” La PKI est aussi utile dans un contexte B to B que dans un contexte B to C. L’émetteur ne peut plus répudier les messages envoyés et signés, ce que les autres techniques n’autorisent pas “, assure Stéphane Ménager, consultant PKI chez Neurocom. Guillaume Malgras, consultant sécurité chez CF6 (groupe Telindus), récuse en partie cette affirmation.“En B to C, la PKI ne sert à rien, estime-t-il. L’internaute n’est pas prêt à sacrifier une partie de sa vie privée (vérification de qui a acheté quoi et quand) au profit des sites de commerce électronique. Pour ces derniers, la pertinence de la PKI n’est pas non plus évidente. Elle implique de connaître ses clients, de les enregistrer et d’établir des statistiques. Ces données deviennent à leur tour des biens échangeables, malgré la législation en vigueur”, remarque-t-il encore.Le serveur Web doit également être authentifié. L’association ne se fait plus uniquement entre entités physiques, mais entre un nom de domaine et un certificat. Cela n’empêchera pas une personne malintentionnée de créer un site commercial dûment agréé et certifié… où de faux produits seront réglés par de vrais numéros de carte bancaire fournis par les utilisateurs. Un pirate peut aussi prendre la main sur la machine d’un utilisateur et se faire passer pour ce particulier, par ailleurs certifié fiable ! Ces problèmes sont plus aigus en B to C qu’en B to B. “Plus le niveau de sécurité se voudra élevé, plus la solution sera complexe pour éliminer le piratage”, observe Stéphane Ménager.En outre, le recours aux PKI nécessite des composants d’infrastructure, comme les annuaires (LDAP ou X509) ou des listes de révocation (CRL), “dont la mise en place est rendue d’autant plus ardue de par la taille de l’infrastructure sous-jacente : Internet”, note Laurent Stoffel, p.-d.g. d’Intranode.
La carte à puce, au secours de la PKI
“Si la PKI est gérée à partir d’une solution logicielle, c’est-à-dire du PC dans lequel la clé privée et le certificat résident, les services offerts par la signature électronique peuvent être piratés depuis ce PC. Le User ID et le mot de passe statique de l’utilisateur suffisent pour effectuer des signatures à sa place. La clé privée et le certificat de l’utilisateur doivent être générés et stockés à l’extérieur du PC soit dans une carte WIM (Wireless identification module) dans un GSM, soit dans une carte à puce ou tout autre terminal portable et sécurisé”, confirme, pour sa part, Frédéric Engel, responsable marketing chez ActivCard.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
