 Abonnez-vous aux flux RSS  |
 [ AUTHENTIFICATION ] La PKI peut remercier Microsoft et l'open source Les petits prix des offres open source et la gestion des certificats par les produits Microsoft favorisent l'essor d'infrastructures à clés publiques. Christophe Dupont Elise , 01 Informatique, le 17/10/2005 à 07h00 « Si la technologie n'est pas rapidement adoptée, la PKI sera mort-née. » Ainsi parlait un grand éditeur au début des années 2000, dépité par l'attentisme des entreprises. Sa prophétie ne s'est heureusement pas vérifiée. Il aura fallu plus de temps que prévu aux infrastructures à clés publiques (PKI : Public Key Infrastructure) pour s'imposer comme système d'authentification et de sécurisation des échanges. Acclamée pendant les belles années de la nouvelle économie, cette technologie fut ensuite boudée par les entreprises. Les raisons sont connues : lourdeur et complexité des projets, coût prohibitif des solutions et, plus grave encore, inadéquation avec les besoins des sociétés. Lesquels n'étaient d'ailleurs pas toujours bien définis. Aujourd'hui, le contexte a changé. Les entreprises ont mûri et Microsoft et l' open source gomment les deux principaux griefs faits à la PKI. Pour une grande entreprise, le coût d'une PKI ne se chiffre plus forcément en millions de francs. Ce montant dissuasif s'expliquait à la fois par la complexité des infrastructures et la politique tarifaire des éditeurs. Une PKI est composée - au minimum - d'une autorité de certification, dont le rôle consiste à signer les certificats générés à l'aide de sa propre clé, nommée clé racine ; d'une autorité d'enregistrement chargée des demandes et de vérifier l'identité des émetteurs ; et d'un annuaire pour l'accès aux certificats et aux clés publiques. Pour chaque composant, les éditeurs ont longtemps privilégié une tarification à l'utilisateur ou pire - et c'était fréquent - au certificat. Sachant qu'un utilisateur peut disposer de plusieurs certificats et que chacun d'eux peut coûter jusqu'à 20 euros, la facture enflait rapidement et décourageait les déploiements à grande échelle. L' open source a changé la donne, comme en témoigne le succès du français IdealX, qui compte une soixantaine de grands projets. En 2003, sa première solution revenait jusqu'à dix fois moins cher que les solutions propriétaires, notamment grâce à des briques open source. L'offre d'IdealX rassemble le système Red Hat, l'annuaire OpenLDAP, le logiciel de chiffrement OpenSSL, les langages Perl et PHP.Un mode de facturation moins coûteux Par ailleurs, IdealX a pris très tôt le parti de ne pas facturer au nombre de certificats. L'estimation du prix est faite en fonction de la complexité de l'architecture, c'est-à-dire du nombre d'autorités de certification et d'enregistrement, de l'ajout d'un système d'horodatage, de la gestion de jetons (tokens), de la présence de boîtiers cryptographiques... Ces derniers temps, l'écart de prix avec les solutions commerciales s'est resserré. Les éditeurs les plus chers ont disparu et la concurrence a fait le reste. La seconde cause du désintérêt et de l'échec patent des projets de PKI se situait dans l'absence d'utilité immédiate. Lorsqu'une entreprise arrivait au terme de son déploiement, elle constatait qu'elle ne pouvait pas toujours exploiter sa belle machine à plein rendement. « Les PKI avaient beau aboutir, aucune application ne savait utiliser les certificats » , note Sébastien Abdi, responsable du département sécurité de la société IdealX. Les exemples ne manquent pas. Jusqu'à la version 5.5, le client Notes de Lotus n'autorisait pas la signature d'un courriel. Pour sa part, le serveur d'applications Websphere d'IBM ne gérait pas de clés d'une taille supérieure à 1024 bits, pourtant nécessaire à la clé racine. Et la base de données d'Oracle souffrait d'une insuffisance similaire. A la décharge des éditeurs, il faut noter que, jusqu'en 1998, l'exportation des outils cryptographiques - indispensables en PKI - était particulièrement contraignante. Ces défaillances cumulées amplifiaient la complexité naturelle de la PKI. L'exemple de Sébastien Abdi est révélateur : « Pour mettre en place des certificats numériques dans Lotus, il fallait refondre l'architecture de la messagerie. » Globalement, ces éditeurs ont tardé à faire confiance au potentiel de la PKI. Au contraire de Microsoft. Ce dernier a intégré assez tôt les fonctions de cryptographie asymétrique. Depuis Windows 2000, la gestion des certificats est disponible. Windows 2000 PKI utilise ainsi l'annuaire Active Directory pour stocker les certificats, les listes de révocation et les politiques de certification. La PKI est également prise en compte dans le client de messagerie Outlook et le serveur Exchange. Tous les utilisateurs de son système d'exploitation ont pu s'essayer aux notions de certificats, de clé publique et de clé privée, en signant des courriers et des documents. Toutefois, l'éditeur tâtonnait encore avec Windows 2000. Ainsi, stocker les certificats en dehors d'Active Directory, voire dialoguer avec un annuaire LDAP, était pratiquement impossible. C'est surtout avec Windows 2003 que la PKI de Microsoft est devenue réellement utilisable en entreprise. Quand le leader des systèmes d'exploitation et du logiciel de messagerie décide que ses produits intégreront ou sauront gérer les certificats, l'entreprise sait que son infrastructure à clés publiques lui sera utile. L'arrivée en 2006 de Vista (anciennement nom de code Longhorn), la prochaine mouture du système d'exploitation de Microsoft, devrait renforcer cette tendance en allant jusqu'à intégrer des certificats pour signer les matériels, et communiquer avec les processeurs d'Intel.Single Sign On et gestion d'identités tirent la PKI Dans un autre registre, l'éditeur de Redmond a contribué à populariser la PKI par le terme moins barbare de certificat, présent dans les logiciels familiers des utilisateurs. Jacques Parent, autorité qualifiée en matière de sécurité des systèmes d'information pour le Port autonome de Marseille, confirme tout en relativisant le rôle joué par Microsoft. « Les utilisateurs font de la PKI sans le savoir. Microsoft a surtout popularisé le vocable - certificats, signature, etc. -, mais je rencontre encore des entreprises qui me disent recourir à des clés publiques, signer, mais ne savent pas ce qu'est une autorité de certification. » Coûts maîtrisés, technologies abouties, la PKI entre désormais dans les entreprises. Et on ne se lance plus dans un tel projet sans objectifs précis. C'est le constat que dresse Sébastien Abdi. « Aujourd'hui la PKI est tirée par le besoin de Single Sign On ou de gestion d'identités ». Les applications de signature unique (SSO) savent toutes gérer les certificats et les systèmes d'exploitation de Microsoft mettent en oeuvre l'authentification par carte à puce. Dans le cas de la gestion d'identités, le certificat est une pièce d'identité numérique, la PKI prend alors tout son sens pour compléter un tel projet. Le chiffrement n'est désormais que le troisième levier. Il reprend de l'intérêt avec les réseaux privés virtuels pour une gestion massive de clés partagées. Malgré la nouvelle maturité technologique de l'infrastructure à clés publiques, des limites perdurent. Si les applications gèrent les certificats, elles ne le font souvent qu'a minima. « Certaines applications ne tiennent pas compte de manière satisfaisante de tous les renseignements fournis par le certificat », prévient Louis Di Benedetto, chef de la mission sécurité des systèmes d'information au ministère de l'Agriculture et de la Pêche. Cette administration a pu constater, en effet, que certains certificats reconnus par le client de messagerie libre Thunderbird ne l'étaient pas par Outlook. Il faut, dans ce cas, ajouter des informations à celles contenues dans le certificat, ou travailler directement sur l'application. Cette seconde option nécessite un investissement guère compatible avec les contraintes des entreprises. Un autre problème se pose concernant les applications : si elles intègrent le certificat à la place du couple identifiant/mot de passe, elles conservent souvent la gestion des droits de l'utilisateur dans leur propre base de données. Or, les entreprises préfèrent que l'application récupère les droits de l'utilisateur au travers de l'annuaire LDAP. Ce qui correspond mieux à une gestion d'identités centralisée, et valide l'intérêt de certificats d'identités délivrés aux utilisateurs.
Autorité d'enregistrement
Autorité de certification
Certificat
Clé publique, clé privée
Liste de révocation
PKI
(Public Key Infrastructure)
Signature électronique
Livre blanc d'IdealX.
| ||||||||||||||||||||||||||||
|
|
|
Question d'argent
 conversation high-tech Iriséo : la mosquée de Limoges en 3D |
 conversation high-tech TimGroup : structurer et publier des documentations techniques |
 logiciel Les widgets Vista, nouvelle interface des progiciels Coda |
||
|
||||
|
||||
 |
||||
 |
Pour retrouver toute l'actualité des collectivités locales Cliquez ici
|
 |
 |
||
 |
|
 L'actualité des .com, des .fr,des .biz... chroniquée par Jean-François Poussard (MailClub) Cette semaine : L’Allemagne, toujours reine du monde
|
|
||
|
|
|
|
|
|
 |
|
|
 |
Optimisez les performances de votre PC !
PC Booster effectue automatiquement et en quelques minutes seulement un diagnostic complet de votre configuration système et propose les réglages nécéssaire à son optimisation.
|
 |
|
Pour retrouver tout le test des hébergeursCliquez ici
|
 |
 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
01net.com, en partenariat avec  , mesure chaque semaine les performances des opérateurs VoIP |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
 |
 |
|
| Abonnez-vous gratuitement ! | |
|
|
|
 |
|
 |
Informatique, Internet : état des lieux dans les entreprises françaises |
 |
|
|
Avec la « Business Class », AMD veut faire durer ses PC |
|
|
|
Iriséo : la mosquée de Limoges en 3D |
|
|
|
La Mairie de Paris affiche ses informations grâce au M2M |
|
|
|
Adobe ouvre son format Flash pour mieux le diffuser |
|
|
| > tout le classement |
|
 |
|
EyeOS, un système d’exploitation sur InternetIBM lance AIX 6 en version bêta publiqueUne école de management publie gratuitement ses cours sur Internet
|
|
écrire à l'auteur
imprimer
envoyer par mail
