La société belge KBC Securities offre un service de Bourse en ligne ciblant le grand public. L’accès s’effectuant via Internet, il fallait authentifier les utilisateurs et signer les transactions. “Le couple identifiant-mot de passe nous a paru insuffisant. De plus, nous voulions gérer l’intégrité et la non-répudiation”, explique Peter Marchand, directeur informatique de KBC Securities, pour expliquer le déploiement, par la SSII Ubizen, d’une infrastructure à clés publiques (PKI). L’originalité de la solution réside dans le processus de génération des clés.
Une PKI allégée
Pour commencer, l’utilisateur s’enregistre sur le site. KBC Securities lui renvoie, par courrier, un dossier et un mot de passe valable une seule fois et pour une durée limitée. Grâce à celui-ci, l’utilisateur se connecte à nouveau sur le site, qui lui envoie une applet Java signée lui demandant de réaliser des mouvements aléatoires de la souris, à partir desquels sont calculées deux clés de 1 024 bits. La clé privée est mise sur disquette, tandis que la clé publique est envoyée vers le site et stockée dans une base. Pour révoquer un utilisateur, il suffira de le supprimer de cette base. Il n’y a donc pas besoin de certificat au sens formel du terme, on parle ici de PKI allégée. Lorsque l’utilisateur passe des ordres d’achat, ces derniers sont signés via une applet, à l’aide de la clé privée. Puis ces transactions, impossibles à répudier, sont archivées.
Back-office : des connexions moins stratégiques
L’authentification des utilisateurs ne dispense pas d’une protection contre les intrusions. KBC Securities a confié à Ubizen l’installation et l’administration à distance de deux coupe-feu de marques différentes (Check Point Software et Cisco Systems).La sécurisation de la partie back-office était moins stratégique. En effet, la connexion vers le système de compensation Swift s’appuie sur les mécanismes de chiffrement de ce dernier et transite par l’infrastructure de KBC. La connexion vers les Bourses européennes emprunte le réseau Trade GL et une LS relie le service de Bourse en ligne au Nasdaq Europe. Le logiciel Brass, dédié au monde de la Bourse, réalise alors un chiffrement qui n’assure que la confidentialité : la nature point à point de la connexion permet de s’affranchir des aspects authentification des parties et intégrité des données.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
