Signature, certificats et horodatage

 

Qu’est-ce qu’un certificat numérique ?

Afin de lier les clés publiques à leur utilisateur associé (propriétaire de la clé privée), les infrastructures de clés publiques (PKI) utilisent des certificats numériques. Les certificats numériques sont les identifiants utilisés pour vérifier l’identité des utilisateurs lors d’une transaction. Tout comme un passeport atteste de l’identité d’une personne en tant que citoyen d’un pays, le certificat numérique établit l’identité des utilisateurs au sein de l’écosystème. Puisque les certificats numériques sont utilisés pour vérifier l’identité du destinataire ou du signataire des informations, il est indispensable de protéger leur authenticité et leur intégrité pour préserver la fiabilité du système.

 

Qu’est-ce qu’une autorité de certification ?

Une autorité de certification (AC) est un composant essentiel de toute infrastructure à clé publique (PKI) dont le rôle est d’établir une chaîne de confiance hiérarchique. Les AC émettent les informations d’identification numériques utilisées pour certifier l’identité des utilisateurs. Comme les autorités de certification sous-tendent la sécurité d’une infrastructure à clé publique et des services qu’elles prennent en charge, elles peuvent faire l’objet d’attaques ciblées et sophistiquées. Pour limiter le risque d’attaques contre les autorités de certification, il convient de mettre en place des contrôles physiques et logiques ainsi que des mécanismes de renforcement de sécurité comme les modules matériels de sécurité (HSM) afin de garantir l’intégrité d’une PKI.

 

Qu’est-ce que la signature de code ?

Dans la cryptographie à clé publique, la signature de code est une utilisation spécifique des signatures numériques basées sur des certificats qui permet à une organisation de vérifier l’identité de l’éditeur du logiciel et de certifier que ce dernier n’a pas été modifié depuis sa publication.

Les signatures numériques fournissent un processus cryptographique éprouvé aux éditeurs de logiciels et aux équipes de développement internes pour protéger leurs utilisateurs finaux contre les dangers de cybersécurité, y compris les menaces persistantes avancées (APT), telles que Duqu 2.0. Les signatures numériques garantissent l’intégrité et l’authenticité des logiciels. Elles permettent aux utilisateurs finaux de vérifier l’identité des éditeurs tout en validant simultanément que le package d’installation n’a pas été modifié depuis sa signature. Tous les systèmes d’exploitation modernes recherchent et valident des signatures numériques lors de l’installation, et les avertissements concernant du code non signé peuvent amener les utilisateurs finaux à abandonner l’installation.

 

Qu’est-ce qu’une signature numérique ?

Les signatures numériques fournissent un processus cryptographique éprouvé aux éditeurs de logiciels et aux équipes de développement internes pour protéger leurs utilisateurs finaux contre les dangers de cybersécurité, y compris les attaques de logiciels malveillants. Les signatures numériques garantissent l’intégrité et l’authenticité des logiciels et des documents en permettant aux utilisateurs finaux de vérifier l’identité des éditeurs tout en validant que le code ou le document n’a pas été modifié depuis sa signature.

Les signatures numériques vont au-delà des versions électroniques des signatures traditionnelles, en invoquant des techniques cryptographiques permettant d’augmenter considérablement la sécurité et la transparence, qui sont toutes deux essentielles pour établir la confiance et la validité juridique. En tant qu’application de cryptographie à clé publique, les HSM de signatures numériques peuvent être appliquées dans de nombreux contextes différents : déclaration de revenus en ligne, responsable des achats validant un contrat fournisseur, facture électronique et développeur de logiciels publiant un code mis à jour.

La signature numérique est également utile aux organisations qui cherchent à préserver leur intégrité commerciale en protégeant les droits d’auteur et en facilitant l’octroi de licences. Par exemple, une entreprise telle que Microsoft peut utiliser la signature pour s’assurer que son logiciel ne peut pas être émis par une autre société non affiliée. De plus, il est important de garantir l’intégrité de la chaîne d’approvisionnement et la provenance des composants. Associée à une infrastructure à clé publique (PKI), la signature numérique devient un outil puissant : elle permet de garantir que les composants logiciels ne sont ni falsifiés ni corrompus avant d’être déployés dans des produits ou des systèmes.

 

Qu’est-ce que l’horodatage ?

L’horodatage est un complément de plus en plus précieux aux pratiques de signature numérique, permettant aux organisations de consigner le moment où un élément numérique, tel qu’un message, un document, une transaction ou un logiciel, a été signé. Pour certaines applications, l’horodatage de la signature numérique est essentiel, comme dans le cas des transactions boursières, de l’émission de billets de loterie et de certaines procédures judiciaires. Même si la notion de temps n’est pas une composante intrinsèque de l’application, l’horodatage est utile pour la tenue de registres et les processus d’audit. En effet, il fournit un mécanisme permettant de prouver que le certificat numérique était valide au moment où il a été utilisé. L’importance croissante des solutions de signature numérique a créé une demande correspondante pour l’horodatage, de sorte que de nombreux logiciels, tels que Microsoft Office, prennent en charge de telles capacités.

 

L’importance de la sécurité

Si l’horodatage doit apporter une réelle valeur ajoutée, alors il doit être sécurisé.

 

Risques associés à un horodatage non sécurisé

  • Lorsque les processus numériques ne sont pas fiables, des traces papier coûteuses peuvent être générées pour sauvegarder les registres électroniques.
  • En manipulant l’horloge d’un ordinateur, un attaquant peut facilement compromettre un processus d’horodatage basé sur un logiciel, invalidant ainsi l’ensemble du processus de signature.
  • Les processus d’horodatage ou de signature numérique non sécurisés peuvent exposer les entreprises à des problèmes de conformité et à des défis juridiques.
  • Les utilisateurs peuvent toujours accéder aux clés et certificats de signature privés, même après leur révocation. Sans horodatage sécurisé, les organisations sont incapables de prouver si des signatures ont été produites avant ou après la révocation d’un certificat.