Logiciels libres : un mini-catalogue
Introduction à quelques outils qui pourraient changer votre rapport à l’informatique.
No-log, les logs et la loi
Récapitulatif et mise au point de la position de no-log vis-à-vis de la conservation des données (...)
Sécurité de vos communications électroniques.
Quelques mesures simples pour assurer une certaine sécurité et confidentialité à vos (...)
Mettre de la musique en ligne
Quelques détails pour que votre musique en ligne soit aisément et confortablement (...)
Web chez Globenet : les bases pour bien démarrer
Les bonne infos pour appréhender l’usage d’un compte web chez Globenet.
Un compte No-log : les bases pour bien démarrer.
Services, configuration, contexte, les bonne infos pour appréhender l’usage d’un compte (...)
D'autres articles
Certificats de sécurité
Des certificats de sécurité sur les serveurs de Globenet/No-log. Qu’est-ce que c’est, à quoi ça sert, et qu’est-ce que ça implique ?

Version extra-courte

Vous avez un message d’erreur parlant de certificat de sécurité (ou certificat d’authentification) en visitant une page https://truc.globenet.org/machin ou https://truc.no-log.org/machin, ou en récupérant vos messages ? Il faut installer des certificats racine sur votre ordinateur, à partir des liens ci-après :
• Certificat racine au format PEM, utilisé par la plupart des logiciels
• Installation automatisée pour Internet Explorer
• Certificat racine au format DER, pour Internet Explorer Mac

Pour le navigateur (Firefox, Internet Explorer), il suffit de cliquer. Pour le logiciel de messagerie (Thunderbird, Outlook), il faut enregistrer le certificat sur votre ordinateur, puis l’installer dans le logiciel.

Version longue

Un certificat de sécurité est une sorte de carte d’identité de l’ordinateur, qui, correctement utilisée, garantit que vous êtes bien branchés sur le serveur avec lequel vous souhaitez interagir [1]. Cela permet de mettre en place des connection cryptées en sachant avec qui on communique, et de se protéger ainsi des indiscrétions sur le réseau entre vous et le serveur [2].

Les certificats sont délivrés et signés numériquement par des autorités de certification (CA, pour Certification Authority). Globenet a fait le choix de ne pas s’adresser à une autorité de certification commerciale, et d’utiliser les services de CACert.org, une autorité de certification indépendante, gratuite, non-lucrative et utilisant un réseau de confiance. La conséquence est que vos logiciels ne sont probablement pas préconfigurés pour reconnaître cette autorité de certification.

Il faut donc que vous les configuriez afin qu’ils reconnaissent CACert.org. Chaque autorité de certification dispose d’un certificat racine (root certificate), qui atteste de sa qualité de CA. Or, si celui des CA commerciales est intégré dans les logiciels (ce qui coûte généralement très cher à ces CA), ce n’est pas (encore) le cas pour CACert.org ; il vous faut donc installer ce certificat vous-même.

Il n’y a pas de méthode universelle pour cela. Cependant, pour la plupart des navigateurs, il suffit de connaître la bonne adresse. CACert.org les donne sur la page consacrée à son certificat racine.

Et pour les pressé(e)s, les liens directs sont un peu plus haut, dans le chapitre Version extra-courte, au début de la page.

Pour les logiciels de messagerie, il vous faudra télécharger le certificat racine au format PEM (utilisez « Enregistrez sous... »), puis l’installer dans le logiciel en question. Vous trouverez plus de détails (en anglais) sur le site de riseup.net.

Sans le root certificate de CACert.org, votre logiciel ne pourra vérifier l’identité du serveur quand vous tenterez d’établir une connexion sécurisée vers no-log.org, et vous signalera un problème, généralement par une fenêtre qui s’ouvre et un message au sujet de la sécurité. Vous pouriez alors choisir d’ignorer cette alerte, et faire confiance à la connection établie [3] sans en vérifier la validité.

Vous vous dites peut-être que ça n’a pas l’air si grave. Malheureusement, c’est effectivement ce que quantité de gens font tout le temps, ce qui entraîne un très gros problème, car si tout le monde prend l’habitude d’accepter un certificat sans broncher à chaque fois qu’une alerte de sécurité apparaît, ça ne sert tout simplement à rien d’avoir des certificats. Dès lors, rien ne permet de dire que le serveur est bien celui qu’il prétend être, et le soucis de sécurité deviennent complètement illusoire.

Note : ces explications sont très largement inspirées de la documentation de poivron.org, elle même redevable à riseup.net...

[1] Il ne suffit pas de voir écrit https://www.no-log.org/ dans la barre d’adresses de votre navigateur pour être connecté avec certitude sur le bon serveur ; d’une part, certains logiciels pirates modifient l’apparence de cette barre d’adresses et d’autre part il est possible que des serveurs situés entre vous et no-log aient été piratés, donnant à votre navigateur l’illusion d’être connecté sur no-log, alors qu’il ne le serait pas.

[2] Pour aller plus loin : C’est quoi SSL, SSH, HTTPS ?.

[3] Faire confiance à la connection et faire confiance à Globenet ou No-log sont deux choses différentes ; indépendamment, les deux questions méritent d’être posées.