Infrastructures à clé publique : une voie royale mais difficile

Basée sur la notion de chiffrement asymétrique, une infrastructure à clé publique comprend un ensemble de logiciels, de matériels et de procédures qui couvrent, dans l’idéal, l’ensemble du système d’information de l’entreprise, y compris ses clients et partenaires dans le cas d’applications de commerce électronique. Chaque ressource se voit dotée d’un certificat, d’une paire de clés (l’une publique, l’autre privée) et d’une fonction logicielle lui permettant de reconnaître et d’exploiter les clés et certificats des autres ressources. L’utilisateur est souvent reconnu par la PKI (Public Key Infrastructure) grâce à sa carte à puce, qui accueille son certificat et ses clés.

La signature est complémentaire du chiffrement

Par ailleurs, différents logiciels permettent aux utilisateurs de demander des certificats, puis aux personnes autorisées et au système d’information de leur répondre positivement, de les produire, de les distribuer, puis de refuser ceux qui ont été révoqués. Les principales briques nécessaires sont constituées par le serveur d’enregistrement, le serveur de certificats et le serveur de révocation.Ces briques sont commercialisées par des éditeurs comme RSA Security, Tivoli, Baltimore, Entrust, le français CS, et depuis peu, Microsoft. Windows 2000 Server est en effet livré avec un serveur de certificats et un serveur d’enregistrement. La PKI est ainsi en mesure d’offrir des services de sécurité comme le chiffrement des données et la signature électronique, qui garantit l’intégrité de ces données et la non-répudiation des messages, ainsi que l’authentification des parties.Potentiellement, ces services peuvent être mis à profit par toute ressource correctement intégrée à la PKI. Ainsi, deux passerelles de RPV, un PC et une passerelle de RPV, deux utilisateurs de la messagerie, ou un utilisateur et une application s’authentifieront mutuellement et dialogueront en toute confidentialité.L’installation d’une PKI représente toutefois un vaste projet d’intégration technique, d’autant plus délicat que la standardisation reste déficiente. Il existe bien des normes (comme les certificats X. 509) mais leurs différentes implémentations limitent, pour l’instant, l’interopérabilité entre PKI hétérogènes. De plus, à l’exception du web et de la messagerie, les modules logiciels permettant l’intégration des applications (PGI ou développements spécifiques) ne sont pas toujours disponibles. Une PKI nécessite, en outre, la mise en place, toujours lourde, d’une organisation visant essentiellement à délivrer les certificats numériques, dans de bonnes conditions de sécurité.

Une organisation lourde à mettre en ?”uvre

Le degré de sécurité offert par une PKI dépend beaucoup de l’organisation permettant de délivrer aux utilisateurs et aux ressources techniques les certificats numériques, qui leur permettront de s’authentifier et donc de négocier des sessions de chiffrement sûres. Cette organisation comprend traditionnellement trois entités, auxquelles sont associés des logiciels : l’autorité de certification, l’autorité d’enregistrement et l’autorité de validation. La première définit les règles d’attribution des certificats.

La deuxième recueille les demandes de certificats, vérifie les critères et demande leur fabrication à l’autorité de certification. La troisième tient à jour une liste des certificats révoqués, ce qui lui permet de vérifier leur validité à chaque fois qu’ils sont présentés aux ressources du système d’information. L’entreprise peut alléger sa démarche en s’appuyant sur une société tierce, comme Cerplus ou VeriSign, qui jouera le rôle d’autorité de certification pour le compte de l’entreprise ou qui se contentera de fabriquer les certificats.

Le Conseil supérieur du notariat sécurise son intranet

En 1999, le CSN exprime le besoin de sécuriser l’accès à son intranet, ainsi que les échanges de courrier électronique entre ses 7 600 notaires. À cette échelle, il appara”t que seule une PKI permet, grâce à la signature électronique et au chiffrement, de gérer l’authentification, la confidentialité et l’intégrité. Le CSN opte pour la technologie de CS (Compagnie des Signaux), dont l’origine française évite à l’époque les problèmes d’importation. Le déploiement implique l’installation, sur chaque PC, d’un lecteur de carte à puce et de logiciels complétant Internet Explorer et Outlook.

Pour des raisons stratégiques, le CSN décide de fabriquer lui-même ses certificats numériques, dont l’attribution est accordée au terme d’un processus complexe. Chaque notaire remplit un bon de commande adressé à la chambre départementale des notaires qui se comporte en autorité d’enregistrement. Celle-ci fait remonter la demande vers le CSN, qui vérifie les informations et crée un fichier. ” En tant que représentant de l’autorité de certification, je signe numériquement ce fichier “, précise Olivier Gard, notaire chargé des nouvelles technologies au CSN. Ainsi devenu certificat, le fichier est transmis à un centre de fabrication, qui l’inscrit sur une carte et envoie celle-ci à la chambre départementale, où le notaire va la chercher, tandis que le code d’accès est posté.

Conseil supérieur du notariat