Passer au contenu

Le commerce interentreprises a-t-il besoin de la PKI ?

Bâtir une infrastructure B to B sécurisée nécessite des mécanismes de confiance afin de s’assurer de l’authentification et de la signature du client. Réaliser ces fonctions est faisable avec ou sans PKI, mais chaque utilisation a des contraintes spécifiques.

Parler de l’EDI sécurisé au passé est un peu précipité ! Il existe aujourd’hui plus de sites sécurisés sans PKI que de sites sécurisés avec PKI“, relativise d’emblée Laurent Stoffel, p.-d.g. d’Intranode. Une infrastructure B to B peut s’arc-bouter sur l’EDI sécurisé, que ce soit par des réseaux X.25 ou par Internet. Sinon, le cocktail de la sécurité est connu : une gestion des authentifications à base d’annuaire LDAP ou Radius, et une authentification forte relayée par un support physique (un token). Une piste d’audit logicielle servira alors à la non-répudiation des transactions. Quant à la confidentialité, elle peut être assurée par un logiciel de chiffrement.

Tout n’est pas rose

“Le B to B se caractérise par un nombre connu de clients, ce qui permet de dimensionner les équipements de sécurité. Ces mécanismes dépendent toutefois de l’utilisateur et de sa bonne foi. La non-répudiation, avant la PKI, pouvait être contestée, car la modification des traces était possible”, explique Guillaume Rossignol, responsable conseil chez CF6 (groupe Telindus).Sécuriser sans PKI impose toutefois des contraintes de suivi et de mise en place, comme la cohésion de la sécurité entre les équipements. Pour l’EDI, la sécurisation était minime jusqu’à l’apparition, en 1995, du protocole Autack (Authentication and acknowledgment message). Cependant, le fait que les sociétés soient reliées par des circuits X.25 fournissait une sécurité relative grâce aux groupes fermés d’abonnés.L’avantage de la PKI est qu’elle peut être réutilisée dans l’entreprise pour d’autres problématiques que le B to B. Mais, tout n’est pas rose pour autant. Les utilisateurs doivent faire attention à l’organisation nécessaire. De nombreuses fonctionnalités de la PKI ne sont pas mûres : la révocation des certificats, la certification croisée, l’horodatage… Seules les caractéristiques indispensables au démarrage sont prêtes : gestion des certificats et distribution des clés. “Très peu d’entreprises sont équipées de PKI à cause du coût élevé et des problèmes d’interopérabilité avec les PKI des autres entreprises. Mais les institutions gouvernementales poussent dans ce sens. Les entreprises doivent identifier leurs besoins en matière de PKI, et pas simplement pour un serveur SSL avec un certificat serveur “, insiste Renaud Bidou, directeur des opérations d’Intexxia.Il est possible d’utiliser des certificats numériques sans passer, dans un premier temps, par un tiers. Nombre d’entreprises étudient, voire maquettent, des solutions PKI, puis reviennent à leur objectif, mais sans grande priorité, comme le SSO (Single sign-on, ou authentification unique). Aujourd’hui, les standards remontent dans les couches supérieures pour sécuriser les transactions et les applications. Mais, les annuaires sont encore peu interopérables. Il n’existe pas de certificat d’identité unique, ou d’habilitation commune. LDAP n’autorise toujours pas la fédération des utilisateurs dispersés dans des progiciels d’infrastructure. Cela complexifie la possibilité de traverser le système d’information sans justifier de son identité à chaque barrière.

Des offres PKI interopérables

Une plate-forme de SSO peut prendre une autre dimension si l’entreprise va jusqu’au bout du modèle et réunit, dans un seul référentiel, toutes les informations relatives aux authentifications et aux habilitations. “Seule la PKI permet d’envisager le SSO. Mais il faut déployer l’architecture, intégrer les outils dans les applications. C’est beaucoup de travail. La migration est en cours, ce n’est qu’une question de temps “, analyse Pascal Trouvin, consultant sécurité chez Integralis.De façon traditionnelle, l’EDI a été utilisé sur des connexions directes entre partenaires, ou en utilisant la boîte à lettres d’un RVA (réseau à valeur ajoutée). “Les questions de sécurité se posent lors de l’ouverture sur Internet. Or, les nouveaux arrivants choisiront vraisemblablement des solutions Web, et la cohabitation entre EDI et PKI subsistera un temps “, souligne Joël Deloison, consultant sécurité chez Aubay. Il serait souhaitable qu’un organisme officiel, de type GIE, gère les certificats de l’utilisateur. En effet, “il ne faut pas s’attendre à ce que chaque internaute s’équipe d’un certificat. Si les banques distribuent des certificats à leurs clients, ils feront référence dans des transactions B to B ou B to C. Il n’y a alors plus de répudiation possible. Les places de marché feront de même dans des environnements plus restreints. Elles peuvent jouer le rôle de notaire dans ce type de transaction pour gérer les conflits. Elles ont alors tout intérêt à utiliser des méthodes de signature électronique, reconnues légalement, c’est-à-dire des signatures à base de certificats “, estime Laurent Stoffel.“Les places de marché semblent bien lancées pour constituer un point de passage du commerce électronique. Les coûts doivent baisser pour confirmer cette tendance. Les banques sont des acteurs de l’offre. Pour délivrer des certificats, leurs offres PKI devront devenir interopérables. Seuls quelques acteurs, dont les banques, pourront mettre à disposition une telle infrastructure, avec centralisation des procédés d’authentification et gestion par une autorité centrale ou un groupe restreint d’acteurs “, conclut Joël Deloison.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Renaud Hoffman