Les éditeurs de solutions d’infrastructures à clé publique convoitent le marché de la sécurisation des transactions passées depuis les terminaux mobiles. En s’appuyant sur des passerelles de conversion WAP vers HTML, plusieurs acteurs du domaine veulent adapter le modèle de la PKI aux mobiles. C’est la voie choisie par Mobitrust, alliance entre Gemplus, France Télécom Mobiles et Certplus, ainsi que par le tandem constitué par Ericsson et Baltimore Technologies.
Créer des certificats…
Mobitrust se fonde sur une PKI dédiée afin que l’utilisateur sécurise ses transactions mobiles. Une signature numérique est ainsi générée par la carte WIM (Wap identity module) du téléphone. Une carte SIM GemXplore Trust, de Gemplus, authentifie et assure la confidentialité. France Télécom Mobiles fournit l’infrastructure GSM et les services WAP, ainsi que la passerelle sans fil PKI, qui sécurise le flux de transactions. Certplus délivre les certificats numériques à chaque mobile, destinés à signer la transaction. Pour sa part, Baltimore sécurise les terminaux Ericsson de nouvelle génération (R380 et R520) avec des certificats numériques racines. Les téléphones intègrent la sécurité WTLS (Wireless transport layer security), qui garantit la confidentialité, l’intégrité et l’authentification. Version sans fil de TLS (Transport layer security), WTSL est l’équivalent du SSL, très répandu.
… avant de les valider
Une validation des certificats est alors nécessaire. Prise en charge par ValiCert, elle consistera à vérifier l’acceptation des certificats par le site marchand et le consommateur. Elle est, de ce fait, complémentaire des offres développées par Mobitrust et Baltimore. Dans un premier temps, elle permet de réaliser un contrôle intrinsèque de la validité du certificat. “Grâce à la norme OCSP (On line certified status protocol), il est désormais possible de valider ou de refuser un certificat, quel que soit son émetteur : VeriSign, Baltimore, Entrust, etc.”, explique Michel Lacoste, directeur commercial de ValiCert.Dans un second temps, il est possible de valider les attributs de chaque utilisateur (droits d’effectuer des virements et de passer des commandes, par exemple).La politique de sécurité d’une entreprise peut également être prise en compte, tout comme les bases de données existantes. Un reçu peut être renvoyé sur le terminal mobile ou via un courrier électronique.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.