériques ont été la cible d'attaques, et le détournement de certificats numériques traditionnels a permis aux pirates de voler des données et ouvrir des brèches dans la sécurité des sites. Il est donc temps de changer de système pour l'adapter à ces nouvelles menaces.

Le NIST propose ainsi que la norme de cryptage inclut le support des certificats étendus ou Extended Validation (EV). Cela signifie que les entreprises doivent fournir davantage d'éléments d'authentification qui permettent de valider leur identité pour acquérir des certificats EV. Ce niveau supplémentaire d'authentification rend beaucoup plus difficile l'usurpation de certificats ou l'obtention de certificats frauduleux. Car les utilisateurs doivent continuer à avoir la garantie que les sites sur lesquels ils se connectent sont légitimes, et les certificats EV peuvent offrir un peu plus de tranquillité d'esprit à ce sujet. Le NIST voudrait faire en sorte que les sites Internet adoptent les technologies de cryptage les plus récentes pour supporter cette certification étendue. Bien sûr, les standards de sécurité du web et les normes de cryptage vont continuer à évoluer au fil du temps. Mais c'est toujours une bonne chose de mettre en place son propre filet de sécurité pour bénéficier d'une protection supplémentaire.

Sans doute que les pirates comprendront comment fonctionne le système des certificats étendus, et il sera temps pour les experts de trouver une autre parade. Mais, pour l'instant, ce serait un grand pas en avant, pour la sécurité du web en général, pour les sites gouvernementaux et tous les autres, de s'assurer qu'ils sont compatibles avec la norme EV.