Les certificats numériques sont généralement mentionnés lorsqu’on parle de signatures numériques, mais de quoi s’agit-il ? Et comment ces certificats font-ils des signatures numériques le choix le plus sûr ? Lisez la suite pour en savoir plus !
Que sont les certificats numériques ?
Les certificats numériques sont un moyen d’authentifier les dispositifs, les organisations et les utilisateurs individuels afin de garantir la sécurité des transactions électroniques.
En termes simples, ils sont la version numérique des cartes d’identité. Voici quelques-unes de leurs similitudes :
- Les cartes d’identité et les certificats numériques sont tous deux délivrés par des autorités reconnues.
- Lorsque vous demandez une carte d’identité ou un certificat numérique, votre identité doit d’abord être vérifiée.
- Un certificat numérique fournit une preuve numérique d’identité tandis qu’une carte d’identité est utilisée pour confirmer votre identité dans le monde physique.
Comment fonctionnent les certificats numériques ?
Les certificats numériques sont basés sur l’ICP (infrastructure à clé publique).
Tout d’abord, une clé publique et une clé privée propres à la personne qui demande le certificat sont générées. En cryptographie, les clés publiques et privées sont des codes alphanumériques utilisés pour crypter et décrypter des messages.
Ensuite, le certificat est émis. Le certificat numérique contient la clé publique et le nom de son propriétaire, liant ainsi la clé publique à l’identité de son propriétaire.
Les deux cas d’utilisation les plus courants des certificats numériques sont les suivants :
Signature numérique
Lorsqu’une personne signe numériquement un document, sa clé privée est utilisée pour signer le document tandis que sa clé publique permet de vérifier la validité de la signature.
Grâce aux certificats de signature numérique, les personnes peuvent signer électroniquement des documents de manière rapide et sûre.
Authentification par certificat
Outre la signature de documents, les certificats numériques sont couramment utilisés à des fins d’authentification.
L’authentification par certificat désigne l’utilisation d’un certificat numérique pour vérifier l’identité d’un dispositif ou d’un utilisateur avant de lui permettre d’accéder à un système, un fichier, un réseau ou une application.
Un exemple d’authentification basée sur un certificat est l’utilisation de votre eID pour accéder à un service public en ligne ou vous connecter à votre compte bancaire en ligne.
Quels sont les types de certificats numériques ?
Les trois principaux types de certificats numériques sont les suivants :
1. Les certificats TLS
“Transport Layer Security” (TLS) est un protocole cryptographique qui garantit la confidentialité et l’intégrité des données envoyées sur l’internet.
Les certificats TLS sont des fichiers de données contenant des informations sur l’identité du propriétaire d’un site web ainsi que sa clé publique. En plus de rendre le cryptage TLS possible, les certificats de serveur TLS authentifient également l’identité du propriétaire d’un site Web.
Imaginons que vous souhaitiez effectuer un achat en ligne et que vous deviez saisir les informations de votre carte. Grâce à TLS, vos données de paiement seront cryptées et donc protégées des regards indiscrets pendant leur transit.
Les URL des sites Web sécurisés par des certificats TLS commencent par » HTTPS » au lieu de » HTTP » et un petit cadenas s’affiche devant ces URL dans la barre d’adresse.
2. Certificats de signature de code
Les développeurs utilisent des certificats de signature de code pour signer numériquement le code de leurs logiciels. Les certificats de signature de code lient l’identité du développeur au logiciel signé et empêchent la falsification du code. Par conséquent, un logiciel signé numériquement est plus sûr à télécharger pour l’utilisateur final.
Malheureusement, même si un logiciel signé est plus fiable qu’un logiciel non signé, on ne peut pas toujours lui faire confiance.
N’importe qui peut acheter un certificat de signature de code, même les développeurs qui ajoutent délibérément du code malveillant dans leurs applications. Par conséquent, vous devez vous assurer que vous ne téléchargez que des logiciels signés par des développeurs en qui vous avez confiance.
3. Certificats clients
Les certificats clients permettent aux serveurs distants de vérifier l’identité des utilisateurs ou des appareils individuels qui font une demande.
Les certificats d’identité numérique sont un exemple de certificats clients. Vous pouvez utiliser ces certificats pour signer numériquement des documents et accéder à des services publics en ligne.
Avantages de la signature de documents à l’aide de certificats d’identité numérique :
- Le signataire du document est bien celui qu’il prétend être
- Toute modification apportée au document après la signature invalidera cette dernière
- L’identité du signataire est liée à la clé publique contenue dans le certificat d’identité numérique, de sorte qu’il ne peut pas nier la signature
Pourquoi devriez-vous faire confiance à l’authentification via des certificats numériques ?
Le principal avantage des certificats numériques est qu’ils sont émis par des autorités de confiance (autorités de certification). Ces autorités vérifient l’identité du demandeur avant de délivrer le certificat.
Supposons que vous demandiez à quelqu’un de signer un contrat physique. Vous devrez d’abord contrôler son passeport pour vérifier son identité.
Si le passeport est original, valide et que la photo d’identité correspond, vous aurez vérifié l’identité de cette personne.
De même, vous pouvez vérifier l’identité d’une personne avant de la laisser signer un contrat numériquement.
Cependant, au lieu de leur demander de se rencontrer en personne, vous pouvez vous assurer que la bonne personne signe le document à distance en leur demandant d’utiliser leur identifiant numérique basé sur un certificat (comme MitID, BankID, itsme®, etc.). Et tout comme vous pouvez faire confiance à un passeport délivré par un service national officiel pour identifier une personne en toute sécurité, vous pouvez également faire confiance à une identité électronique basée sur un certificat délivré par une autorité de certification pour identifier cette personne en ligne en toute sécurité.
Exemple de certificat numérique
Un certificat numérique comprend généralement des informations sur :
- L’identité du propriétaire du certificat
- La clé publique du propriétaire du certificat
- L’autorité de confiance qui a émis le certificat
Enfin, il contient la signature numérique de l’émetteur du certificat.
Qu’est-ce qu’une autorité de certification ?
Une autorité de certification (CA) est une entreprise qui, après avoir fait l’objet d’un audit de conformité, a été autorisée à délivrer des certificats numériques à des entités.
Dans l’UE, les autorités de certification sont généralement des prestataires de services de confiance qualifiés (QTSP) qui répondent aux exigences fixées par le règlement eIDAS.
Vous pouvez accéder à la liste complète des prestataires de services de confiance qualifiés en vertu du règlement eIDAS dans la liste de confiance de l’UE.
Quelle est la différence entre une signature numérique et un certificat numérique ?
La principale différence est qu’un certificat numérique lie l’identité du propriétaire à sa clé publique et vérifie l’identité de son propriétaire, tandis qu’une signature numérique lie le certificat au document pour empêcher toute modification du document après la signature et vérifier l’identité du signataire.
Signature numérique | Certificat numérique | |
---|---|---|
Qu’est-ce que c’est ? | Un code alphanumérique | Un fichier numérique contenant des informations |
Quel rôle ? | Assure la légitimité et l’intégrité d’un document | Vérifie l’identité du propriétaire du certificat |
Comment est-elle/ il créé(e) ? | Le document est soumis à un algorithme de hachage et devient un code (condensé) qui est ensuite crypté à l’aide de la clé privée du signataire | Délivré au propriétaire par une autorité de certification |
Certificats numériques et Penneo
Penneo permet aux utilisateurs de se connecter au système, d’accéder aux documents et de les signer en utilisant une authentification basée sur des certificats.
Les identités sont vérifiées à l’aide d’identifiants numériques basés sur des certificats émis par des QTSP tels que MitID au Danemark, BankID en Suède, BankID en Norvège, itsme® en Belgique et Bank ID/Mobile ID en Finlande.