par René Beretz
Les infrastructures à clé publique (PKI : Public Key Infrastructure) génèrent
un intérêt croissant. Leur succès devrait s'amplifier avec des solutions " open
source " qui en abaisseront le coût.
La PKI (Public Key Infrastructure) est une solution globale de sécurité. Elle
se compose de systèmes de chiffrement symétrique et asymétrique, de certificats
numériques permettant l'authentification des individus et des entités ainsi que
de signatures électroniques qui garantissent l'intégrité des données transmises
et la non-répudiation des messages.
Le chiffrement se fait par une combinaison de clés publiques et privées. Les données
sont chiffrées symétriquement, c'est-à -dire au moyen de clés publiques, librement
diffusées. Le mode asymétrique implique, en plus de la clé publique, une clé privée
connue d'une seule personne ; celle-ci renforce la confidentialité du message
et peut servir à garantir l'identité de l'expéditeur. Ce mode sert, en particulier,
à coder une signature électronique, associée à l'identité de l'expéditeur et au
message transmis. En France, un décret de loi récent autorise l'usage de la signature
électronique pour authentifier des actes officiels.
En France, un décret de loi récent autorise l'usage de la signature électronique
pour authentifier des actes officiels
Alternative aux systèmes de nom et de mot de passe, le certificat se situe au
coeur de la PKI pour authentifier les accès. La spécification RFC 2459 normalise
le certificat au sein de la famille de standards X.509 de l'IETF définissant la
PKI pour Internet. La norme est très ouverte : au-delà des champs obligatoires,
elle permet de tirer parti de la PKI pour les besoins de l'entreprise. Selon la
norme, un certificat contient trois sortes de champs :
· les champs obligatoires figés (le nom et le type de contenu sont précisément
définis) : nom, prénom, adresse électronique
· les champs optionnels dont seul le nom est fixé : pays, adresse, téléphone
· les champs d'extension dont le nom et le contenu sont libres : société, établissement,
département, service, etc.
En pratique, la mise en oeuvre d'une PKI fait intervenir plusieurs acteurs :
· L'autorité de certification (interne ou externe) définit les règles d'attribution
des certificats : elle joue le rôle de tiers de confiance. Cette fonction peut
être assurée en interne par un service indépendant comme l'administrateur de réseau
ou par une société extérieure.
· L'opérateur de certification gère la production des certificats numériques.
C'est souvent une société spécialisée (tierce partie) comme Certplus ou Verisign.
Une même entité joue souvent le rôle d'opérateur de certification et d'autorité
de certification.
· L'autorité d'enregistrement gère les demandes de certificats, vérifie les critères
et demande leur fabrication à l'opérateur ou à l'autorité de certification.
· L'autorité de validation conserve une liste des certificats révoqués afin de
vérifier la validité des certificats.
La PKI prend en charge ces fonctions au moyen de serveurs : serveur de certificats,
serveur d'enregistrement, serveur de révocation. Lorsque la PKI est implantée
en ligne, c'est une chaîne de traitement qui prend en charge l'ensemble des procédures
du début jusqu'à la fin. Le protocole de négociation, qui vérifie l'identité de
toutes les personnes impliquées, se déroule en plusieurs étapes :
1. Une entité fait une demande de certificat.
2. La PKI envoie au demandeur la clef publique codée.
3. L'utilisateur déchiffre le message avec sa clef privée et retourne un accusé
de réception au système pour s'identifier.
4. La PKI enregistre le certificat et en autorise l'utilisation.
Le processus peut fonctionner de plusieurs manières : soit le serveur d'enregistrement
fonctionne automatiquement sans intervention humaine, soit une personne physique
fait fonction d'autorité d'enregistrement sur le site de la PKI. C'est à chaque
société de décider de sa politique dans le domaine. Un certificat est toujours
créé pour une période déterminée, et suit donc un cycle de vie. Ce cycle peut
être géré de manière automatiqu
L’avenir de la PKI passe par l’approche
« open source »
Selon Yannick Quenec’hdu, d’IdealX, » bien que la PKI soit maintenant un nom connu,
peu de gens connaissent vraiment le sujet. Ils sont perdus face à la richesse
du domaine : en effet une PKI doit fournir des certificats pour l’authentification,
le chiffrement et la signature. » En pratique, les sociétés procèdent souvent
par étapes. » La préoccupation initiale concerne souvent l’authentification. La
plupart des clients, y compris les grands groupes, veulent mettre en place un
système de certificats. Ils ont mis en place des systèmes de carte à puce au format
PMCIA ou Rainbow qui servent à l’authentification d’accès. «
La mise en place d’une PKI soulève de nombreux problèmes d’organisation, souvent
bien plus délicats à résoudre que les problèmes techniques. Avant toute mise en
oeuvre, la société doit élaborer les énoncés pratiques de certification (EPC) qui
définissent tous les processus fonctionnels. C’est une étape essentielle du processus.
En fonction des ambitions et des moyens de l’entreprise, différents types de systèmes
sont envisageables. Un système simple sans connexion avec l’autorité de certification
peut convenir pour de petites sociétés. Pour obtenir les certificats, il faut
donc déplacer physiquement des média sur le site de l’autorité de certification.
Dans une grande société, la connexion au réseau est nécessaire pour des raisons
pratiques : volume, nombre de personnes concernées, fréquence des interventions,
contrôle des procédures. Tous les grands groupes ont des études en cours sur le
sujet mais peu ont une implémentation opérationnelle.
La PKI peut rendre de grands services même dans de petites sociétés de service
: un ingénieur en mission chez un client peut vouloir se connecter sur les serveurs
de la société comme s’il était en interne. Les certificats gérés par la PKI lui
fournissent automatiquement les accès ; il n’a pas besoin de faire appel à un
gestionnaire manuel des mots de passe.
Par ailleurs, pour le commerce électronique, la PKI commence avoir des applications
destinées à contrôler les transactions et les informations qui circulent.
Téléchargez cette ressource
Guide Adobe Firefly, l’IA générative dédiée aux équipes créatives
Depuis plus d’une décennie, Adobe exploite l’intelligence artificielle (IA) pour proposer des solutions toujours plus performantes et innovantes aux équipes créatives. Comment le nouveau moteur d’IA générative Adobe Firefly permet-il aux entreprises de développer leurs capacités créatives et de tirer, dès à présent, tout le profit de l'IA générative ?
