Infrastructures à clés publiques : Certplus profite des hésitations de l'État

Faute d’un cadre technique national garantissant la pérennité et l’interopérabilité des solutions d’infrastructure à clés publiques (ICP ?” PKI, en anglais), c’est la loi du plus fort qui s’impose. Dans ce contexte, c’est, sans surprise, l’opérateur Certplus qui tire le mieux son épingle du jeu. Il cumule les trois quarts des quelque trente-cinq mille certificats recensés en circulation sur le marché français. Ce faisant, il profite de l’appui de Gemplus et de France Télécom. Estimant cette activité stratégique, ces deux actionnaires fondateurs ont ainsi épongé une dette de 5 millions d’euros, soit deux fois plus que son chiffre d’affaires en 2001. En contrepartie de quoi, son parrain américain, Verisign, lui accorde une nouvelle ligne de crédit. Parallèlement, le nouveau PDG de Certplus, Sami Baghdadi, avoue être à la recherche d’un nouvel actionnaire français suite à la récente défection d’EADS, qui liquide une participation héritée de son absorption de Matra Hautes Technologies.

Certplus rentabilise les certificats serveurs SSL

Sans perdre de vue les grands chantiers concernant l’Administration, Certplus concentre dans l’immédiat son tir sur le marché des certificats serveurs SSL. Rapides à mettre en ?”uvre, ils présentent l’avantage de générer des revenus immédiats et récurrents. Succédanés de signature électronique, les certificats serveurs SSL effectuent une authentification au rabais. Ils se limitent à un contrôle d’accès sur des serveurs marchands ou intranets. Certplus assure déjà compter parmi ses clients une belle brochette de grands comptes français, dont Air France, PSA, ou encore Bouygues. Pariant sur une banalisation rapide de ce marché, Sami Baghdadi vise, pour la fin de cette année, une base installée française de trois cents de ces certificats dans les grandes entreprises. Pour atteindre cet objectif, il bénéficie du précieux appui de Verisign. Celui-ci exerce, à l’échelle mondiale, un quasi-monopole sur les certificats serveurs SSL et centralise leur émission pour ses affiliés régionaux, dont, bien entendu, Certplus. Ce dernier mise aussi beaucoup sur son exploitation d’un réseau d’une demi-douzaine d’autorités de certification, qui s’adossent à ses ressources techniques et qui, en contrepartie, lui reversent un loyer. La plupart de ces autorités de certification sont des banques, à l’instar de la Société Générale ou de BNP Paribas, ralliées dans le cadre du projet TéléTVA, lancé l’année dernière par le ministère des Finances. Mais le plus fidèle et le plus ancien partenaire bancaire de Certplus est la Bred Banque Populaire. Les prestations de son autorité de certification, appelée Click-and-Trust, vont au-delà des téléprocédures basées sur la délivrance d’un certificat logiciel. “Nous définissons pour notre client les règles de sécurité et ciblons la signature électronique pour tout type de document, tel un contrat, qui impose le recours à la carte à puce”, souligne Christophe Chancel, directeur marketing de Click-and-Trust. Il concède toutefois que ses déploiements sont rares et qu’ils sont, de surcroît, limités à des communautés fermées d’utilisateurs. Il regrette en outre, sur ces types de déploiement, le positionnement parfois flou adopté par Certplus ?” par exemple, sa décision de vendre en direct auprès d’Airbus des services de sécurisation de son extranet.

CertEurope rejoint indirectement les affiliés de Certplus

En dépit de ces contrariétés, Click-and-Trust s’avère un fidèle soldat de Certplus. A titre d’exemple, cet été, l’autorité de certification fait évoluer les rapports de forces en laissant entrer dans son giron CertEurope, l’un des deux principaux opérateurs concurrents de Certplus. CertEurope est le fournisseur attitré des professions réglementées et du chiffre. Evincé par son précédent hébergeur, Thales Secure Solutions, il lutte pour sa survie. Il a réussi in extremis, en juin, à procéder à une augmentation de capital de 1,1 million d’euros. Difficile pour lui, dans ces circonstances, de résister aux tarifs avantageux d’hébergement que lui a opportunément proposés Click-and-Trust. Résultat : cet été, CertEurope a installé ses serveurs dans la salle blanche qu’exploite SchlumbergerSema pour le compte des Banques Populaires, à Croissy-Beaubourg, dans l’Est parisien. Selon le directeur général de CertEurope, Philippe Fabre-Falret, il ne s’agirait là que d’une solution à court terme pour parer au plus pressé. Même s’il avoue que, d’ores et déjà, des actions commerciales conjointes sont prévues avec Click-and-Trust, qui héberge à Croissy-Beaubourg ses services d’enregistrement et de relation client.CertEurope compte parmi ses clients l’autorité de certification Ouverture du Chaînon Manquant, créée par le syndicat des experts-comptables de France (ECF). Suite à l’émission d’une nouvelle clé racine à Croissy-Beaubourg, le Chaînon Manquant met les bouchées doubles pour recréer une hiérarchie nationale d’autorités d’enregistrement maîtres. Cette dernière fédère en son sein plus d’une soixante de cabinets d’experts-comptables membres d’ECF. Ils héritent de clients tels les bureaux d’études de Renault ou TF1 Publicité, recrutés lorsque CertEurope était hébergé par Thales Secure Solutions. Le Chaînon Manquant est la seule autorité à imposer une signature électronique intégralement fondée sur la carte à puce. De plus, ses solutions, fournies par Utimaco Safeware, sont certifiées et reconnues sur d’autres marchés européens. CertEurope a pour deuxième autorité de certification opérationnelle Certigreffe, exploitée, elle, par le réseau national des tribunaux des greffiers ?” à l’exception de l’antenne parisienne, qui fait bande à part. Son infrastructure à clés publiques est également en cours de redéploiement.

Certinomis décroche face à Certplus

Troisième grand opérateur français, Certinomis, conserve jalousement son indépendance par rapport à Certplus. Il bénéficie, pour cela, de la protection rapprochée de son actionnaire de référence, La Poste. Depuis la fin juillet, ce dernier détient désormais 100 % de son capital suite au retrait de son fournisseur Sagem. Mais cet opérateur vétéran se voit de plus en plus distancé par Certplus. Il exploite quatre fois moins de certificats que son concurrent historique. Son directeur général, Didier Arpin, reconnaît d’ailleurs qu’il s’agit aujourd’hui essentiellement d’un marché de renouvellement de certificats existants. Pour inverser la donne, il plaide pour l’élargissement du projet TéléTVA à l’ensemble des deux cent cinquante mille entreprises françaises, et non plus seulement aux quelque dix-sept mille réalisant un chiffre d’affaires de plus de 15 millions d’euros. Il appelle aussi de ses v?”ux la mise en place d’un certificat unique, que les entreprises puissent utiliser pour l’ensemble de leurs déclarations auprès de l’Administration. A ses yeux, la condition sine qua non pour amorcer ce virage passe par la création, par l’Etat, d’une autorité racine nationale. Une étape qui poserait enfin en France le fondement de l’interopérabilité des infrastructures à clés publiques.

Concurrence : Mediacert dispute à Certplus les faveurs des banques

“En vue de faire jouer la concurrence, les banques nous ont demandé de nous positionner sur le marché de la signature électronique “, assure Harris Monteiro Da Silva, directeur du développement de l’opérateur de certification Mediacert. Mais force est de constater que, pour l’instant, c’est son concurrent Certplus qui bénéficie des faveurs des banques ?” Société Générale, BNP Paribas, Crédit Agricole, etc. L’année dernière, celles-ci l’ont massivement plébiscité pour lancer leurs offres TéléTVA. Mais Certplus ne transforme pas l’essai. En dépit de fortes sollicitations de sa part, les banques refusent d’entrer dans son capital, exception faite d’une participation minoritaire antérieure, détenue par la Bred. Voyant là une occasion à saisir, Mediacert parie sur l’implantation de sa maison mère, Atos Origin, dans le secteur bancaire, où elle réalise un tiers de son chiffre d’affaires. Et, comme aime à le rappeler Harris Monteiro Da Silva, la plate-forme Mediacert est hébergée à Blois, où Atos Origin exploite également ses serveurs de traitement de flux monétiques de la carte bancaire. Par ailleurs, pour favoriser l’entrée dans l’arène de Mediacert, il table sur la publication par la banque, cette rentrée, d’un cadre technique qui structure l’interopérabilité des offres. A suivre, donc.

Réglementation : le ministère de l’Intérieur prêche pour un cadre basé sur une clé racine nationale et sur la carte à puce

Ces deux conditions permettraient d’équilibrer la concurrence et de relancer le marché de la signature électronique.

Le ministère de l’Intérieur va-t-il pousser l’Administration à faire son aggiornamento sur les infrastructures à clés publiques ? Il est le premier poids lourd gouvernemental à appeler à la création urgente d’une clé racine nationale. Celle-ci est indispensable pour encadrer la multiplication des initiatives ministérielles, explique-t-on à sa Direction des transmissions et de l’informatique (DTI). Autre première : ce ministère plaide ouvertement pour l’emploi systématique d’une carte à puce. Ne manquant pas de souligner que son niveau de sécurité doit être certifié par une évaluation conforme aux Critères communs (ISO 15048).

Prêchant, dans le même temps, pour sa propre chapelle, la place Beauvau prône une carte à puce d’identité. Initialement prévue pour être une carte citoyenne, déployée à plus de dix millions d’unités, celle-ci prend aujourd’hui la forme plus modeste d’une carte d’identité des fonctionnaires. Le nombre de porteurs potentiels s’élève à deux millions cinq cent mille. Le projet de carte citoyenne achoppe, entre autres, sur l’accès au Registre civil, détenu par le ministère de la Justice. Ces données doivent servir à garantir l’identité du porteur et à le relier à sa carte, explique-t-on à la DTI.

Des spécifications techniques épinglées

La carte d’identité fait aussi face à la dynamique générée par la signature électronique. Au nom des collectivités locales, l’Adep (Association pour le développement des téléprocédures) valide actuellement un projet pilote, déployé en partenariat avec Certplus sur quatre départements, dont les Yvelines et les Deux-Sèvres. Il serait en voie d’être étendu à trente-deux départements. L’une des applications de signature électronique concerne le contrôle de la légalité dans les échanges entre mairies et préfectures. Déterminée à aller de l’avant, l’Adep exprime son scepticisme quant à la pérennité des spécifications techniques définies par le ministère de l’Intérieur pour sa plate-forme d’identification.

Sur les fondamentaux, en revanche, l’Adep est sur la même longueur d’onde. Tout comme son ministère de tutelle, il est favorable à l’emploi de la carte à puce et à un enregistrement des porteurs sous la responsabilité de la police judiciaire. Il récuse les schémas à court terme, véhiculés jusqu’alors par les projets TéléTVA et TéléIR du ministère des Finances. Allant même jusqu’à incriminer, à ce sujet, la délivrance de ” certificats de complaisance “. On murmure toutefois que Bercy, qui planche sur la signature électronique depuis plusieurs années, serait enfin en train de revoir sa copie. La vraie clé du déclic ?

Bart Preneel (université catholique de Louvain) : ” L’Administration doit se former aux ICP “

Seul l’Etat possède le poids suffisant pour imposer des normes de sécurité. C’est l’unique solution pour faire avancer le marché. Les fournisseurs adoptent délibérément une stratégie de non-interopérabilité. Or, la réussite d’une infrastructure à clés publiques (ICP) impose le respect d’une discipline forte et de règles rigoureuses. Ici, en Belgique, le gouvernement a récemment publié un cahier des charges à l’intention des fournisseurs de solutions d’ICP. Il définit à la fois les attributs contenus dans les certificats, les modalités techniques de génération des clés sur la carte à puce, ainsi que les procédures d’enregistrement en face à face des porteurs. Pour l’instant, Belgacom est l’opérateur de la clé racine. L’un des principaux obstacles demeure la carence de compétences techniques dans les administrations. La maîtrise des technologies dICP nécessite une formation sur la durée.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Samuel Cadogan