> Tech > Comment les certificats numériques sont (ou pas) utilisés

Comment les certificats numériques sont (ou pas) utilisés

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

par Carol Woodbury - Mis en ligne le 11/06/2002
Depuis 1976, année où Whitfield Diffie et Martin Hellman les ont inventés, les certificats numériques ont été considérés comme la panacée capable de résoudre l'épineux problème de l'authentification des utilisateurs. Plus sûrs que le couple ID/mot de passe utilisateur classique, les certificats numériques devaient nous débarrasser à  jamais de ces multiples mots de passe impossibles à  mémoriser ...

Force est de constater que l'usage généralisé des certificats numériques ne s'est pas encore imposé, pour plusieurs raisons : casse-tête administratif, dépenses potentielles, et manque de standards généralement acceptés.

Dans cet article, j'examine ces obstacles plus en détail. Ensuite, j'explore plusieurs modes actuels d'utilisation concrète des certificats numériques. Mais voyons d'abord rapidement ce qu'est un certificat numérique.

Comment les certificats numériques sont (ou pas) utilisés

Les certificats numériques sont un
moyen électronique de vérification de
l’identité d’une quelconque entité –
utilisateur, serveur (comme Telnet ou
FTP), entreprise, ou division de celleci.
L’entité revendique une certaine
identité – « Je suis Jean Martin » – et le
certificat numérique le prouve. Un certificat
numérique et un passeport ont
en commun :

• d’identifier une entité particulière

• d’être créés par une entité émettrice
bien précise

• d’être émis, ou délivrés, dès que le
postulant prouve son identité à  l’entité
émettrice

• d’avoir une date d’expiration

La différence se situe dans la PKI
(Public Key Infrastructure) propre aux
certificats numériques. PKI est un
mode de cryptage qui utilise une paire
de clés constituée de deux clés
uniques, dites clé publique et privée.
On utilise l’une des clés de la paire
pour crypter un message, puis l’autre
pour le décrypter.

La puissance du cryptage par PKI
tient à  la non utilisation de la même clé
pour crypter et décrypter un message.
Par conséquent, deux personnes peuvent
communiquer en toute sécurité sans échanger au préalable une clé secrète.
Chaque interlocuteur crypte les
messages pour l’autre en utilisant la clé
publique du destinataire, mais seul le
destinataire visé possède la clé privée
capable de dévoiler le message.

La création d’un certificat numérique
s’accompagne de la génération
d’une paire de clés publique/privée. La
clé publique de la paire fait partie du
certificat numérique lui-même.
Comme elle n’a rien de particulièrement
confidentiel ou lié à  la sécurité,
elle circule non cryptée aux côtés du
certificat numérique, partout où celuici
est envoyé ou stocké. En revanche,
la clé privée est stockée ailleurs – de
préférence dans un endroit sûr et protégé
où personne, sauf le propriétaire
du certificat, ne pourra l’utiliser.

Les certificats numériques doivent être émis par une autorité certificatrice
(CA, Certificate Authority). La CA se
comporte comme un tiers de
confiance qui atteste, ou se porte garante,
de l’identité d’une personne détenant
un certificat numérique, de la
même manière qu’un gouvernement
se porte garant de l’identité des citoyens
détenant des passeports qu’il
délivre.

Vous pouvez choisir de deux manières
la CA pour vos certificats numériques
: en générant vos propres certificats
numériques à  l’aide des outils CA
livrés avec l’iSeries (votre CA local), ou
bien en les achetant à  une CA ayant pignon
sur rue comme VeriSign ou
Entrust.

Téléchargez cette ressource

Comment sécuriser une PME avec l’approche par les risques ?

Comment sécuriser une PME avec l’approche par les risques ?

Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.

Tech - Par iTPro.fr - Publié le 24 juin 2010