Passer au contenu

Le WAP est toujours en quête d’une protection efficace

Nécessaire à l’avènement du commerce mobile, le WAP n’offre pas encore la sécurité absolue
Le WAP Forum opte pour la solution PKI

Aujourd’hui, il est impossible d’assurer la sécurité de bout en bout lors de l’utilisation du WAP”, affirme Brian O’Higgins, directeur technique d’Entrust Techno-logies, éditeur de solutions de sécurité. Pourtant, seule la confiance pourra ouvrir la voie vers un commerce électronique dynamique ; et sans sécurisation des données entre le terminal WAP et le serveur, cette confiance ne peut être établie. De nombreuses initiatives sont en cours et les protocoles s’adaptent. Ainsi, le WAP dispose bien du WTLS (WAP/Wireless Transport Layer Security, équivalent mobile du protocole SSL, Secure Socket Layer) qui permet de chiffrer une session à partir du terminal WAP. Ce n’est, hélas, pas suffisant. “Une connexion WTLS est d’abord établie entre le téléphone mobile et une passerelle WAP. Celle-ci doit ensuite déchiffrer le trafic WTLS pour le chiffrer de nouveau par SSL, avant de la transmettre au serveur web”, explique Stéphane Ménager, consultant sécurité chez Neurocom. C’est précisément cette passerelle, capable de décrypter le trafic entrant, qui empêche d’établir une connexion chiffrée de bout en bout.

Une sécurisation globale

Aujourd’hui, plutôt que de développer une solution d’interopérabilité entre WTLS et SSL, trop compliquée à mettre en ?”uvre, les fournisseurs optent pour une sécurisation globale, moins élégante techniquement, mais plus facile à mettre en ?”uvre. Ainsi, une solution consensuelle émerge du WAP Forum : l’infrastructure à clé publique (ou PKI), un système bien connu permettant d’authentifier les utilisateurs et de sécuriser les transactions. Mais tout reste à faire. “Le problème se résume à trouver le modèle de PKI adapté au WAP”, expose Stéphane Ménager.Car la PKI, c’est bien, mais il faut que le modèle utilisé convienne à tous les acteurs du marché. Par exemple, la question de la localisation de la clé privée est au centre des débats : doit-elle être intégrée à la carte à puce du terminal ou gérée au niveau des applications ? Les modalités de délivrance des certificats doivent aussi être définies, même si le problème de leur stockage est en revanche résolu : “Les certificats seront dans la carte SIM du téléphone, que l’on appellera alors la carte WIM [Wireless Identity Module, Ndlr], résume Michel Massain, directeur commercial de Baltimore France, l’un des deux grands fournisseurs de PKI au niveau mondial. Mais le module WIM fera bien plus que cela. Il authentifiera l’utilisateur auprès du reste du monde, là où la carte SIM n’authentifiait qu’un mobile auprès de son opérateur. Une fonctionnalité cruciale qui attise les convoitises : “Il y a eu une guerre de clochers pour savoir où le module WIM sera intégré. Ce point traduit à lui seul le modèle de la sécurité sur le WAP, qui repose sur le choix des émetteurs de certificats et sur l’affectation des responsabilités en cas de litige. Ce sont des enjeux très importants “, remarque Stéphane Ménager de Neurocom. Les partisans d’un module WIM intégré à la carte à puce semblent déjà avoir emporté la décision.Petit à petit, cette fameuse PKI à la ” mode WAP ” commence à prendre forme. Entrust vient de terminer les tests d’interopérabilité de ses certificats WTLS avec plusieurs passerelles WAP du marché, tandis que Balti-more, Certicom et Diversinet s’allient pour proposer une solution d’authentification des serveurs web depuis les terminaux mobiles. Mieux : Nokia, premier fournisseur de passerelles WAP, propose désormais le module Activ Security, qui offre des capacités de chiffrement et d’authentification forte à base de certificats numériques. Activ Security utilise les algorithmes RC5 (symétrique) et SHA-1 (asymétrique) et s’interface avec les serveurs d’authentification SecurID de RSA. Quoi qu’il en soit, le déploiement à grande échelle de toutes ces solutions n’est pas encore à l’ordre du jour.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Jérôme Saiz