Archives par étiquette : privé

Pourquoi une connexion SSL est sécuritaire

Introduction

Ici, nous n’irons pas en détails.  Nous expliquerons simplement les grandes lignes d’une communication SSL (Secure Socket Layer), ce qui vous permettera de voir l’objectif du protocol.

Le fonctionnement

1. Le client, par l’intermédiaire d’un navigateur web, demande de naviguer un site sécurisé (en HTTPS ou SSL) tel que https://www.paypal.com/.

2. Le serveur réponds au navigateur par la clé publique d’encryption de paypal.  Cette clé ne sert qu’à encrypter des données et non pas a décrypter des données.  La clé pour décrypter est privée et est gardée de façon sécuritaire sur le serveur de paypal et n’est pas divulguée à aucun tierce partie.

3. Le navigateur génère une clé publique et privée pour le temps de cette communication avec paypal et garde la clé privée sécuritairement sur le poste du client et réponds au serveur de paypal avec sa clé d’encryption publique.

4. Le serveur de paypal envoie les données du site web cryptées avec la clé publique du client.  Personne ne peut décrypter ces données puisque le seul ayant la clé pour le faire est le client.

5. Le client décrypte les données avec sa clé privée que personne ne connaît et les affiche sur le navigateur.

6. Le client remplis un formulaire avec des données sensibles et lorsqu’il le soumet, le navigateur crypte les données avec la clé publique de paypal et les envoies au serveur de paypal de façon sécuritaire puisque seulement le serveur de paypal à la clé privée pour décrypter ces données.

7. Le serveur de paypal décrypte les données et traite la demande en toute sécurité.

Conclusion

Les données circulant sur ce canal de communication ne peuvent pas être décrypter par nul autre que le serveur de paypal et l’ordinateur du client.  La seule possibilité de « hack » est plutôt que quelqu’un réussisse de façon physique ou par une autre brèche de sécurité sur un des deux ordinateurs à accéder aux clés privées pour ainsi pouvoir décrypter ce qui se passe sur le canal de communications.

De cette façon, vous avez techniquement plus de chances d’avoir un accident d’avion ou d’automobile que de vous faire pirater vos données dans un canal de communication SSL.  Par contre, rien ne dit que la compagnie en arrière du site traite vos données avec respect.  Ici, on doit parler d’une relation de confiance du même type que toutes les boutiques où vous magasinez dans la vie réelle.