Comment sécuriser par PKI et carte à puce des services à destination du grand public ? Quand on compte en millions d’individus, délivrer à chacun une carte et un lecteur est une tâche colossale. “En Suède, c’est la poste qui distribue les cartes et les lecteurs. Les services disponibles vont des relations avec l’administration ou la sécurité sociale au e-banking”, explique Carl-Hein Bassi, responsable des ventes de Nexus, qui a réalisé le projet. Chaque application requiert une clé privée spécifique, délivrée par la poste au nom des autorités concernées. “Le lecteur se raccorde au PC domestique. Environ soixante-quinze mille certificats sont en activité”, poursuit-il.D’autres préfèrent convertir le téléphone mobile en terminal de lecture, et inscrire les certificats sur la carte SIM de l’opérateur. Orange et SFR testent cette approche. Chez SFR, trois cents abonnés signeront leurs achats en ligne avec leur mobile via le service SecuriSign. Les cartes SIM sont fournies par Gemplus ; et la technologie PKI, par Baltimore. L’opérateur de l’autorité de certification de SFR est MediaCert, filiale d’Atos Origin, qui fournit l’interconnexion avec les systèmes bancaires.
La France réfléchit
Chez Orange, le service s’appelle OrangeTrust. En B to C, les certificats sont délivrés par Certplus, et Cofinoga est autorité d’enregistrement. Orange est, lui, autorité de certification (AC). En B to B, les certificats sont fournis par Click & Trust, pour des transferts et des ordres de Bourse. L’utilisateur doit avoir un compte à la Bred Banque Populaire.La Finlande propose aussi une expérience intéressante : chaque citoyen reçoit une carte d’identité électronique, via le Finish Population Register Center, qui est AC. Les clés privées sont délivrées sur carte à puce ou carte SIM. Outre les relations avec les organismes publics, la puce sert à de l’e-banking.En France, la carte d’identité électronique en est au stade de la réflexion. Le rapport Truche, remis au gouvernement en février, préconise le recours à des clés multiples plutôt qu’à une identité unique. Le ministère de l’Intérieur travaille sur un prototype qui ressemble plus à un outil de dialogue avec l’Administration (demande d’état civil, par exemple) qu’à une véritable carte d’identité. À terme ne serait-il pas plus simple d’utiliser le même certificat pour dialoguer avec l’Administration, signer ses échanges bancaires ou acheter sur le web ? “Un certificat unique pose des problèmes de déploiement et de responsabilité. L’État n’engagera jamais sa responsabilité sur des applications qui ne le concerne pas”, confie une source anonyme du ministère de l’Économie. De plus, cela ne correspond guère à l’organisation française, axée sur les communautés métiers. “Il y a des professionnels de la confiance, comme les notaires, les huissiers, les experts comptables… Chacun a créé sa propre AC”, décrit Gérard Weisz, secrétaire général de la Fédération nationale des tiers de confiance. Cela n’exclut toutefois pas une certification à grande échelle : les administrations françaises sont engagées dans la création d’un Bridge-CA, hébergé par la DCSSI, afin de lier toutes leurs AC.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
