Passer au contenu

La messagerie, point de départ de la PKI

Du missile pour sous-marins nucléaires à la fusée Ariane, l’activité d’EADS-Launch Vehicles est sensible. La société adopte une approche PKI pour sa messagerie.

Les lanceurs de la famille Ariane, les infrastructures orbitales, les missiles de la force française de dissuasion figurent au palmarès d’EADS-Launch Vehicles. La firme est filiale à 100 % du groupe EADS, né de la fusion d’Aerospatiale Matra, de Dasa et de Casa. Les questions de sécurité y sont multipliées par deux, puisque la firme a une activité civile et militaire. Certains ingénieurs ?”uvrent d’ailleurs dans les deux domaines. Bernard Le Goaziou, agent central de la sécurité des systèmes d’information, s’est vu confier, par le p.-d.g., la protection logique d’EADS-LV. La protection physique relève de la responsabilité d’un agent central de la sécurité industrielle et de la défense. Les deux hommes s’appuient sur des équipes locales.

Un travail d’équipe

Bernard Le Goaziou est basé aux Mureaux, l’un des quatre centres d’EADS-LV avec Bordeaux, Brest, et Kourou (Guyane française). Dans sa structure, huit salariés sont chargés de la protection informatique, et une centaine de personnes s’occupe de la gestion des droits d’accès – aux applications, notamment. L’une des architectures de protection adoptées par la société est un cloisonnement entre le domaine de la défense et celui de l’industriel. Autrement dit, un routeur ne fait que router ; le coupe-feu et le boîtier de chiffrement sont des éléments séparés !En 2000, l’un des projets clés de EADS-LV était la définition d’une messagerie sécurisée avec une authentification forte. Il s’agissait de pouvoir se retourner de manière irréfutable contre l’expéditeur d’un message qui n’aurait pas obéi à la politique de sécurité, grâce au principe de non-répudiation de la signature électronique. La politique appliquée au personnel sensible est claire : tout message non signé ne sort pas ! C’était, aussi, la possibilité de poser les jalons d’une infrastructure PKI.“Il convient de séparer parfaitement la signature du chiffrement proprement dit, ce qui n’est pas le cas de toutes les solutions de PKI, insiste Bernard Le Goaziou. Une PKI est une application structurante qui impose de résoudre plus de problèmes organisationnels que de problèmes techniques. Cela oblige à mettre en ?”uvre en même temps un annuaire”, poursuit-il.

Un lecteur de cartes à puce sur chaque PC

En termes de messagerie, EADS-LV s’appuie sur des serveurs Exchange et des clients Outlook, de Microsoft. Le moteur de cryptographie, SBox Mail, est fourni par MSI, une société passée dans le giron d’un groupe italien. “MSI a été plus un partenaire qu’un éditeur, commente Bernard Le Goaziou. Il a su adapter son logiciel sans que cela nécessite un changement radical de son offre.”SBox Mail gère la carte à puce GempPKCS, de Gemplus, et chaque PC s’est vu équiper d’un lecteur de cartes. L’opérateur de certificats pour les partenaires externes est Certplus. La livraison des certificats s’effectue de manière interne ou externe, selon les cas de figure, ce qui permet de réduire les coûts. “Les droits liés aux applications – par exemple, un ingénieur peut lire certaines données, mais ne peut pas les modifier – ne doivent pas être précisés dans le certificat. Cela impliquerait de changer fréquemment de certificats, et donc d’augmenter les coûts de ce qui est externalisé, et de créer des problèmes d’administration pour ce qui est en interne”, argumente Bernard Le Goaziou.

L’interopérabilité des PKI n’est pas garantie

Une attention particulière est portée sur l’interopérabilité des outils de PKI, qui n’est pas garantie même s’ils emploient les mêmes standards. “Tout le monde n’aura pas le même moteur de cryptographie. Il convient aussi de vérifier l’interopérabilité des opérateurs de certificats”, avertit Bernard Le Goaziou.Par ailleurs, la sécurité chez EADS repose aussi sur un cloisonnement fin, réalisé via des tunnels taillés sur le réseau local, ainsi que sur une analyse détaillée des droits des utilisateurs et un chiffrement fort, à la fois sur le LAN et sur le WAN. Ainsi, du côté du réseau local, le chiffrement retenu est du triple DES à 168 bits, fourni par des boîtiers BNE, de Bull. Sur les segments à 100 Mbit/s, EADS utilise des boîtiers TrustWay VPN, de Bull. Sur les liens télécoms, des boîtiers de chiffrement dédiés de l’anglais RCA, ou des TRC, de Thales, sont mobilisés. Les algorithmes sont soumis à l’agrément du gouvernement. Sur chaque projet, un cloisonnement est ainsi opéré, afin de constituer un réseau spécifique. En conclusion, c’est à partir de la messagerie qu’EADS-LV bâtit son infrastructure PKI. Une approche qui devrait être suivie par beaucoup de sociétés ?”uvrant uniquement dans le domaine civil.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Olivier Ménager