L'attaque de l'homme du milieu, et les certificats électroniques
L'attaque de l'homme du milieu
L'une des faiblesses qui peut affecter la cryptographie à clé publique intervient au moment de la distribution des clés publiques. L'idée la plus simple est de les distribuer dans un annuaire. Cependant, il faut pouvoir garantir la fiabilité des informations contenues dans cet annuaire.
Imaginons en effet qu'Alice veuille communiquer à Bob, mais que Damien arrive à la fois à se faire passer pour Alice aux yeux de Bob, et à se faire passer pour Bob aux yeux d'Alice. Il envoie à Alice sa propre clé publique, qu'Alice pense être la clé publique de Bob. Lorsqu'elle chiffre son message, elle utilise donc la clé publique de Damien. Celui peut intercepter le message, le déchiffrer avec sa clé privée, le modifier à sa guise éventuellement, puis le renvoyer à Bob en utilisant la clé publique de Bob. On appelle cette attaque l'attaque de l'homme du milieu.Les certificats numériques
Ainsi, lorsqu'Alice envoie un message en utilisant la clé publique de Bob, elle a besoin de savoir que cette clé appartient
effectivement à Bob et à personne d'autre. Comme dans la vie courante, on a recours à des certificats. Pour passer un examen, il vous faut prouver votre identité, ie fournir une carte d'identité, passeport ou permis de conduire. Un organisme supérieur (l'Etat) a signé ces certificats, s'assurant auparavant (par un acte de naissance,...) qu'il s'agit bien de vous.
Les certificats numériques fonctionnent sur le même principe. Pour les gérer, on fait appel à une authorité de certification, qui gère
des infrastructures de clés publiques (ou parle aussi de PKI, pour Public Key Infrastructure). Ces autorités de certification délivrent
des certificats, qui contiennent plusieurs informations dont les plus importantes sont :
- le nom du propriétaire du certificat;
- sa date de validité;
- le système cryptographique associé;
- la clé publique associée;
- la signature de l'autorité de certification, qui doit garantir à la fois la justesse des informations du certificat, et leur origine.
Les systèmes de parrainage
Il existe aussi une approche plus conviviale, dans l'esprit des réseaux sociaux, de la distribution des clés publiques,
baptisée parrainage. Elle est basée sur les liens directs de confiance. Si Fred a toute confiance en Véro,
et si Véro lui garantit l'authenticité de la clé publique de Nicolas, il n'a pas de raison d'en douter et il va pouvoir lui même
utiliser cette clé sans crainte. En revanche, s'il se méfie du caractère négligent d'Antoine, même si celui-ci lui garantit
la clé publique de Céline, il n'aura pas de raisons objectives de s'y fier.
Ce système de parrainage est celui qui est adapté dans le logiciel de messagerie PGP.
On y insère des clés publiques dans son trousseau avec un certain niveau de confiance. Nos amis peuvent avoir accès à
ce niveau de confiance pour eux-même déterminer s'ils font confiance à une clé publique ou non.
Consulter aussi