Certificats sont comme une confirmation que le message qui vous est envoyé est original et non falsifié. Bien sûr, il existe des méthodes pour simuler les confirmations, comme le certificat Lenovo SuperFish - et nous en parlerons dans un moment. Cet article explique Qu'est-ce qu'un certificat racine? sous Windows et si vous devez les mettre à jour, car Windows les affiche toujours en tant que mises à jour non critiques.
Comment fonctionne la cryptographie à clé publique
Avant de parler de certificats racine, il est nécessaire d’examiner le fonctionnement de la cryptographie dans le cas de conversations Web, entre site Web et navigateurs ou entre deux personnes sous la forme de messages.
Il existe de nombreux types de cryptographie, dont deux sont essentiels et sont largement utilisés à des fins différentes.
- Cryptographie symétrique est utilisé là où vous avez une clé, et seule cette clé peut être utilisée pour chiffrer et déchiffrer des messages (principalement utilisés dans les communications par courrier électronique)
- Cryptographie asymétrique, où il y a deux clés. L'une de ces clés est utilisée pour chiffrer un message tandis que l'autre clé est utilisée pour déchiffrer le message.
La cryptographie à clé publique a une clé publique et une clé privée. Les messages peuvent être décodés et cryptés à l'aide de l'un ou l'autre. L'utilisation des deux clés est essentielle pour terminer une communication. La clé publique est visible par tout le monde et permet de s’assurer que l’origine du message est exactement la même qu’elle semble être. La clé publique chiffre les données et est envoyée au destinataire possédant la clé publique. Le destinataire décrypte les données à l'aide de la clé privée. Une relation de confiance est établie et la communication se poursuit.
Les clés publique et privée contiennent des informations sur le Autorité délivrant le certificat tels que EquiFax, DigiCert, Comodo, etc. Si votre système d'exploitation considère que l'autorité émettrice du certificat est digne de confiance, les messages sont échangés entre le navigateur et les sites Web. En cas de problème d'identification de l'autorité émettrice du certificat ou si la clé publique est arrivée à expiration ou est corrompue, un message indiquant Il y a un problème avec le certificat du site.
Parlons maintenant de la cryptographie à clé publique, c’est comme un coffre-fort de banque. Il comporte deux clés: une avec le responsable de la succursale et l’autre avec l’utilisateur du coffre-fort. Le coffre-fort ne s'ouvre que si les deux clés sont utilisées et associées. De même, les clés publique et privée sont utilisées lors de l'établissement d'une connexion avec un site Web.
Que sont les certificats racines dans Windows?
Les certificats racine constituent le niveau principal des certifications indiquant au navigateur que la communication est authentique. Cette information que la communication est authentique est basée sur l'identification de l'autorité de certification. Votre système d'exploitation Windows ajoute plusieurs certificats racine en tant que certificats de confiance afin que votre navigateur puisse l'utiliser pour communiquer avec des sites Web.
Cela facilite également le cryptage des communications entre les navigateurs et les sites Web et rend automatiquement valides les autres certificats correspondants. Ainsi, le certificat a de nombreuses branches. Par exemple, si un certificat de Comodo est installé, il aura un certificat de niveau supérieur qui aidera les navigateurs Web à communiquer avec les sites Web de manière cryptée. En tant que branche du certificat, Comodo inclut également des certificats de messagerie, qui seront automatiquement approuvés par les navigateurs et les clients de messagerie, car le système d'exploitation a marqué le certificat racine comme étant approuvé.
Les certificats racine déterminent si une session de communication avec un site Web doit être ouverte. Lorsqu'un navigateur Web s'approche d'un site Web, celui-ci lui attribue une clé publique. Le navigateur analyse la clé pour déterminer qui est l'autorité émettrice du certificat, si l'autorité est approuvée selon Windows, la date d'expiration du certificat (si le certificat est toujours valide) et des éléments similaires avant de continuer à communiquer avec le site Web. Si quelque chose est en panne, vous recevez un avertissement et votre navigateur peut bloquer toutes les communications avec le site Web.
D'autre part, si tout va bien, les messages sont envoyés et reçus par le navigateur au fur et à mesure des communications. Lors de chaque message entrant, le navigateur vérifie également le message avec sa propre clé privée pour s’assurer qu’il ne s’agit pas d’un message frauduleux. Il ne répond que s'il peut déchiffrer le message en utilisant sa propre clé privée. Ainsi, les deux clés sont nécessaires pour poursuivre les communications. De plus, toutes les communications sont reportées en mode crypté.
Faux certificats de racine
Il existe des cas où des entreprises, des pirates informatiques, etc. ont tenté de duper les utilisateurs. Le cas récent d'un certificat non valide approuvé en tant que root effectue toujours le tour. C’était le certificat ‘SuperFish’ sur les ordinateurs Lenovo. Le logiciel de publicité Superfish a installé un certificat racine qui semblait légitime et permettait aux navigateurs de communiquer avec les sites Web. Cependant, le système de cryptage était si faible qu'il pouvait facilement être utilisé.
Lenovo a déclaré vouloir améliorer l'expérience d'achat des utilisateurs et exposer ses données confidentielles à des pirates informatiques rôdant sur Internet. Ces données privées peuvent être n'importe quoi, y compris les informations de carte de crédit, numéro de sécurité sociale, etc. Si vous avez une machine Lenovo, assurez-vous de ne pas installer le logiciel de publicité en vérifiant les certificats de confiance dans votre navigateur. S'il en existe un, mettez à jour et exécutez Windows Defender pour supprimer le certificat. Il existe également un outil de suppression automatique publié par Lenovo.
Vous pouvez rechercher des certificats racines Windows non signés ou non approuvés à l'aide du scanner de certificats racine ou de SigCheck.
Conclusion
Les certificats racine sont importants pour que vos navigateurs puissent communiquer avec les sites Web. Si vous supprimez tous les certificats de confiance, par curiosité ou par souci de sécurité, vous recevrez toujours un message indiquant que vous êtes sur une connexion non sécurisée. Vous pouvez télécharger des certificats racine de confiance via le Programme de certificats racine Microsoft Windows, si vous pensez que vous n’avez pas tous les certificats racine appropriés.
Vous devez toujours vérifier les mises à jour non critiques de temps en temps pour voir si des mises à jour sont disponibles pour les certificats racine. Si tel est le cas, téléchargez-les uniquement à l'aide de Windows Update et non de sites tiers.
Il existe également de faux certificats, mais les chances que vous obteniez de faux certificats sont limitées - uniquement lorsque le fabricant de votre ordinateur en ajoute un à la liste des certificats racine de confiance, comme l’a fait Lenovo, ou lorsque vous téléchargez des certificats racine à partir de sites Web tiers. Il est préférable de s'en tenir à Microsoft et de le laisser gérer les certificats racine plutôt que de vous débrouiller seul pour les installer de n'importe où sur Internet. Vous pouvez également voir si un certificat racine est approuvé en l'ouvrant et en effectuant une recherche sur le nom de l'autorité émettrice du certificat. Si l'autorité semble réputée, vous pouvez l'installer ou la conserver. Si vous ne parvenez pas à établir l'autorité émettrice du certificat, il est préférable de le supprimer.
Dans une semaine ou deux, nous verrons comment gérer les certificats de racine de confiance.