Le certificat électronique est devenu incontournable dans notre usage quotidien de l’outil numérique mais son utilisation peut prendre de nombreuses formes.
Sur le fond, il sert à prouver l’identité d’un interlocuteur, et accessoirement à établir un lien de confiance pour les échanges avec celui-ci.
L’objet signé, que ce soit un site web , un document ou un programme implique 4 parties :
Le client : celui qui utilise le certificat
l’objet signé : un site web , un document , un programme
Le détenteur du certificat : l’organisation ou la personne qui revendique la propriété du certificat
L’autorité de certification : l’organisation qui valide le certificat et en laquelle le client doit avoir confiance.
Je ne vais pas rentrer dans les détails sur les mécanismes de création de certificats, mais plutôt sur les usages possibles que l’on peut en faire.
Le certificat pour un site Web
Le plus connu actuellement, il pilote la confiance que nous avons dans les sites web car il garantit que le site que vous visitez et bien celle qu’il prétend et vous protège d’un éventuel détournement. Il présente aussi l’avantage de permettre un chiffrement des échanges que vous avez avec ce site web. Ce qui, outre le fait d’être un prérequis à toute transaction commerciale, sécurise de façon générale tous les échanges de données confidentielles.
Le certificat pour une machine
Il est principalement destiné aux processus automatiques de transfert de données ou de pilotage de processus, il garantit aux deux machines leurs identités respectives, son utilisation est permanente dans les réseaux locaux pour le partage de fichiers et les mécaniques d’authentification
Le certificat pour une application
Une application est composée de code exécutable. Il est vital tout autant de s’assurer qu’une application est bien celle que vous envisagez d’utiliser, au-delà de son simple nom, que de garantir que son contenu binaire n’est pas altéré au regard de ce qu’il était au moment de sa réalisation.
Le certificat garantit donc l’auteur et l’intégrité de l’application, il s’agit alors de certificats spécifiques destinés à la signature de programmes (Code Signing Certificate)
Le certificat pour un document
Il permet de signer un document quelconque sur le même principe que les programmes, il garantit à la fois l’identité de l’auteur et l’intégrité du contenu.
Ce dernier type de certificat est utilisé notamment dans les processus commerciaux pour remplacer la signature manuscrite. Il a en France la même valeur légale.
Il peut notamment être utilisé dans les échanges avec les pouvoirs publics, et doit dans ce cas être associé à un dispositif matériel (clé USB , carte à puce) qui le lie à son propriétaire, il s’agira alors de certificats RGSV2.
Olivier Piochaud, PDG d’Apsynet
