Mardi 12 décembre 2017
NASDAQ : 0.0 0   nasdaq0 %
RECHERCHE
OK
 
NEWSLETTER
newsletter
Abonnez-vous gratuitement
à notre newsletter
hebdomadaire - Cliquez ICI
Indexel
  • DOSSIERS
  • PRATIQUE
pub Publicité
 

SECURITE

Cinq étapes pour un chiffrement réussi (suite)

Imprimer Envoyer à un ami Contacter la rédaction
Par Jérôme Saiz le 26/11/2003 - indexel.net
 

Si la cryptographie est bien l´un des outils les plus sûrs pour protéger les données de l´entreprise, encore faut-il savoir comment la mettre en oeuvre. Une opération plus simple qu´il n´y parait - même dans les plus petites structures - qui ont souvent beaucoup à y gagner.

 

4. Savoir gérer les clés

Au coeur du succès d´un projet de chiffrement se trouve la manière dont sont gérées les clés. Celles-ci peuvent être de deux types : symétriques et asymétriques. Dans le premier cas, le même secret (la clé) sert à chiffrer et à déchiffrer les fichiers. C´est la solution la plus simple lorsque les documents ne sont pas échangés mais restent stockés sur le même système (le portable d´un collaborateur ou un poste de travail...). A petite échelle, les clés symétriques se gèrent très facilement : il suffit que l´administrateur garde une copie des mots de passe attribués à chaque collaborateur dans une vulgaire feuille Excel qu´il conserve chiffrée sur son poste. Cela marche très bien pour quelques dizaines de postes.

Lorsque cette méthode artisanale ne fonctionne plus, les bons outils de chiffrement symétriques offrent des palliatifs : un système de clé administrative unique, ou la possibilité de reconstruire n´importe quelle clé à partir de données confiées à l´administrateur et sa propre clé. Mais lorsque les documents sont amenés à être échangés, les clés symétriques atteignent leurs limites : il faudrait que chaque utilisateur puisse potentiellement connaître la clé secrète de tous les autres, ce qui tue l´intérêt d´un secret ! Il est alors nécessaire d´avoir recours aux paires clés privées - clés publiques. Nous sommes ici dans l´univers des PKI, dont c´est le rôle de créer, gérer et diffuser ces paires de clés, via des certificats numériques (voir notre dossier sur les PKI). Si une petite entreprise ne pourra pas mettre une telle infrastructure en place, rien ne lui interdit en revanche d´utiliser quand même des certificats (voir ci-dessous).

5. Utiliser des certificats numériques

Des fournisseurs tels Certinomis, Certplus, Verisign ou ChamberSign vendent les certificats numériques à l´unité, pour quelques dizaines d´euros par an et par utilisateur. Mieux : certains produits sont capables de les créer eux-même (celui de Finmatica-MSI par exemple, qui permet de signer soi-même ses certificats au lieu de payer pour qu´ils le soient par une entité reconnue comme dans la solution précédente). La société IdealX offre aussi un service en ligne gratuit pour la génération des certificats, une position à mi-chemin entre les deux premières solutions.Dans tous les cas, les certificats sont absolument identiques (au format X.509, que n´importe qui peut également générer avec le logiciel libre OpenSSL). Leur seule différence tient dans la confiance que l´on peut accorder à l´entité qui les a signés. Mais techniquement, ils peuvent être utilisés par n´importe quel outil de chiffrement capable de reconnaître les standards du chiffrement asymétrique (PKCS).

La seule difficulté pour l´entreprise se résume alors à assurer la publication de ces clés publiques : elle peut le faire sur un annuaire LDAP si elle en a un, ou tout simplement sur un serveur web intranet, auquel tout le monde a accès. Pour chiffrer à destination d´un collaborateur de l´entreprise (ou d´une communauté plus large), il suffira alors d´indiquer au logiciel où trouver le certificat de son correspondant. La gestion des certificats se résume alors, à petite échelle, à maintenir à jour l´annuaire ou le site web intranet qui présente les certificats (leur liste de révocation étant gérée par le fournisseur du certificat, sauf lorsque ce dernier est auto-signé). Dans le cadre d´une offre commerciale telle celle des certificateurs commerciaux, cette gestion se fait directement sur leur site, via une interface dédiée qui assure aussi la publication des certificats : difficile de faire plus simple !Lire la première partie de l´article

 
Partager :
 
pub Publicité

CloudStack by IkoulaCloudStack by Ikoula

Cloud Computing : Atouts et freins, acteurs du marché, conseils et témoignages