Sécuriser les échanges de données avec le SSL

Le SSL est un procédé de sécurisation des échanges de données sous forme de création d'un tunnel numérique ne permettant pas l'intrusion tierce. Ce tunnel sécurisé pour données peut ainsi être exploité dans un réseau public comme Internet. Alors ? Le SSL pour qui et pourquoi ?

Le SSL signifie Secure Socket Layer. Il s'agit d'une technologie associée au principe de réseau TCP/IP qu'exploite intégralement Internet. Avec le SSL, les informations transitent dans le tunnel qui relie deux sites distants, deux équipements distants ou un équipement à un site distant; un site étant plutôt l'accès à un réseau d'équipements, comme il en existe dans de nombreuses sociétés. En général, sur un réseau ou "site", le SSL est activé sur un équipement de type pare-feu qui saura gérer l'acceptation de certains types de flux de données entrants et sortants en fonction des autorisations qui leur seront accordées.

A qui s’adresse le SSL ?

Le SSL était jusqu'alors plus particulièrement employé par les sites de e-commerce, les banques et les grosses compagnies. Face à la montée de la cybercriminalité, le SSL se généralise partout où un mot de passe est susceptible d'être utilisé quel que soit le type de service ou d'information. Bien entendu, la plupart des sites Web d'entreprise sur Internet n'exploitent pas encore ce dispositif car les données qui y sont contenues ne sont que rarement sensibles. C'est un autre comportement lorsqu'il s'agit d'accéder à un Extranet depuis Internet, on le conçoit très bien. En dehors du classique e-Commerce avec boutique sécurisée, là où on peut souhaiter disposer d'accès sécurisés avec une protection de type SSL, c'est par exemple lorsqu'une société souhaite mettre en place une CRM (Customer Relationship Management) sur un hébergement Web classique. Avec la généralisation des technologies adaptées au Web comme le HTML 5 qui sert désormais à concevoir beaucoup d'applications, y compris pour les smartphones et tablettes, toute entreprise est potentiellement intéressée par le principe de l'utilisation du SSL qui simplifie en quelque sorte une partie la problématique de sécurisation.

Pourquoi le SSL ?

Si on se remet dans la situation de la CRM, l'utilisation du SSL est un cas qui se justifie bien puisque les données contenues dans la CRM contiennent beaucoup d'éléments stratégiques sur l'entreprise, ses clients et fournisseurs, c'est un véritable Extranet dans lequel l'entreprise n'a pas forcément envie que qui que ce soit y accède sans montrer patte blanche. Le SSL est à la fois un certificat de sécurité et un certificat d'authentification officielle de la société à qui appartient le serveur sur lequel on se connecte; on parle bien de la société à qui appartient le service et non pas l'hébergeur chez qui est hébergé le serveur bien qu'en matière de Cloud, dans le modèle SaaS (Software as a Service), les deux soient très liés. Un lien sécurisé sur un serveur muni d'un certificat ne peut pas être détourné par une personne tierce. Dans certains cas, le certificat SSL s'installe aussi sur le client qui se connecte de manière à ce que la transaction garantisse aussi que le client est bien celui qu'il prétend être; le principe du certificat délivré à chaque Français pour qu'il puisse faire sa déclaration en ligne depuis son propre ordinateur illustre bien l'usage du certificat de sécurité et son importance. Tout ceci fonctionnant en plus du mot de passe.

Des faiblesses dans le SSL ?

Le SSL est le moyen universel le plus sécurisé actuellement. En réalité, il s'agit du TLS (Transport Layer Socket) dont la version 1.0 est la version 3.1 du SSL. Il y a bien parfois des faiblesses envisageables comme c'est arrivé sur des milliers de serveurs début 2014. Il s'agissait d'un bug dans l'implémentation du protocole de sécurisation sur les serveurs et non pas dans le protocole lui-même. Ceci ne concernait que les serveurs d'un certain type, et, bien entendu, PAS TOUS les serveurs équipés de SSL comme cela avait été largement mal interprété par la presse généraliste. Par ailleurs, une mise à jour corrective du logiciel serveur concernant cette implémentation avait permis de résoudre le problème en quelques heures.

Pour finir, la question qui reste en suspens c'est "le SSL Comment" ? Dans les faits, il s'agit d'implémenter un certificat qui s'obtient auprès d'un organisme qui va vous demander de payer un certain prix le certificat dont vous avez besoin, et en plus, vous demandera tout ce qui permettra de vous identifier de manière légale. Comment se manifeste au final de SSL ? L'emblème est le fameux cadenas qui accompagne l'autre non moins fameux "https" de l'adresse de la boutique ou du service en ligne sécurisé.