“Pourquoi proposer uniquement la carte à puce ? Il existe bien d’autres solutions”, faisait-on remarquer à la DCSSI (Direction centrale de la sécurité des systèmes d’information) en décembre dernier à propos de la signature électronique. Malgré la promesse d’une décision effective dès février, l’autorité de régulation française de la sécurité tergiverse toujours. Deux ans après le vote de la loi sur la signature électronique, deux décrets sont certes parus, le dernier en date du 18 avril. Mais ils sont orphelins des cinq arrêtés auxquels ils devraient se référer. Les deux premiers doivent poser le schéma et le référentiel d’évaluation des dispositifs sécurisés de création de signature électronique. Seule possibilité actuelle, la carte à puce est aussi l’une des briques indispensables à la sûreté et à l’interopérabilité d’une infrastructure de signature électronique. Or, en l’état actuel, “les décrets reprennent bien l’essentiel des caractéristiques de la signature avancée, souligne un fournisseur. Mais les exigences énoncées ne permettent pas de définir les spécifications nécessaires à la création d’un produit”.
Un standard refusé par l’ISO
Cet attentisme rappelle les lenteurs qui, par le passé, ont freiné la démocratisation de la cryptographie. Ainsi, pour appliquer la loi de 1996 sur la réglementation des télécommunications, le SCSSI (devenu depuis la DCSSI) soutient un schéma complexe ?” et propriétaire ?” de séquestre de clés de chiffrement. Celui-ci s’inspirait d’une architecture importée d’outre-Manche, baptisée “Royal Holloway Scheme”, d’après le collège londonien qui en était à l’origine. Le SCSSI était parvenu à convaincre des fournisseurs de sécurité français. Certains y laisseront des plumes. Et au final, les décrets d’applications et les six arrêtés publiés au printemps 1998 s’avèrent techniquement inapplicables. Exaspéré, le gouvernement impose, début 1999, la libéralisation de la cryptographie. Son patron de l’époque, le général Jean-Louis Desvignes, est limogé. Mais son remplaçant, Henri Serres, un civil qui a fait ses classes à la DGSE, ne parvient guère à modifier la culture de la maison. Pour preuve, l’année suivante, la DCSSI jette son dévolu sur le standard britannique BS-7799. But de l’opération : intégrer l’évaluation et la certification d’un système d’information aux Critères communs (ISO 15048). Ces derniers étant prioritairement employés pour l’évaluation de logiciels et de matériels. Mais l’ISO rejette en bloc la partie du standard BS-7799 qui décrit son implémentation. Pragmatiques, les autorités Britanniques abandonnent alors toute velléité de reconnaissance internationale. Mais, pour sa part, la DCSSI ne désarme pas. Selon un Cesti, laboratoire en charge des évaluations au critères communs, “elle veut à présent définir une cible d’évaluation… pour un site industriel complet !”
Les fabricants de puce dans la tourmente
Pendant ce temps, faute d’arrêtés sur le dispositif sécurisé de création de signature électronique, le chantier de l’évaluation et de la certification des cartes à puce n’est toujours pas engagé. Alors même que l’industrie française de ce secteur se porte mal, avec la disparition de Bull CP8 et la délocalisation de certains résultats des activités de R&D de Gemplus. Les travaux sont pourtant loin d’être achevés. Il faut encore évaluer le processeur, les bibliothèques cryptographiques et le lecteur. Sachant que la carte à puce elle-même n’est que la face émergée de l’iceberg. La mise à disposition de produits certifiés et reconnus est, en effet, fondamentale pour la maturité du marché de la sécurité.Mais, surtout, la carte à puce renverse la présomption de la fiabilité en faveur du signataire. A condition, bien entendu, qu’elle soit certifiée et reconnue par la loi. Or, aujourd’hui, c’est l’inverse qui se produit. “La démonstration de la fiabilité d’une signature électronique s’enlise dans un débat d’experts”, souligne un juriste spécialiste du sujet. Alors même que les opérateurs de solution de signature électronique, bien mal en point aujourd’hui, profiteraient de cette reconnaissance pour peaufiner leurs arguments commerciaux. “Des alternatives comme les clés USB s’apparentent à la carte à puce, mais elles n’atteignent pas, un niveau de sécurité et de fonctionnalité équivalent”, remarque un Cesti.
Un climat de flottement dangereux
L’urgence est de mise. Tandis que l’Europe peine à imposer la carte à puce, les fournisseurs anglo-saxons, dont Microsoft, IBM et Intel, investissent l’EESSI (European Electronic Standardisation Initiative). Résultat : celui-ci rend, fin 2001, un jugement de Salomon sur le SSCD (Secure Signature Creation Device) en préconisant deux niveaux de sécurité distincts : EAL 4 et EAL 4 +. Or, seul le second est compatible avec la carte à puce. “Ce climat de flottement est dangereux et dommageable en matière d’avance technologique”, juge le consultant d’un grand cabinet d’audit. La Commission européenne s’est emparée de l’affaire et a tranché en faveur d’EAL 4+. Aussitôt, l’EESSI réplique avec un troisième profil de protection, qui fait abstraction de la carte à puce !Le défi de la DCSSI porte aussi sur le renouvellements des Profils de protection (PP) français, qui jouent un rôle structurant en définissant le cahier des charges d’une évaluation aux Critères commus. Aujourd’hui, l’ensemble de l’industrie des fournisseurs de circuits intégrés pour carte à puce, conduit par Infineon, monte en puissance sur le PP/0002 (anciennement le SSVG). Comparé à son prédécesseur français le PP/9806, il améliore grandement la sécurité et la modularité. Ainsi, dans leur adoption d’EMV, les banques italiennes retiennent un processeur de Philips Semiconductors certifié conforme au PP/0002. En France, ce dernier est également le fournisseur de la toute première carte bancaire hybride EMV/B0′ développée par Gemplus. La certification de son circuit intégré aux Critères commus s’appuie sur le PP/9806, en réutilisant les résultats obtenus grâce au PP/0002 mais sans le même niveau de sécurité…
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.