Guide d'autodéfense numérique

Une autre solution à la question de l'authenticité des clés publiques est la toile de confiance, ou web of trust en anglais.

Plutôt que de faire confiance à quelques autorités centralisées, il s'agit d'établir un lien de confiance de proche en proche. Ainsi, Betty ne connaît pas Alice, mais elle connaît Daniel, qui connaît Émile, qui connaît Alice. Il y a donc un chemin de confiance entre Betty et Alice. S'il n'y avait que ce chemin de confiance, cela impliquerait que Betty place une forte confiance en Émile, qu'elle ne connaît pas directement. Mais Betty connaît aussi Françoise, qui connaît Gaston, qui connaît lui aussi Alice, ainsi que Héloïse, qui connaît Ingrid, qui connaît elle-même Alice. Il y a donc trois chemins de confiance entre Alice et Betty, qui n'a pas besoin d'avoir une confiance totale dans chacune des parties en jeu dans la certification.

Ces toiles de confiance sont couramment utilisées pour l'authentification des logiciels et des communications personnelles, comme des courriers électroniques, en utilisant le standard OpenPGP. Elles ne sont hélas pas utilisées couramment pour authentifier des sites web, bien que ce soit possible techniquement1.

Les toiles de confiance permettent donc de se prémunir des attaques de l'homme du milieu sans devoir faire confiance à des autorités centralisées. Cependant, elles nécessitent de publier des liens entre identités, ce qui a des conséquences qui ne sont pas toujours souhaitables.


  1. Ainsi, le projet Monkeysphere permet d'étendre l’utilisation des toiles de confiance d'OpenPGP à l’authentification de sites web.