Une meilleure sécurité pour les transactions en ligne
Jean-Pierre Blettner
Les infrastructures de sécurité du web doivent se renforcer. En matière d'authentification, les initiatives se multiplient. Parallèlement, le secteur des services et celui de la biométrie vivent sous le signe de la consolidation, tandis que le secteur des coupe-feu fait peau neuve.
Jean-Pierre Blettner
, 01 Réseaux,
le 11/12/2002 à 10h00
Comment pouvez-vous prouver votre identité ? Si, dans la vie courante, il suffit d'un passeport pour y parvenir, sur internet, il n'existe toujours pas d'équivalent. Et le ralentissement actuel des investissements des entreprises n'aide pas à résoudre le problème. Dans le camp des fournisseurs établis, c'est marée basse, voire la bérézina.
En cette fin d'année 2002, RSA Security et Vasco, spécialistes de l'authentification forte, voient leurs revenus fondre de 20 %. C'est également le reflux chez les apôtres de la PKI. Baltimore Technologies, Entrust et Utimaco Safeware gagnent moins d'argent qu'en 2001.
Alors, faut-il se résigner à ne pas disposer d'une véritable authentification, dès lors qu'il s'agit d'internet ? En fait, face à l'importance des enjeux, chaque marché (B to B, B to C et e-gouvernement) continue de susciter des initiatives. Les plates-formes PKI en logiciels libres ont ainsi le vent en poupe. France Télécom R&D vient de bâtir une solution de ce type autour de
" briques "
de signature, d'authentification et d'horodatage en Open Source.
Un prix exorbitant pour les certificats numériques
" Le coût est nettement moins élevé "
, résume Thierry Baritaud, responsable du projet chez France Télécom R&D, une entité qui emploie 3 500 personnes.
" Le prix des certificats numériques du commerce est exorbitant "
, confirme Edouard Jeanson, consultant chez Cap Gemini Ernst & Young, qui voit même 2003 comme l'année de la PKI Open Source.
" L'Open Source est plus sécurisé, car son code source est accessible, au contraire de solutions comme celles de Baltimore, d'Entrust ou de VeriSign "
, conclut-il. Chez France Télécom, le développement aura tout de même mobilisé une équipe de cinq personnes durant un an, sans compter l'expérience de précédents déploiements - restreints - de solutions commerciales. Au passage, Thierry Baritaud explique l'échec de tant de projets PKI :
" Jusqu'à présent, nous avions l'infrastructure, mais pas les services à valeur ajoutée. "
La PKI de France Télécom R&D s'adresse aux responsables des achats, pour la signature des appels d'offres ou des bons de commande d'e-procurement ; ainsi qu'aux ressources humaines, pour la gestion du personnel. Sans compter, le chiffrement et la signature de la messagerie. À terme, les partenaires de France Télécom R&D devraient se voir confier des certificats, afin de commercer sur un extranet. Reste le risque que cela ne demeure au stade de projet, les solutions basées sur des PKI étant soumises à tant d'aléas. CPGmarket, la place de marché des géants de l'alimentaire (comme Coca-cola) et de leurs fournisseurs (tel Pechiney) pensait à la PKI à la fin 2001. Elle s'est repliée sur le protocole EDI-INT AS2. Les échanges sont sécurisés via webMethods, en utilisant le format S/Mime.
Djamel Agaoua, directeur de la place de marché AchatPro, précise l'usage des certificats numériques en B to B :
" Lors d'enchères inversées, la signature est indispensable, afin qu'il ne puisse y avoir de répudiation. Pour de l'e-procurement sur des achats d'un faible montant
[dans le cas d'AchatPro, NDLR]
, un identifiant et un mot de passe suffisent. "
Et de poursuivre :
" Le marché de masse des certificats concerne des entreprises de taille moyenne, qui paieront en ligne. Employer un certificat uniquement pour de l'e-procurement et de la dématérialisation de la facture reste une option pour les entreprises sensibles à la sécurité. Mais e-procurement, e-billing et e-payment deviendront de plus en plus interdépendants. "
Des échecs qui peuvent s'expliquer
En attendant, seuls cinq clients testent cette possibilité sur AchatPro, via une carte à puce et des certificats Click & Trust. Autres cas : des pilotes d'e-banking en B to B - lancés fin 2001 -, sécurisés par PKI, ont, depuis, été arrêtés. C'est le cas de Key OnLine Banking, de la Lloyds, (gestion de comptes) ; ou de SafeZone, de Barclays (archivage d'e-mails signés). L'immaturité du marché et l'existence de services similaires sur des réseaux privés, jointes aux difficultés d'assurer le support des lecteurs de cartes à puce, expliquent ces échecs.
Toutefois, l'arrivée des cartes bancaires à puce EMV ouvre de nouveaux horizons. Les banques entendent rentabiliser les énormes investissements consentis pour l'occasion. L'Union des banques suisses va ainsi ouvrir à un demi-million de ses clients dans le monde des services d'e-banking B to C, sécurisés par carte EMV dédiée. Ces clients recevront un lecteur de cartes au format calculette, qui durcira le processus d'authentification en ligne. Cette calculette, également adoptée par MasterCard, est fournie par Xiring, une petite société dont les revenus vont presque doubler en 2002 !
" Ce mode d'authentification est lourd "
, commente Daniel Savoyen, chef de service sécurité et certification au Cedicam (Crédit Agricole). Partisan de la PKI, il déploie une infrastructure de ce type au Crédit Agricole. Plusieurs centaines de certificats sont déjà en activité, et leur nombre devrait passer à plusieurs milliers dès 2003. Sa vision consisterait plutôt à héberger - à terme - des certificats X509 sur des cartes bancaires EMV.
" Resterait à trouver le lecteur ad hoc "
, termine-t-il. Il faudra, enfin, pallier un inconvénient des cartes à puce : l'oubli, par son utilisateur du code PIN (
Personal identification number
). Un inconvénient que l'on peut éviter en recourant à la biométrie, susceptible de renforcer dans le même temps le processus d'identification. La lecture des empreintes digitales arrive alors en tête, selon les analystes d'IBG (International Biometric Group), et représenterait 50 % des investissements. Ce que confirme le GartnerGroup, qui parie sur le succès de cette technologie, devant les autres segments de la biométrie : identification du visage, de la main, de la voix, de la signature et de l'iris.
IBG table sur un démarrage en flèche des solutions de biométrie, qui pèseraient 2,2 milliards de dollars dans trois ans, soit presque l'équivalent du marché actuel des firewalls et des équipements VPN. Mais, il y a loin de la coupe aux lèvres.
" Le secteur de la biométrie est composé de centaines de petites sociétés très orientées vers la technologie "
, souligne Ant Allan, du GartnerGroup.
Dès lors, une phase de consolidation du marché sera nécessaire avant de passer réellement à l'industrialisation des solutions. D'autre part, certains mettent en doute la capacité de ces solutions à accomplir le service attendu. Ainsi, notre confrère allemand C'T (http://heise.de/ct/english/2novembre/114/ ) pointe une série de lacunes lors de tests, qui montrent que certains systèmes se contournent trop aisément.
Si, dans le monde de l'authentification, rien n'est simple, tout se complique dans un autre grand secteur de la sécurité : les firewalls. Jusqu'alors, Cisco et Check Point Software se partageaient environ la moitié de ce marché. Or, les revenus de Check Point chutent de 22 % sur les neuf premiers mois de 2002.
Parallèlement, la concurrence s'est renforcée, centrée sur les PME-PMI, avec des constructeurs poids moyens comme NetScreen, SonicWALL, et WatchGuard. Ceux-ci ont optimisé leurs canaux de distribution, et mettent l'accent sur les Asic spécialisés pour améliorer les performances. À ce jeu, NetScreen s'en tire haut la main, avec une croissance de 60 %. Ses rivaux restent stables, mais
" nous venons de rénover nos gammes "
, annonce, combatif, Bill Roach, p.-d.g. de SonicWALL.
Cependant, une redistribution des cartes se prépare, car les besoins évoluent. En effet, le trafic internet transporte désormais de nombreux flux commerciaux via le protocole HTTP. Les hackers profitent de ce canal pour lancer des attaques, dites applicatives, des serveurs web.
Analyser en profondeur le trafic internet
Il devient donc nécessaire d'analyser en profondeur ce trafic. Nombre de petites sociétés, tels Arkoon, Axiliance, Deny-All (filiale de la Société Générale), Kavado, NetSecure Software, S21sec, Sanctum, Spi Dynamics ou Stratum8 Networks, revendiquent ce marché. Les plus récentes prennent en compte le traitement des documents XML. Cette complexification des protections laisse augurer une montée en puissance des services de sécurité externalisés. Le marché européen pesait environ 1,9 milliard d'euros en 2001, et est crédité de 5,9 milliards en 2006, soit 26 % de croissance annuelle, selon IDC.
Néanmoins, le cabinet américain attire l'attention sur le manque de compréhension des enjeux par les entreprises ; l'offre de services émiettée (qui suppose une consolidation du secteur) ; et le télescopage des discours des fournisseurs. Le tout risque de brider la croissance.
Le cabinet In-Stat/MDR, lui, souligne l'inversion du type de prestation. En 2001, le conseil est en tête. En 2006, c'est la supervision. Les antivirus et les firewalls sont alors les plus souvent cités comme susceptibles d'être externalisés par les responsables réseaux interviewés.
En conclusion, on remarquera que les seuls fournisseurs de la sécurité à continuer de bénéficier de l'irruption d'internet dans les entreprises sont les spécialistes de l'antivirus. Leur modèle économique est moins dépendant des investissements des entreprises, puisque leurs clients sont devenus des abonnés pour la mise à jour des signatures antivirales. Résultat : ils sont en croissance de plus de 30 % - la meilleure du secteur -, qu'il s'agisse de Networks Associates, de Symantec, de Sophos ou de Trend Micro.
Attaques applicatives et attaques Web : de quoi parle-t-on ?
Le terme d'analyse applicative ne recoupe pas le même segment de sécurité selon l'interlocuteur. Ainsi, pour revendiquer ce type d'analyse, il suffit à un constructeur de coupe-feu d'inspecter au niveau 7 les protocoles FTP ou HTTP, en vérifiant leur bonne conformité ou en interdisant certaines commandes FTP. D'autres acteurs, tels Arkoon ou Symantec, y ajoutent une vérification de la taille des URL. Mais ils ne feront pas ce que Sanctum (le leader mondial, selon IDC) ou Kavado réalisent pour se protéger du SQL Injection, pour ne citer qu'un exemple. Ces solutions s'intercalent entre le coupe-feu et le frontal HTTP en tant que reverse proxy. Elles complètent le pare-feu et les outils de détection d'intrusions, même si un recouvrement est toujours possible.
O. M.
Le secteur des MSSP (Managed Security Services Provider) se structure
Le paysage des MSSP s'organise. Intexxia a disparu en septembre, et de jeunes pousses (tels Kerberos et Synelec Networks) tentent leur chance. Les " purs " MSSP rencontrent une vive concurrence de la part des opérateurs télécoms, tels France Télécom et T-Systems.
|
 |
| Abonnez-vous gratuitement ! |
|
|
Recevez les actus
en temps réel !
01 Informatique
L'hebdo de référence des décideurs informatiques.
Micro Hebdo
L'hebdo qui vous simplifie la micro et Internet.
L'Ordinateur Individuel
Le mensuel informatique qui vous informe et vous conseille.
| 
Question d'argent
Cliquez ici
L'actualité des .com, des .fr,
, mesure chaque semaine les performances des hébergeurs
François Enaud (Steria) : « Les salariés sont les premiers actionnaires du groupe »
écrire à l'auteur
imprimer
envoyer par mail
