Microsoft entend jouer dans la cour des grands de la PKI (infrastructure à clés publiques). Le lancement l’année dernière de Windows 2000 est, à cet effet, un événement à marquer d’une pierre blanche. “Pour la première fois, le noyau du système d’exploitation intègre des fonctions cryptographiques qui étaient précédemment vendues séparément”, souligne Pierre Bugnon, architecte sécurité pour Microsoft France.Au moment où les entreprises engagent leur migration vers Windows 2000, bon nombre d’entre elles seront tentées par une PKI à moindres frais. L’argument choc de Windows 2000 est sa démocratisation des services de sécurité.“Le passage en mode sécurisé IPSec se fait avec facilité et transparence, constate ainsi Jérôme Bordier, consultant dans le cabinet de sécurité Dictao. La simplicité d’utilisation en devient déconcertante.”
Une facilité d’utilisation qui impose des limites
Autre service proposé, le protocole EFS (Encrypted File System), qui crypte à la volée les fichiers sur le disque dur. Dans l’attente du développement d’un mécanisme de recouvrement de clés, l’envoi de fichiers chiffrés est impossible.Le programme Authenticode de signature de code s’étend, lui, à la signature de pilotes de logiciels. “Les pilotes sur lesquels Microsoft n’a pas de visibilité sont responsables de 40% des exceptions qui tournent en mode noyau, donnant ainsi accès au système d’exploitation”, indique Pierre Bugnon.Cette simplicité induit cependant certaines limitations. Pour commencer, seule une dizaine de scénarios de certification est configurable avec la console d’administration. “La gestion des politiques de certification est difficilement modifiable”, remarque Jérôme Bordier.L’enregistrement des utilisateurs et le renouvellement de leurs certificats sont des tâches lourdes. D’autant que Windows 2000 n’inclut pas de module d’autorité d’enregistrement pour la gestion décentralisée. “La consultation automatique d’une liste de révocation de certificats n’est pas compatible avec le protocole OSCP (Online Certificate Status Protocole – NDLR)“, ajoute Jérôme Bordier.
Active Directory, cheville ouvrière des services de PKI
Des fonctions qui, avec l’archivage et le recouvrement des clés, seront fournies avec Whistler, le successeur de Windows 2000.Le déploiement de Windows 2000 PKI passe obligatoirement par Active Directory. L’annuaire de Microsoft stocke, entre autres, les certificats, les politiques de certification et les listes de révocation de l’autorité de certification.Mais la mise en ?”uvre et la configuration d’Active Directory ne sont pas choses aisées. Cela notamment en raison de la structure monodimensionnelle des domaines, analyse le cabinet Giga Group. De plus, la certification croisée, garante d’interopérabilité, n’est pas encore possible.
Des environnements de moins de cent mille utilisateurs
ésireux de faire preuve d’ouverture, Microsoft a néanmoins entrepris d’adhérer aux spécifications PKIX ainsi qu’aux messages PKCS # 7, 10 et 17 (obtention et export des certificats). Les API utilisées pour la génération des clés demeurent toutefois propriétaires.Pour le Giga Group, l’emploi de Windows 2000 se cantonne à des environnements de moins de cent mille utilisateurs.“La PKI de Windows 2000 est surtout adaptée aux environnements intranet, conclut Jérôme Bordier. De ce fait, elle ne répond pas à une problématique d’échanges sécurisés hors du périmètre de l’entreprise – avec des fournisseurs, par exemple.” Ce qui, au passage, soulève une contradiction de taille : la raison d’être de la sécurité – et donc celle des infrastructures àclés publiques – n’est-elle pas justement de sécuriser des environnements ouverts ?
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.