Glossaire relatif à la confidentialité

Certificat

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Qu’est-ce qu’un certificat ?

Un certificat est un document numérique qu’un site web ou un autre service Internet utilise pour prouver son identité aux utilisateurs. Si vous voyez une icône de cadenas dans la barre d’adresse de votre navigateur web, cela signifie que le site web que vous consultez a présenté un certificat valide. Cela signifie généralement que toute personne espionnant votre connexion Internet (comme quelqu’un d’autre sur votre réseau Wi-Fi) ne pourrait pas voir ou modifier le contenu que vous consultez sur ce site.

À quoi ressemble un certificat ?

Si vous consultez un site web qui dispose d’un certificat valide, vous pouvez regarder ce certificat en cliquant sur l’icône de cadenas dans la barre d’adresse de votre navigateur (voir le centre d’aide de votre navigateur pour des instructions spécifiques). Vous verrez diverses informations telles que la durée de validité du certificat, les noms de domaine couverts par le certificat et le nom de la société qui a émis le certificat.

Qui émet les certificats ?

Les certificats pour les sites web sont émis par des entreprises appelées autorités de certification, ou AC en abrégé. Parmi les AC populaires, on compte DigiCert, GlobalSign et Let’s Encrypt. Certaines AC ne se consacrent qu’à l’émission de certificats, tandis que d’autres sont des entreprises plus générales de cybersécurité. Les AC sont approuvées par les navigateurs pour agir en tant qu’autorité de confiance qui indique quels sites sont sûrs.

Certaines grandes entreprises technologiques, comme Google et Amazon, gèrent leurs propres AC pour émettre des certificats pour leurs propres sites web. Par exemple, si vous allez sur un site appartenant à Google, vous verrez un certificat de l’AC de Google, « Google Trust Services LLC ».

Comment un certificat prouve-t-il l’identité d’un site web ?

Les certificats utilisent une technologie appelée « signatures numériques » pour prouver l’identité d’un site web. L’opérateur du site web possède une information secrète appelée « clé privée ». Il peut l’utiliser pour créer une signature numérique. Cela prouve qu’il possède la clé privée sans révéler la clé. Le certificat d’un site contient suffisamment d’informations sur la clé privée pour que n’importe qui puisse vérifier qu’une signature numérique faite avec cette clé est valide.

Avant qu’une AC émette un certificat pour un site web, elle vérifie que la personne qui demande le certificat contrôle effectivement le site. Il existe plusieurs façons de procéder, par exemple en demandant au propriétaire du site d’ajouter une page web au site avec des contenus spécifiques générés aléatoirement, puis en vérifiant que cette page apparaît bien sur le site.

Lorsque vous visitez un site dans votre navigateur, le site envoie son certificat, accompagné d’une signature numérique. Votre navigateur vérifie la signature numérique et confirme que le nom de domaine dans l’URL correspond à un nom de domaine dans le certificat. Si ces vérifications sont correctes (ainsi que d’autres, comme s’assurer que le certificat n’a pas expiré), le navigateur vous montrera le contenu du site.

Il est important de noter qu’il est facile d’obtenir un certificat pour n’importe quel site web, alors même un site avec un certificat valide peut être dangereux. Le site peut ne pas protéger la confidentialité des informations personnelles que vous soumettez. Il peut également s’agir d’un site trompeur destiné à voler votre mot de passe pour un autre site (une pratique appelée hameçonnage).

Que faire si je rencontre un avertissement de certificat sur un site web ?

Il arrive que votre navigateur affiche des avertissements concernant des certificats invalides. Selon l’avertissement spécifique, cela peut signifier que les administrateurs du site ont mal configuré quelque chose, ou que votre connexion est interceptée.

  • Si un certificat est expiré, il s’agit probablement d’une erreur de la part du site web.
  • Si l’adresse sur un certificat ne correspond pas à l’adresse dans la barre d’adresse du navigateur, cela pourrait encore être une erreur. Cependant, il est beaucoup plus probable que ce soit un signe de connexion interceptée.

Quelle que soit l’avertissement, il est important de considérer la source. Si vous voyez un avertissement de certificat lorsque vous allez sur Google, il est presque certain que votre connexion est interceptée; une entreprise technologique sophistiquée comme Google ne mal configurerait pas leurs certificats. Si vous voyez un avertissement lorsque vous allez sur le site de votre restaurant local, il est plus probable que ce soit une erreur.

Les navigateurs vous donneront la possibilité de continuer après voir vu un avertissement de certificat ; toutefois, il est préférable de ne pas le faire. Même si vous évitez de télécharger des fichiers ou d’entrer des informations personnelles (comme un nom d’utilisateur ou un mot de passe), le site peut toujours être dangereux.

Prêt à braver le nouvel Internet avec Brave ?

Brave a été conçu par une équipe de pionniers du Web axés sur les performances et la confidentialité. Aidez-nous à rendre la navigation meilleure.