La PKI, une solution universelle qui doit faire ses preuves

L’objectif de la PKI est de faire dialoguer des entités qui ne se connaissent pas, mais qui font confiance à une ou plusieurs entités communes.” Cette définition d’Yves Le Roux, consultant sécurité chez Entrust, résume a elle seule les ambitions de la PKI (Public Key Infrastructure) : tout authentifier, tout chiffrer et tout signer dans l’entreprise.Au c?”ur de la PKI : le certificat X. 509. Il s’agit d’une identité numérique qui sera délivrée à chaque collaborateur. Véritable passeport informatique, le certificat contient la clé publique de l’utilisateur et toute une série d’informations liées à son identité. Un certificat possède une durée de vie et il est chiffré, puis signé par l’autorité supérieure qui se charge de le délivrer après avoir vérifié l’identité de l’utilisateur selon les critères décidés par l’entreprise. Le certificat peut être émis et géré en interne ou bien acheté à une société tierce et géré à distance.

La PKI, un chantier d’envergure

Une fois ce ” passeport ” émis, le rôle de la PKI est de s’assurer qu’il est transmis et contrôlé à chaque accès à un service nécessitant une authentification. En cela, la PKI n’est qu’une infrastructure doublée de principes de contrôles, à l’image d’un réseau autoroutier et de ses péages. Les applications elles-mêmes sont ensuite ajoutées selon les besoins, telles des briques logicielles. Les principaux vendeurs de PKI (Baltimore, Entrust…) proposent des logiciels de chiffrement de courrier électronique, d’authentification client-serveur, etc. , compatibles avec une PKI fondée sur des certificats X. 509. En outre, de plus en plus d’éditeurs de logiciels propriétaires rendent leurs outils intégrables à une PKI. Enfin, il arrive que des éditeurs de PKI offrent des API de programmation afin d’intégrer aux développements internes des fonctions de vérification ou de révocation des certificats. Cela autorise l’intégration d’applications existantes à une PKI, au prix du développement d’une interface maison. Hélas, puisque la PKI est une infrastructure, et non une simple brique logicielle que l’on installe ” pour voir “, la déployer est un véritable projet d’entreprise. Cela exige de mettre à plat l’organisation de la société (Qui accède à quelle information ? Comment ? etc. ) et de faire des choix technologiques (posséder sa propre autorité de certification ou acheter les certificats à un tiers ? Quid des logiciels critiques à l’activité ?). Bien que des offres de PKI simplifiée arrivent, tout le monde n’est pas prêt aujourd’hui à mettre à plat son système d’information.

Cas d’entreprise : Schlumberger adopte la PKI

Schlumberger avait des besoins d’ouverture accrus de son système d’information et souhaitait administrer la sécurité d’une manière globale. La solution devait pouvoir s’intégrer avec l’infrastructure LDAP et VPN existante, et permettre l’authentification forte et la signature électronique avec une garantie de confidentialité des données. La PKI s’est imposée, pour ses capacités de gestion centralisée et son évolutivité. L’infrastructure fournie par Entrust, couplée à la carte à puce de Schlumberger et associée aux processus d’administration mis en ?”uvre par Schlumberger Network Services, est en cours de déploiement. ” Un pourcentage non négligeable du personnel est équipé de carte à puce Il reste désormais aux applications à être adaptées à la PKI “, explique Antoine Chamieh. Toutes les nouvelles applications développées en interne devront supporter une authentification PKI/LDAP. ” Il est trop tôt pour tirer des conclusions. Les vrais bénéfices seront perceptibles lorsque toutes les applications seront authentifiées par des procédures telles que Single Sign-On et gestion centralisée des autorisations. Mais ce qui est certain, c’est que la PKI nous permet, d’être prêts à aborder la problématique de l’e-commerce avec tous nos partenaires “.

Schlumberger

L’avis de l’expert Marc Ayadi directeur de mission dans l’équipe PKI chez Ernst & Young

Pour Marc Ayadi, l’entreprise est confrontée à quatre besoins clés en termes de sécurité : l’authentification, l’impossibilité de rétractation des messages, la confidentialité des informations et le contrôle d’accès. “Ces besoins sont comblés par divers systèmes hétérogènes qui, souvent, entra”nent des coûts et des problèmes de compatibilité. La PKI peut fédérer tout cela par l’utilisation du chiffrement asymétrique et offre un socle commun capable de rendre tous ces différents services de sécurité“, explique Marc Ayadi. La PKI répond en effet à ce besoin d’une façon fiable, forte et proche de l’utilisateur. “Une PKI gère les clés bien plus facilement que ne le permet le modèle Kerberos, par exemple, qui repose sur du chiffrement symétrique. ” Bien sûr, s’empresse de préciser Marc Ayadi, le chiffrement symétrique n’est pas mort pour autant face à la PKI. “Ce sont deux applications complémentaires : les algorithmes symétriques sont plus performants, tandis que le chiffrement asymétrique est plus simple à gérer. “

Enfin, pour ce qui est du bénéfice de la PKI, Marc Ayadi porte de grands espoirs sur la PMI (Privilege Management Infrastructure), qui permet de stocker dans un certificat un profil applicatif pour chaque employé, indiquant toutes les applications qu’il est habilité à utiliser.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Jérôme Saiz