01 Réseaux : Quelle est la stratégie adoptée par les banques françaises en matière de PKI ?Vincent Gross : Elles connaissent les offres PKI du marché pour les avoir maquettées. Elles savent que la PKI est la clé de voûte de la sécurité sur laquelle l’ensemble des applications peuvent s’appuyer. Mais elles ont aussi constaté que les applications fournissant des services à travers Internet ne sont pas encore adaptées à ce socle de sécurité.01 R. : Comment sécurisent-elles leurs canaux Internet ?V. G. : L’authentification ou la signature, parfois associées à la notion de non-répudiation, sont nécessaires. Or, la couche de sécurité se limite trop souvent à un mécanisme à base d’identifiant et de mot de passe, sur un protocole SSL en mode V2, c’est-à-dire sans certificat client et sans possibilité pour le serveur Web d’authentifier le client. Cela freine le déploiement de services déjà accessibles via d’autres médias.01 R. : EMV amènera-t-il la sécurité ?V. G. : La migration vers EMV (Europay, MasterCard, Visa) est obligatoire. Les budgets sont concentrés sur EMV, dont la sécurité répond à une partie des attentes des banques. Il est tentant de mutualiser les coûts en intégrant dans EMV des fonctionnalités de sécurité enrichies. On peut imaginer une application PKI client sur carte EMV. Ce potentiel peut expliquer le manque de visibilité sur les technologies à l’étude en environnement bancaire.01 R. : Quel est l’avenir du paiement sécurisé sur Internet ?V. G. : La PKI répond aux besoins en B to C et en B to B. Mais la lourdeur de mise en ?”uvre, les coûts élevés, et le fait que les applications de paiement ne s’interfacent pas nativement avec les PKI, ouvrent la porte à d’autres approches. Les PKI du moment manquent d’interopérabilité et de capacité d’évolution. La “PKI allégée” ou des solutions à base d’algorithmes symétriques répondent aux besoins ciblés à moindre coût.01 R. : Quel avenir pour Identrus ?V. G. : Identrus ne décollera pas tant qu’il n’y aura pas d’applications utilisant son modèle “quatre coins”. Les banques françaises attendent ces applications avant de monter l’infrastructure PKI. À l’inverse, des banques américaines, européennes et asiatiques montent une PKI sur le modèle Identrus, et essayent de rentabiliser ces investissements en trouvant des applications idoines.01 R. : Quel est l’impact du projet Minéfi ?V. G. : Le Minéfi montre la bonne direction. Le poids de l’État aura mobilisé les banques. Mais, celles-ci ont fourni des certificats à stocker sur le disque d’un PC. Une carte à puce réduirait le risque de piratage de la clé de signature, dont le porteur serait responsable devant la loi.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.