Mercredi 13 décembre 2017
NASDAQ : 0.0 0   nasdaq0 %
RECHERCHE
OK
 
NEWSLETTER
newsletter
Abonnez-vous gratuitement
à notre newsletter
hebdomadaire - Cliquez ICI
Indexel
  • DOSSIERS
  • PRATIQUE
pub Publicité
 

SECURITE

PKI : les clés de la confiance

Imprimer Envoyer à un ami Contacter la rédaction
Par Jérôme Saiz le 13/06/2002 - indexel.net
 

Difficile d´échapper au discours sur la PKI : solution miracle ou gouffre financier, chimère ou technologie révolutionnaire, chacun y va de son avis. Mais passée l´époque de la découverte, qu´est-ce exactement qu´une PKI, et quels services peut-elle réellement rendre ?

 

Nous disposons tous, ou presque, d´un passeport. Celui-ci est issu par notre gouvernement, qui avant de nous le confier a pris la peine de vérifier notre identité grâce aux divers documents que nous avons fournit (quittances EDF, par exemple) après une longue attente dans les couloirs d´une préfecture de police. Une fois convaincu que nous sommes bien qui nous prétendons être, le gouvernement appose son sceau sur le passeport, se portant de fait caution de notre identité et de la validité du document pour une période donnée. Il délivre alors le passeport directement ou par courrier.

Ce que chacun fait ensuite de son sésame ne regarde plus le gouvernement. Il peut rester au fond d´un tiroir ou servir à voyager. Il sera dans ce cas alors contrôlé par de nombreux fonctionnaires étrangers. Ces derniers n´ont évidemment jamais rencontré ni le gouvernement émetteur du passeport, ni son titulaire. En revanche, s´ils font confiance à l´entité émettrice, ils approuveront l´identité de son porteur.Si l´on quitte maintenant le monde réel pour s´intéresser au système d´information, il demeure possible d´appliquer la même procédure, les attentes au guichet en moins : c´est le rôle d´une PKI.
L´infrastructure à clés publiques est ainsi chargée de délivrer des identités numériques et de les gérer. Le rôle de l´Etat est assuré ici par "l´Autorité de Certification" (AC), un serveur unique à chaque déploiement de PKI, particulièrement sécurisé, qui créée les identités numériques. Ces dernières sont appelées des certificats : un fichier comprenant les informations personnelles de son titulaire (nom, adresse réelle et de messagerie, etc) et sa clé publique. Une seconde clé, privée, lui est associée, que l´utilisateur garde secrète. A elles deux, elles permettent de réaliser toutes les opérations cryptographiques usuelles telles que la signature électronique ou le chiffrement.

La reconnaissance a un prix

Le certificat est lui même signé par l´Autorité de Certification, à l´image de l´Etat apposant son sceau sur le passeport. Cette signature garantit l´authenticité des informations contenues sur le certificat. La garantie n´est toutefois valable qu´aux yeux de celui qui choisit de faire confiance à cette "autorité" particulière. Ainsi, lorsqu´une entreprise déploie une PKI en interne, elle crée sa propre AC, reconnue par l´ensemble de ses salariés et, dans de certains cas, de ses partenaires. C´est par exemple le cas du CNRS, qui a crée une Autorité de Certification commune reconnue par tous ses laboratoires. N´importe qui peut donc être sa propre AC, mais la valeur des certificats ainsi générés dépendra de la confiance que chacun décide d´accorder à l´entité qui créé l´Autorité de Certification.
Pour ceux qui souhaitent plus d´universalité, il est possible d´acheter des certificats proposés par une "autorité" mondialement reconnue (comme Verisign, Certinomis...). Le certificat acheté sera identique à celui que n´importe qui peut générer gratuitement, mais il sera signé par une autorité reconnue, et donc, par exemple, immédiatement accepté par tous les navigateurs internet du marché, sans nécessiter d´intervention de la part de l´utilisateur. Ce service en plus a bien sûr un prix qui varie entre 700 et 1500 euros.A l´image de l´Etat qui ne communique pas directement avec le demandeur du passeport, mais procède via une préfecture de Police, l´Autorité de Certification nécessite une Autorité d´Enregistrement (AE). Celle-ci se charge de collecter les demandes de certificats et de contrôler les documents présentés par les utilisateurs, selon des critères d´attribution définis par la politique de certification de l´entreprise. Généralement, ce rôle incombe à un service des ressources humaines, qui transmet ensuite les demandes acceptées à l´Autorité de Certification pour génération du certificat (création) et son émission (diffusion à son titulaire). Il ne reste plus alors à l´AC qu´à garder à jour une liste des certificats révoqués (périmés, perdus, compromis) et à les archiver, au cas il serait nécessaire dans l´avenir de déchiffrer une signature plusieurs années après son apposition, par exemple.

La PKI seule ne sert pas à grand chose

Ici s´arrête le rôle de la PKI. L´utilisation que fait le titulaire du certificat de son sésame ne concerne plus la PKI, mais les diverses applications qui veulent bien être compatibles avec elle. Signature des courriers, chiffrement, authentification sur des applications maison, toutes doivent en effet reconnaître la PKI, savoir déchiffrer un certificat et, surtout, être capable de contacter l´Autorité de Certification afin de vérifier la validité du certificat auprès de la liste de révoca0tion. La PKI n´est ainsi qu´une simple couche destinée à faciliter la gestion des identités numériques à grande échelle. Elle est totalement indépendante des applications éventuelles qui utilisent ces identités. Bien sûr, les applications sont indispensables, car une PKI seule ne sert pas à grand chose : "une PKI, c´est comme un bâtiment pré-câblé. Si on n´y ajoute pas les ordinateurs pour en faire quelque chose d´utile, le câblage seul ne sert à rien", résume Xavier Lecoq-Bernard, consultant sécurité senior chez RSA Security.Et c´est précisément cette conception qui, lors des premières années de commercialisation des PKI, leur ont valu la réputation de "solution sans problème". Aujourd´hui, des projets phares tels celui du Minefi (TeleTVA et télé déclaration des impôts) sont entrain de faire changer cette idée fausse, au profit d´une réalité toute autre : une PKI peut tout faire, mais cela exige de se lancer dans un vaste projet d´entreprise, pas très différent d´une certification ISO. Cela en vaut-il la peine ? Pas toujours. Pour qui ceux ne souhaitent l´utiliser que pour signer leurs e-mails ou le chiffrement, il existe des méthodes plus légères qu´une PKI. En revanche, si l´entreprise envisage de participer à des places de marché, de fédérer ses fournisseurs ou ses partenaires, ou d´unifier les fonctions de signature électronique, la PKI est indéniablement la solution qui mérite de s´y investir.

 
Partager :
 
pub Publicité

CloudStack by IkoulaCloudStack by Ikoula

Cloud Computing : Atouts et freins, acteurs du marché, conseils et témoignages