Passer au contenu

Une place de marché produit ses propres certificats

La société Pescadis assume elle-même les rôles d’autorité et d’opérateur de certification, dans le cadre d’une infrastructure à clés publiques.

Place de marché dédiée au monde de la mer, Pescadis est construit autour d’une plate-forme de trading où des produits sont cotés en temps réel. Dès lors, fournisseurs et clients peuvent passer des ordres d’achat et de vente. La partie front-office, accessible via un navigateur Web, est complétée par un hub permettant d’émettre des flux XML vers le back-office de chaque adhérent afin, par exemple, de mettre à jour un carnet d’ordres en cours ou un portefeuille de produits achetés. La problématique de la sécurité a été abordée à travers trois axes ?” constitution d’une PKI, contrôle du cloisonnement des utilisateurs et validation des choix techniques par un tiers.Le déploiement de la PKI a été réalisé en collaboration avec Thalès Secure Solutions (TSS), sur la base de l’offre d’iPlanet. Ni l’autorité de certification (qui signe les certificats) ni l’opérateur de certification (qui les fabrique) n’a été externalisé. Le serveur qui produit les certificats est, en effet, installé dans les locaux sécurisés de Pescadis. “Cette PKI interne nous offre davantage de réactivité, notamment lorsqu’il s’agit de révoquer rapidement un certificat”, explique Christian Lamouroux, responsable de l’équipe technique.

Chaque commercial réunit les informations sur l’adhérent

Jouant le rôle d’autorité d’enregistrement, chaque commercial réunit, sur le terrain, les documents et informations prouvant l’identité du futur adhérent. Certificat et clé privée sont ensuite transmis sur disquette, par courrier. Ces éléments permettent d’authentifier les adhérents ?” la place de marché l’est elle-même via son propre certificat ?” et de chiffrer les flux HTML et XML.Le cloisonnement des informations concernant les adhérents est réalisé par attribution, à chaque utilisateur, d’un jeton unique valable douze heures, qui autorise l’authentification des requêtes. Parallèlement, pour la partie Web, la plate-forme vérifie que l’émetteur des requêtes est bien une page de Pescadis liée à un formulaire ?” et non à une URL tapée à la main. Des précautions d’autant plus nécessaires que toutes les connexions passent pour l’instant par l’Internet. Toutefois, certains clients pourraient demain passer par des VPN-IP ou des LS.Enfin, Pescadis a fait valider ses choix techniques par TSS, qui a réalisé des tests d’intrusion. Ceux-ci ont été concluants, ne parvenant ni à contourner la PKI et les mécanismes de cloisonnement ni à franchir les étages de coupe-feu et d’antivirus, qui sont intentionnellement de marques différentes.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Thierry Lévy-Abégnoli