Tu veux être sûr-e que ton mot de passe, tu le donnes bien à boum.org, et pas à des méchants tentant de se déguiser ? Alors, étudie bien cette page.

Introduction

Tu dois souvent t'authentifier par mot de passe sur boum.org, que ce soit pour lire tes mails, utiliser le wiki, administrer ton SPIP, etc. Un bout non négligeable de la sécurité des services que propose boum.org repose sur le fait que l'on favorise, voire qu'on oblige les communications cryptées (https, etc.) entre :

  • le serveur (c'est à dire la machine qui héberge les mails, les sites, les wikis...)
  • les utilisateurices (c'est à dire les ordinateurs d'où illes se connectent).

(Mi-2008, cette sécurité a connu une fâcheuse faille qui permettait, pour faire vite, de lire les communications soit-disant cryptées. Juste pour dire que cette sécurité qui repose sur une technologie qui n'est pas infaillible. Néanmoins, on t'encourage vivement à suivre certaines procédures, pour t'assurer que les communications soient aussi dures que possible à déchiffrer.)

Une des attaques classiques contre les communications cryptées est le Man In The Middle. Elle consiste à se mettre entre le serveur et l'utilisateur, et de se faire passer pour le serveur aux yeux de l'utilisateur, et réciproquement. Elle permet à l'attaquant de lire tout ce que tu échanges avec le serveur.

Une des manière de se protéger contre cette attaque (en priant pour que la technologie elle-même ne soit pas bugguée...), pour accéder aux services de boum.org, est d'installer de bon certificats.

Qu'est-ce qu'un certificat ?

Un certificat permet de vérifier l'identité d'un ordinateur sur Internet, de façon à permettre des échanges "sécurisés". C'est comme qui dirait une carte d'identité infalsifiable. Sans certificat, tu ne peux jamais être sûr-e que l'ordinateur avec lequel tu dialogues est bien boum.org, et tu cours le risque d'offrir, sans le savoir, ton mot de passe sur un plateau aux méchants. Tes échanges numériques peuvent ainsi être interceptés, et leurs contenus espionnés.

Qu'est-ce qu'une autorité de certification ?

Un certificat est l'équivalent d'une carte d'identité. Contrairement à cette dernière, un certificat est normalement délivré par une entreprise privée, qu'on appelle autorité de certification (CA, pour Certification Authority).

Et boum.org utilise quelles autorités de certification ?

Tous les services hébergés par boum.org utilisent des certificats tamponnés par une autorité de certification (Let's Encrypt).

Comment vérifier les certificats ?

Après, la question, c'est d'être sûr-e que l'on utilise bien le bon certificat, et pas un certificat refilé par des méchants, placés entre l'ordinateur que l'on utilise et le serveur (soit près du serveur, soir près de l'utilisateur). D'où une certaine procédure : vérifier cette empreinte depuis plusieurs endroits, en notant la fingerprint, c'est-à-dire le code qui représente le certificat, sur un bout de papier ou un ordinateur portable. Les certificats sont renouvelés tous les trois mois, c'est donc normal que leur empreinte change de temps en temps.

Après, c'est possible d'avoir avec soi un petit papier avec la fingerprint du certificat, et ainsi de la regarder quand on utilise un nouvel ordinateur.

NB : tu peux vérifier la fingerprint du root certificate, et/ou la fingerprint d’un certificat de boum.org ; ce n'est pas exactement équivalent :

  • vérifier la fingerprint du root certificate d’une autorité de certification te garantit, lorsque tu utilises boum.org, que c'est bien cette autorité de certification qui a délivré le certificat du serveur à qui tu causes ; mais si cette autorité, pour X ou Y raison, a délivré un tel certificat à des méchants, ben c'est mort, les méchants peuvent mettre en place l'attaque Man In The Middle expliquée ci-dessus ; en d'autres termes, se contenter de vérifier la fingerprint du root certificate d’une autorité de certification, c'est donner beaucoup de confiance, pas forcément méritée, à cette organisation et à ses procédures
  • vérifier la fingerprint du certificat de boum.org t'évite de faire autant confiance aux autorités de certification

Dans le doute, vérifie les deux :)