Perçues comme un véritable eldorado tant pour les éditeurs que pour les administrateurs de système de sécurité, les infrastructures à base de clés publiques ou PKI sont apparues il y a maintenant 10 ans ! Dix années qui n’ont pourtant pas suffit à les imposer ! Le protocole SSL (Secure Socket Layer) domine toujours largement le marché de l’authentification sur les sites marchands. Radius, Tacacs ou IPSec (qui comporte un processus d’authentification dans son en-tête) constituent encore la solution retenue par la majorité des entreprises. La raison de cet échec est double : faute d’assimilation avec les applications, la PKI reste difficile à mettre en place. Mais c’est avant tout du côté de l’organisation de ces infrastructures, lourdes techniquement et politiquement complexes à imposer, qu’il faut chercher les véritables causes de cet échec. Pourtant, si l’on en croit les cabinets d’études, 2001 sera l’année de décollage des infrastructures PKI. Selon Datamonitor, ce marché devrait même dépasser les 3,5 Md$ en 2003 (3,9 Md?).Solution fédératrice, les infrastructures PKI garantissent la confidentialité des échanges, l’authentification des utilisateurs, l’intégrité des données et la non-répudiation, qui protège le marchand des éventuels dédits de ses clients. Indépendantes des applications, ces infrastructures s’appliquent à tous les besoins : courriers électroniques dans un cadre sécurisé, paiement sur internet, identification auprès d’un routeur ou d’un coupe-feu, utilisation des applications d’une entreprise en intranet/extranet…L’infrastructure PKI repose sur la notion de chiffrement asymétrique. Ce concept s’appuie sur deux types de clés différentes qui utilisent des algorithmes de chiffrement, RSA étant le plus connu. Chaque utilisateur d’un système PKI dispose d’un jeu unique de clés, dont l’une est privée (secrète) et l’autre publique. Seule l’association des 2 permet de déchiffrer les informations. Pour recevoir des documents protégés, le détenteur d’un jeu de clés envoie sa clé publique à ses interlocuteurs, qui l’utilisent pour chiffrer les données avant de les lui envoyer. Seul le destinataire et détenteur des clés peut lire les informations en associant sa clé privée à sa clé publique. Pour s’authentifier, en revanche, le détenteur des clés utilise un certificat, sorte de document électronique faisant office de carte d’identité ou de passeport électronique. Inséré dans un message, lors d’un paiement sur internet par exemple, ce certificat joue le rôle de signature numérique. Il contient des informations relatives à l’identité du détenteur, son champ d’application (date de validité, types d’applications, etc.) et la clé publique. Un tiers de confiance garantit l’association entre un individu et les données contenues dans le certificat.
UNE ORGANISATION COMPLEXE AUX MECANISMES RIGOUREUX
La complexité des infrastructures PKI provient précisément de l’émission et de la gestion de ces certificats. Elle est à la fois politique et organisationnelle. Qui bénéficie d’une telle “aura” pour jouer le rôle de tiers de confiance auprès des entreprises ? Dans le cadre d’une politique interne de sécurité, la société peut évidemment assurer ce statut. Reste à déterminer le service le plus apte à agréer, gérer et maintenir à jour toutes les informations relatives aux utilisateurs. Le service informatique n’est peut-être pas le mieux placé. En outre, la gestion des certificats en interne implique des infrastructures lourdes afin d’enregistrer les demandes, de vérifier la validité des certificats, de gérer les pertes ou les vols (risques d’autant plus importants lorsque le certificat est inclus dans un support physique tel qu’une carte à puce)… Infrastructures alourdies encore par la protection des serveurs, dont le piratage équivaudrait à autant de brèches de sécurité qu’ils stockeraient de certificats.Difficile en interne, la gestion des infrastructures PKI peut être externalisée auprès de prestataires spécialisés, tels que Certplus (en France) et Verisign (aux États-Unis), ou encore auprès d’une banque. Le problème de confiance devient alors critique. Typiquement, un Français, client d’une banque française jouant le rôle de tiers certificateur, qui achète sur un site américain, aura du mal à imposer son certificat si son organisme bancaire n’est pas reconnu aux États-Unis comme un prestataire digne de confiance. Sans compter que l’enregistrement et la gestion des certificats au niveau du grand public ne vont pas sans poser de problème d’infrastructures physiques cette fois-ci : qui dispose des ressources et d’une ramification suffisantes pour accueillir les demandeurs de certificats, vérifier les informations et émettre le certificat ? Bien positionnée si l’on en croit les analystes du secteur, La Poste pourrait jouer ce rôle dans l’Hexagone. Les banques aussi.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.