> Tech > L’avenir de la PKI passe par l’approche
« open source »

L’avenir de la PKI passe par l’approche
« open source »

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

par René Beretz
Les infrastructures à  clé publique (PKI : Public Key Infrastructure) génèrent un intérêt croissant. Leur succès devrait s'amplifier avec des solutions " open source " qui en abaisseront le coût. La PKI (Public Key Infrastructure) est une solution globale de sécurité. Elle se compose de systèmes de chiffrement symétrique et asymétrique, de certificats numériques permettant l'authentification des individus et des entités ainsi que de signatures électroniques qui garantissent l'intégrité des données transmises et la non-répudiation des messages.
Le chiffrement se fait par une combinaison de clés publiques et privées. Les données sont chiffrées symétriquement, c'est-à -dire au moyen de clés publiques, librement diffusées. Le mode asymétrique implique, en plus de la clé publique, une clé privée connue d'une seule personne ; celle-ci renforce la confidentialité du message et peut servir à  garantir l'identité de l'expéditeur. Ce mode sert, en particulier, à  coder une signature électronique, associée à  l'identité de l'expéditeur et au message transmis. En France, un décret de loi récent autorise l'usage de la signature électronique pour authentifier des actes officiels.

En France, un décret de loi récent autorise l'usage de la signature électronique pour authentifier des actes officiels

Alternative aux systèmes de nom et de mot de passe, le certificat se situe au coeur de la PKI pour authentifier les accès. La spécification RFC 2459 normalise le certificat au sein de la famille de standards X.509 de l'IETF définissant la PKI pour Internet. La norme est très ouverte : au-delà  des champs obligatoires, elle permet de tirer parti de la PKI pour les besoins de l'entreprise. Selon la norme, un certificat contient trois sortes de champs :
· les champs obligatoires figés (le nom et le type de contenu sont précisément définis) : nom, prénom, adresse électronique
· les champs optionnels dont seul le nom est fixé : pays, adresse, téléphone
· les champs d'extension dont le nom et le contenu sont libres : société, établissement, département, service, etc.

En pratique, la mise en oeuvre d'une PKI fait intervenir plusieurs acteurs :
· L'autorité de certification (interne ou externe) définit les règles d'attribution des certificats : elle joue le rôle de tiers de confiance. Cette fonction peut être assurée en interne par un service indépendant comme l'administrateur de réseau ou par une société extérieure.
· L'opérateur de certification gère la production des certificats numériques. C'est souvent une société spécialisée (tierce partie) comme Certplus ou Verisign. Une même entité joue souvent le rôle d'opérateur de certification et d'autorité de certification.
· L'autorité d'enregistrement gère les demandes de certificats, vérifie les critères et demande leur fabrication à  l'opérateur ou à  l'autorité de certification.
· L'autorité de validation conserve une liste des certificats révoqués afin de vérifier la validité des certificats.

La PKI prend en charge ces fonctions au moyen de serveurs : serveur de certificats, serveur d'enregistrement, serveur de révocation. Lorsque la PKI est implantée en ligne, c'est une chaîne de traitement qui prend en charge l'ensemble des procédures du début jusqu'à  la fin. Le protocole de négociation, qui vérifie l'identité de toutes les personnes impliquées, se déroule en plusieurs étapes :

1. Une entité fait une demande de certificat.
2. La PKI envoie au demandeur la clef publique codée.
3. L'utilisateur déchiffre le message avec sa clef privée et retourne un accusé de réception au système pour s'identifier.
4. La PKI enregistre le certificat et en autorise l'utilisation.

Le processus peut fonctionner de plusieurs manières : soit le serveur d'enregistrement fonctionne automatiquement sans intervention humaine, soit une personne physique fait fonction d'autorité d'enregistrement sur le site de la PKI. C'est à  chaque société de décider de sa politique dans le domaine. Un certificat est toujours créé pour une période déterminée, et suit donc un cycle de vie. Ce cycle peut être géré de manière automatiqu

Selon Yannick Quenec’hdu, d’IdealX,  » bien que la PKI soit maintenant un nom connu,
peu de gens connaissent vraiment le sujet. Ils sont perdus face à  la richesse
du domaine : en effet une PKI doit fournir des certificats pour l’authentification,
le chiffrement et la signature.  » En pratique, les sociétés procèdent souvent
par étapes.  » La préoccupation initiale concerne souvent l’authentification. La
plupart des clients, y compris les grands groupes, veulent mettre en place un
système de certificats. Ils ont mis en place des systèmes de carte à  puce au format
PMCIA ou Rainbow qui servent à  l’authentification d’accès. « 

La mise en place d’une PKI soulève de nombreux problèmes d’organisation, souvent
bien plus délicats à  résoudre que les problèmes techniques. Avant toute mise en
oeuvre, la société doit élaborer les énoncés pratiques de certification (EPC) qui
définissent tous les processus fonctionnels. C’est une étape essentielle du processus.

En fonction des ambitions et des moyens de l’entreprise, différents types de systèmes
sont envisageables. Un système simple sans connexion avec l’autorité de certification
peut convenir pour de petites sociétés. Pour obtenir les certificats, il faut
donc déplacer physiquement des média sur le site de l’autorité de certification.
Dans une grande société, la connexion au réseau est nécessaire pour des raisons
pratiques : volume, nombre de personnes concernées, fréquence des interventions,
contrôle des procédures. Tous les grands groupes ont des études en cours sur le
sujet mais peu ont une implémentation opérationnelle.

La PKI peut rendre de grands services même dans de petites sociétés de service
: un ingénieur en mission chez un client peut vouloir se connecter sur les serveurs
de la société comme s’il était en interne. Les certificats gérés par la PKI lui
fournissent automatiquement les accès ; il n’a pas besoin de faire appel à  un
gestionnaire manuel des mots de passe.

Par ailleurs, pour le commerce électronique, la PKI commence avoir des applications
destinées à  contrôler les transactions et les informations qui circulent.

Téléchargez cette ressource

Cybersécurité des collectivités : Enjeux, Perspectives & Solutions

Cybersécurité des collectivités : Enjeux, Perspectives & Solutions

Villes, intercommunalités, métropoles, départements et régions sont particulièrement exposés aux risques de cybersécurité. Ce livre blanc Stormshield présente les défis cyber que rencontrent les collectivités, les solutions et perspectives pour qu’elles puissent assurer leur mission d’utilité publique, en toute sécurité.

Tech - Par iTPro.fr - Publié le 24 juin 2010