Passer au contenu

Une architecture de certification à l’échelle mondiale

Autorité supérieure de certification, Identrus délègue ses pouvoirs aux banques et aux organismes financiers adhérents. Objectif : définir une architecture PKI internationale pour sécuriser le commerce électronique B to B.

Identrus a été fondé en 1999 par un consortium de huit banques : ABN AMRO, Bank of America, Bankers Trust, Barclays, Chase Manhattan Bank, Citigroup, Deutsche Bank et HypoVereinsbank. Il regroupe à présent vingt et un établissements, dont BNP Paribas, le Crédit Agricole, le groupe HSBC, la Société Générale, et le Crédit Lyonnais. Il représente plus de cent trente-trois pays et plus de dix millions de partenaires commerciaux.

Une légitimation de fait

Les institutions financières peuvent intégrer Identrus moyennant le paiement d’une cotisation, qui définit le niveau d’implication (Level 1 ou Level 2). “Le projet s’appuie sur un grand nombre d’experts du réseau bancaire et financier. Le droit d’entrée est de 1 million de francs. C’est une structure financée par le groupement qui met en place à travers les pays des intégrateurs certifiés, capables de déployer la solution chez les clients”, précise Renaud Bidou, directeur des opérations d’Intexxia. “Identrus est le fruit d’une volonté commune de la part des établissements financiers de contribuer concrètement au développement du B to B en apportant le crédit de confiance qu’ils représentent. L’Union européenne a approuvé le 1er août 2001 le principe d’un système mondial, destiné à mettre en ?”uvre les transactions B to B via Internet”, explique Frédéric Peilloux, consultant en architecture et sécurité chez Vistali.Ainsi, Identrus permet à des entreprises d’établir des relations B to B en leur assurant que les transactions s’effectuent bien entre ces entreprises identifiées, que les données seront protégées lors du transit sur Internet, que l’échange fera l’objet d’un contexte juridique liant les deux parties, et qu’un recours sera possible en cas de problème ou de malversation. “L’idée d’Identrus n’est pas d’établir des standards de certificats, mais bien d’être le garant de la certification croisée permettant aux autorités de certification de chacune des banques de se reconnaître mutuellement”, souligne Frédéric Peilloux.

Croiser les certifications

“La principale innovation d’Identrus reste le protocole OCSP (Online certified status protocol), qui permet de vérifier la validité des certificats en ligne, ajoute Guillaume Malgras, consultant sécurité, CF6 (groupe Telindus). Identrus édicte ses propres règles techniques en se fondant sur les différents standards PKI. Il ne normalise rien, car ce service n’est destiné qu’à ses adhérents.” Cependant, dans un contexte de lutte contre les attitudes anticoncurrentielles, “la légitimité d’Identrus ne peut se perpétuer que si aucune technologie particulière ou acteur maîtrisant cette technologie ne sont privilégiés”, ajoute Frédéric Peilloux.Identrus est divisé en trois communautés : les institutions financières adhérant au programme ; les entreprises clientes de ces institutions ; et les fournisseurs de solutions B to B sécurisées. Les interlocuteurs directs de cette certification racine restent les banques. Lorsqu’un client et son fournisseur souhaitent mener une transaction commerciale, l’échange doit, en plus d’intégrer les flux applicatifs transitant sur Internet dans les systèmes backend des deux parties, faire l’objet d’un degré de sécurité et de traçabilité favorisant la confiance réciproque. C’est ce que permet le système d’Identrus qui offre la certification croisée des autorités de certification des banques engagées dans la transaction. “Identrus fournit aux clients finaux des certificats validés par ses soins. Ils garantissent l’identité du client, la confidentialité, l’intégrité et la non-répudiation des transactions”, observe Laurent Stoffel, p.-d.g. d’Intranode.Les flux d’information peuvent recevoir un chiffrement assuré par SSLv3. Les banques prennent en charge la vérification en temps réel de la validité des certificats détenus par les acteurs de la transaction B to B, ainsi que leur solvabilité financière. Identrus propose également un contexte organisationnel qui lie, par contrat, les acteurs quant au respect de certains engagements de conduite.Face à Identrus, la solution européenne est Global Trust Authority (GTA). Son Root CA se fonde sur Entrust. L’initiative de GTA part du postulat suivant : les banques doivent être des acteurs privilégiés dans la promotion et l’usage des certificats. GTA a pour mission d’évoluer dans un contexte coopératif, sans recherche de profit, favorisant de cette façon la rentabilité des établissements bancaires.“Afin de répondre à la demande des groupes de travail, GTA a récemment procédé à la simplification du modèle, dans le but de faciliter les mises en ?”uvre initiales”, indique Benoit Mangin, directeur Italie et France d’Entrust.

Plusieurs AC possibles

Le GIE-CB en France contribue à ce développement par ses actions de coordination. Toutefois, la position d’Identrus semble prédominante. “Les banques qui n’ont pas encore rejoint Identrus, elles s’illustrent plus par leur retard, ou par une décision stratégique de s’exclure d’un tel système, que par une volonté de proposer une autre solution”, analyse Frédéric Peilloux. Les spécifications Identrus évoluent au même titre que celles de ses membres constitutifs. Elles reflètent la prise en compte de nouvelles idées et de contraintes, nourries par l’expertise acquise avec les différentes installations d’infrastructure de confiance. “Les spécifications imposaient que chaque autorité de certification (AC) soit hébergée sur un serveur dédié. Aujourd’hui, les procédures autorisent l’installation de plusieurs AC sur un seul serveur, car l’intégrité et la sécurité peuvent être assurées dans un tel environnement. Les spécifications d’Identrus sont réputées pour être souvent modifiées. Les projets Identrus fonctionnels sont donc encore rares ; et les principaux projets d’implémentation, en France, sont en sommeil”, conclut Benoit Mangin.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Renaud Hoffman