Les certificats numériques sont généralement mentionnés lorsqu’on parle de signatures numériques, mais de quoi s’agit-il ? Et comment ces certificats font-ils des signatures numériques le choix le plus sûr ? Lisez la suite pour en savoir plus !
Que sont les certificats numériques ?
Les certificats numériques sont un moyen d’authentifier les dispositifs, les organisations et les utilisateurs individuels afin de garantir la sécurité des transactions électroniques.
En termes simples, ils sont la version numérique des cartes d’identité. Voici quelques-unes de leurs similitudes :
- Les cartes d’identité et les certificats numériques sont tous deux délivrés par des autorités reconnues.
- Lorsque vous demandez une carte d’identité ou un certificat numérique, votre identité doit d’abord être vérifiée.
- Un certificat numérique fournit une preuve numérique d’identité tandis qu’une carte d’identité est utilisée pour confirmer votre identité dans le monde physique.
Comment fonctionnent les certificats numériques ?
Les certificats numériques sont basés sur l’ICP (infrastructure à clé publique).
Tout d’abord, une clé publique et une clé privée propres à la personne qui demande le certificat sont générées. En cryptographie, les clés publiques et privées sont des codes alphanumériques utilisés pour crypter et décrypter des messages.
Ensuite, le certificat est émis. Le certificat numérique contient la clé publique et le nom de son propriétaire, liant ainsi la clé publique à l’identité de son propriétaire.
Les deux cas d’utilisation les plus courants des certificats numériques sont les suivants :
Signature numérique
Lorsqu’une personne signe numériquement un document, sa clé privée est utilisée pour signer le document tandis que sa clé publique permet de vérifier la validité de la signature.
Grâce aux certificats de signature numérique, les personnes peuvent signer électroniquement des documents de manière rapide et sûre.
Authentification par certificat
Outre la signature de documents, les certificats numériques sont couramment utilisés à des fins d’authentification.
L’authentification par certificat désigne l’utilisation d’un certificat numérique pour vérifier l’identité d’un dispositif ou d’un utilisateur avant de lui permettre d’accéder à un système, un fichier, un réseau ou une application.
Quels sont les types de certificats numériques ?
Les trois principaux types de certificats numériques sont les suivants :
1. Les certificats TLS
“Transport Layer Security” (TLS) est un protocole cryptographique qui garantit la confidentialité et l’intégrité des données envoyées sur l’internet.
Les certificats TLS sont des fichiers de données contenant des informations sur l’identité du propriétaire d’un site web ainsi que sa clé publique. En plus de rendre le cryptage TLS possible, les certificats de serveur TLS authentifient également l’identité du propriétaire d’un site Web.
Imaginons que vous souhaitiez effectuer un achat en ligne et que vous deviez saisir les informations de votre carte. Grâce à TLS, vos données de paiement seront cryptées et donc protégées des regards indiscrets pendant leur transit.
Les URL des sites Web sécurisés par des certificats TLS commencent par » HTTPS » au lieu de » HTTP » et un petit cadenas s’affiche devant ces URL dans la barre d’adresse.
2. Certificats de signature de code
Les développeurs utilisent des certificats de signature de code pour signer numériquement le code de leurs logiciels. Les certificats de signature de code lient l’identité du développeur au logiciel signé et empêchent la falsification du code. Par conséquent, un logiciel signé numériquement est plus sûr à télécharger pour l’utilisateur final.
Malheureusement, même si un logiciel signé est plus fiable qu’un logiciel non signé, on ne peut pas toujours lui faire confiance.
N’importe qui peut acheter un certificat de signature de code, même les développeurs qui ajoutent délibérément du code malveillant dans leurs applications. Par conséquent, vous devez vous assurer que vous ne téléchargez que des logiciels signés par des développeurs en qui vous avez confiance.
3. Certificats clients
Les certificats clients permettent aux serveurs distants de vérifier l’identité des utilisateurs ou des appareils individuels qui font une demande.
Les certificats d’identité numérique sont un exemple de certificats clients. Vous pouvez utiliser ces certificats pour signer numériquement des documents et accéder à des services publics en ligne.
Avantages de la signature de documents à l’aide de certificats d’identité numérique :
- Le signataire du document est bien celui qu’il prétend être
- L’identité du signataire est liée à la clé publique contenue dans le certificat d’identité numérique, de sorte qu’il ne peut pas nier la signature
Qu’est-ce qu’une autorité de certification ?
Une autorité de certification (CA) est une entreprise qui, après avoir fait l’objet d’un audit de conformité, a été autorisée à délivrer des certificats numériques à des entités.
Dans l’UE, le règlement eIDAS définit les exigences auxquelles les autorités de certification doivent répondre en tant que prestataires de services de confiance (TSP) et prestataires de services de confiance qualifiés (QTSP).
Vous pouvez accéder à la liste complète des prestataires de services de confiance qualifiés en vertu du règlement eIDAS dans la liste de confiance de l’UE.
Pourquoi devriez-vous faire confiance à l’authentification via des certificats numériques ?
Le principal avantage des certificats numériques est qu’ils sont émis par des autorités de confiance (autorités de certification). Ces autorités vérifient l’identité du demandeur avant de délivrer le certificat.
Supposons que vous demandiez à quelqu’un de signer un contrat physique. Vous devrez d’abord contrôler son passeport pour vérifier son identité.
Si le passeport est original, valide et que la photo d’identité correspond, vous aurez vérifié l’identité de cette personne.
De même, vous pouvez vérifier l’identité d’une personne avant de la laisser signer un contrat numériquement.
Cependant, au lieu de leur demander de se rencontrer en personne, vous pouvez vous assurer que la bonne personne signe le document à distance en utilisant une signature numérique basée sur un certificat délivré par une autorité de certification. Et tout comme vous pouvez faire confiance à un passeport délivré par un service national officiel pour identifier une personne en toute sécurité, vous pouvez également faire confiance à un certificat délivré par une autorité de certification pour identifier cette personne en ligne en toute sécurité.
Lors de la délivrance du certificat numérique, l’autorité de certification est chargée de vérifier l’identité de la personne, en utilisant des méthodes d’identification fiables définies par le règlement eIDAS. Par exemple, les identifiants électroniques tels que itsme® ou les applications pour smartphone capables de scanner la puce NFC d’un passeport et de vérifier la présence du titulaire du passeport grâce à la biométrie.
Exemple de certificat numérique
Un certificat numérique comprend généralement des informations sur :
- L’identité du propriétaire du certificat
- La clé publique du propriétaire du certificat
- La période de validité du certificat
- L’autorité de confiance qui a émis le certificat
Enfin, il contient la signature numérique de l’émetteur du certificat.
Quelle est la différence entre une signature numérique et un certificat numérique ?
La principale différence est qu’un certificat numérique lie l’identité du propriétaire à sa clé publique et vérifie l’identité de son propriétaire, tandis qu’une signature numérique lie le certificat au document pour empêcher toute modification du document après la signature et vérifier l’identité du signataire.
Par conséquent, un certificat numérique est utilisé comme preuve de l’identité du signataire lors de la production d’une signature numérique pour un document.
| Signature numérique | Certificat numérique | |
|---|---|---|
| Qu’est-ce que c’est ? | Un code alphanumérique | Un fichier numérique contenant des informations |
| Quel rôle ? | Assure la légitimité et l’intégrité d’un document | Vérifie l’identité du propriétaire du certificat |
| Comment est-elle/ il créé(e) ? | Le document est soumis à un algorithme de hachage et devient un code (condensé) qui est ensuite crypté à l’aide de la clé privée du signataire | Délivré au propriétaire par une autorité de certification |
Certificats numériques et Penneo
Penneo Sign vous permet de signer des documents avec des signatures electroniques qualifiées, avancées et simples, selon la méthode de signature choisie. Les signatures électroniques qualifiées et avancées sont basées sur des certificats numériques, alors que les signatures électroniques simples ne sont pas basées sur des certificats.
Certains identifiants électroniques (eID) contiennent des certificats numériques, délivrés par l’autorité de certification du fournisseur. Par exemple, l’application itsme® fournit un certificat qualifié à ses utilisateurs. Lors de la signature de documents via Penneo, l’utilisateur présente simplement son certificat à Penneo via l’application itsme®, et Penneo vérifie la validité du certificat.
De plus, Penneo propose des signatures électroniques simples, qui ne sont pas basées sur des certificats.
