Guide d'autodéfense numérique

Mises à jour : les logiciels évoluent, c'est pourquoi il est vivement conseillé d'utiliser la version la plus à jour de cet outil, qui est disponible sur le site web https://guide.boum.org/.

Durée : 15 à 30 minutes.

Nous avons vu dans la première partie de ce guide, qu'afin d'établir une connexion chiffrée il fallait souvent faire confiance à une autorité de certification (AC). La plupart du temps, les AC sont déjà enregistrées sur l'ordinateur, dans le navigateur web par exemple. Mais ce n'est pas toujours le cas : dans cette situation, votre navigateur ou autre logiciel vous présentera un message vous expliquant qu'il n'a pas pu authentifier le certificat du site.

Il arrive également que le site visité n'utilise pas les services d'une autorité de certification, par manque de confiance, ou de moyen financier. Il faut alors vérifier son certificat.

Vérifier un certificat ou une autorité de certification

Que ce soit pour le certificat d'une AC, ou pour celui d'un site en particulier, il est nécessaire de le vérifier avant de l'accepter. Sans cela, la connexion sera bien chiffrée, mais pas authentifiée. Autrement dit, on chiffrera bien la communication, mais sans savoir vraiment avec qui – autant dire qu'à part se donner une fausse impression de sécurité, cela ne sert pas à grand-chose.

Vérifier un certificat signifie la plupart du temps visualiser son empreinte numérique et la comparer avec une autre source afin de s'assurer que celle-ci est correcte. Utiliser de préférence l'empreinte numérique de type SHA1, et non celle de type MD5, cette dernière n'étant plus considérée comme sûre1.

Pour l'autorité de certification CaCert par exemple, on obtiendra une chaîne de caractères de ce genre :

13:5C:EC:36:F4:9C:B8:E9:3B:1A:B2:70:CD:80:88:46:76:CE:8F:33

Dans le cas d'un site web, afin d'avoir accès à l'empreinte d'un certificat, après avoir rentré une adresse commençant par https, on obtiendra un message d'avertissement comme suit :

Le connexion n'est pas sécurisée

Les propriétaires de site.com ont mal configuré leur site web. Pour éviter que vos données ne soient dérobées, Navigateur Tor ne s'est pas connecté à ce site web.

En savoir plus…

Retour

Avancé

La notion de données dérobées évoquée dans le message précédent a été abordée dans un chapitre de la première partie. Une fois cet avertissement parcouru, on peut cliquer sur Avancé, ce qui fera apparaître le message suivant :

site.com uses an invalid security certificate.

The certificate is only valid for the following names: domaine.org, www.domaine.org

Error code: SSL_ERROR_BAD_CERT_DOMAIN

Il faut maintenant cliquer sur Ajouter une exception...

Une fenêtre Ajout d'une exception de sécurité s'ouvre alors. Dans celle-ci, on peut trouver des informations intéressantes sur la raison pour laquelle le navigateur n'a pas voulu accepter le certificat, sous le titre État du certificat.

En cas de certificat auto-signé, on pourra lire par exemple la phrase Ce site essaie de s'identifier lui-même avec des informations invalides. Il se peut aussi que la date de validité du certificat soit dépassée, ce qui n'en empêche pas forcément l'usage. Il est en tout cas toujours utile de lire cette partie et de se demander si l'on souhaite continuer au regard de ces informations. En cliquant sur Voir... puis sur l'onglet Détails, on peut regarder plus en profondeur le certificat, et savoir par exemple qui l'a émis, pour combien de temps, etc.

Il faut ensuite revenir à l'onglet Général afin d'afficher diverses informations sur le certificat qui est présenté à notre navigateur web, dont son empreinte SHA1.

Encore reste-t-il à trouver d'autres sources permettant d'obtenir cette empreinte. Il existe quelques techniques pour essayer de s'assurer de l'authenticité d'un certificat :

  • si une personne de confiance à proximité de vous utilise déjà le site ou l'AC en question et a déjà vérifié son certificat, vous pouvez comparer l'empreinte du certificat qu'elle connaît avec celle qui vous est présentée. Vous pouvez également la demander par email à des personnes qui vous l'enverront de façon chiffrée et signée pour plus de sécurité. C'est encore mieux si vous avez à votre disposition plusieurs de ces personnes, qui auraient vérifié ce certificat en utilisant chacune différentes connexions à Internet. Il faut alors suivre la démarche expliquée plus bas pour retrouver l'empreinte d'un certificat déjà installé dans le navigateur de cette personne.

  • si vous avez accès à plusieurs connexions à Internet depuis l'endroit où vous êtes, par exemple en zone urbaine où l'on trouve beaucoup d'accès Wi-Fi, visitez le site ou téléchargez le certificat de l'AC en utilisant plusieurs d'entre elles et comparez l'empreinte du certificat qui vous sera présentée à chaque fois.

  • si vous utilisez le Navigateur Tor, vous pouvez profiter du changement de circuit, et donc de nœud de sortie sur Internet, pour vérifier à plusieurs reprises l'empreinte du certificat. Cela évitera qu'un adversaire ayant la main sur le nœud de sortie ou étant placé entre le nœud de sortie et le site consulté puisse usurper son identité.

Pour savoir si votre nœud de sortie a changé, visitez en utilisant votre Navigateur Tor un site comme celui de torproject qui vous indique l'IP de votre nœud de sortie. À chaque fois que celle-ci change, visitez le site souhaité ou téléchargez le certificat de l'AC, et comparez son empreinte avec celles collectées les fois précédentes. Au bout de quelques essais réussis, la crédibilité qu'il s'agisse du bon certificat devient suffisamment grande pour l'accepter. Enfin, c'est à vous d'en juger en fonction de votre politique de sécurité !

Ces techniques utilisées isolément ne sont pas forcément très robustes, mais leur utilisation conjointe procurera une crédibilité suffisante dans le fait que le certificat que vous allez utiliser est le bon. Et que personne n'aura réussi à vous tromper.

Gardons à l'esprit toutefois que ceci ne nous protège pas contre toutes les attaques visant le chiffrement de la connexion.

Trouver l'empreinte d'un certificat déjà installé

Cette empreinte peut être visualisée en cliquant sur pour afficher le menu du Tor Browser et aller dans Préférences. Choisir la section Avancé, puis le sous-menu Certificats. Enfin cliquer sur Afficher les certificats. Vous pourrez ensuite trouver les certificats des sites installés en choisissant l'onglet Serveurs, puis en sélectionnant le site en question dans la liste et en cliquant sur le bouton Voir. La même opération est possible pour les autorités de certification en choisissant plutôt l'onget Autorités.