Passer au contenu

Choisir son externalisation avec les infrastructures PKI

Les infrastructures à clés publiques créent un espace de confiance sur le Net. Alors que les prestataires de services se mettent en place, les entreprises font face à des choix difficiles.

Créer un espace de sécurité et de confiance dans lequel utilisateurs, entreprises et places de marché sont authentifiés, tandis que les transactions, chiffrées et signées, sont confidentielles, inaltérables et impossibles à répudier. Telle est l’ambition des infrastructures à clés publiques (ICP, ou PKI), désormais admises comme incontournables. Mais pour quelle PKI faut-il opter ? Que faut-il externaliser ? Et, en filigrane, quels seront les différents intervenants : autorité et opérateur de certification, ou tiers de confiance de notarisation ? En effet, les conditions dans lesquelles ces acteurs délivrent et fabriquent certificats et clés, puis archivent les transactions signées, dicteront le niveau de sécurité. Une première solution consiste, pour l’entreprise, à déployer sa propre PKI et à assumer le rôle d’autorité de certification. Tel pourra être le choix de places de marché ciblant une population d’adhérents potentiels faciles à cerner. Elles s’adresseront alors à des éditeurs comme Baltimore, Entrust, iPlanet, RSA Security ou Tivoli. Une telle démarche est toutefois lourde car elle requiert la mise en ?”uvre de plusieurs composants serveurs et d’entités organisationnelles correspondant aux autorités d’enregistrement (pour la demande de certificats), de certification (génération des certificats et clés) et de validation (contrôle de validité). De plus, le serveur qui génère certificats et clés devra être physiquement protégé. Cette démarche peut être allégée en recourant à un opérateur de certification comme Certplus ou Thalès Secure Solutions, simples prestataires techniques qui fabriquent les certificats pour le compte d’une autorité de certification.Dans d’autres cas, une externalisation plus importante s’impose. En effet, sur certaines places de marché, les utilisateurs sont occasionnels ou éloignés. Dès lors, les certificats ne peuvent guère être délivrés que par une autorité de certification indépendante et largement reconnue.

Un nécessaire maillage du territoire, pour les PSC

On parle alors de prestataire de service de certification, ou PSC. Lorsqu’il s’agit d’associer, au sein d’un certificat, une entreprise ?” ou l’un de ses employés ?”, et sa clé publique, il n’est pas question de se baser sur un formulaire rempli en ligne. L’autorité d’enregistrement doit au contraire collecter un certain nombre de documents, dans le cadre d’une rencontre réelle. Pour offrir ce service de proximité, le PSC doit quadriller le territoire. Certinomis, ChamberSign ou les principales banques françaises s’appuient ainsi respectivement sur les bureaux de poste, les chambres de commerce et les agences. Signalons encore que si Certinomis fabrique lui-même ses certificats, ChamberSign et presque toutes les banques françaises délèguent ce processus à Certplus. Créé en 1998 par quatre actionnaires ?” EADS (Aerospatiale Matra), France Télécom, Gemplus et VeriSign ?”, Certplus a accueilli, au début de 2000, les Banques populaires à son tour de table. Certplus assume, en outre, un rôle d’autorité d’enregistrement, pour le compte de VeriSign. Il se contente toutefois de fournir des certificats serveurs garantissant l’association entre un nom de domaine et l’entreprise qui l’a déposé, ce qui permet à une place de marché de s’authentifier vis-à-vis de ses adhérents.Certinomis et les banques opèrent surtout à un niveau national. Et il n’existe pas de PSC pouvant se targuer d’une forte présence mondiale. D’où la nécessité de fédérer des autorités, dans le cadre de PKI hiérarchiques dont les autorités filles sont elles-mêmes certifiées par une autorité racine. Identrus en représente l’exemple le plus fameux. Des procédures strictes, comme celles de délivrance des certificats ou de protection des locaux dans lesquels ils sont générés, ont également été définies. Identrus a, en outre, déployé un réseau IP planétaire qui permet de vérifier, en ligne, la validité du certificat d’une entreprise et celui de la banque qui l’a délivré. La PKI sera souvent mise à profit d’abord pour authentifier les utilisateurs et chiffrer les flux (plus précisément, négocier une clé secrète de session de chiffrement symétrique). Mais elle autorise aussi la signature de transactions.

Les banques constituant Identrus sont, de facto, des tiers de confiance

Il s’agit alors à la fois de prévenir les tentatives de répudiation et de présenter la preuve de la transaction à des entités tierces, comme l’administration fiscale. Ce nouveau rôle impose le déploiement de fonctions supplémentaires. Il faudra, en effet, archiver les transactions, en les associant à divers éléments de preuve, comme l’heure et la date, l’accusé de réception ou le certificat. Les tiers de confiance qui rempliront cette fonction de notarisation seront tantôt des places de marché, tantôt des sociétés spécialisées dans la protection de transactions (telle la Coface), tantôt des banques. Celles qui constituent Identrus seront d’ailleurs de facto des tiers de confiance, puisque ce consortium assume la fonction de notarisation, parallèlement à celle d’autorité de certification. En pratique, les places de marché pourront déléguer cette fonction à ces spécialistes, tandis que des éditeurs et prestataires comme ValiCert, Ubizen ou Cashware proposent à ces derniers des logiciels ou des services d’intégration ou d’externalisation. Ces tiers de confiance devront de plus archiver, durant les délais prévus par la loi, les éléments de preuve. Une fonction délicate qui pourra être déléguée à un spécialiste, tel Zantas.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Thierry Lévy-Abégnoli