Présentation

Article

1 - EXIGENCES DE SÉCURITÉ

  • 1.1 - Moyens classiques d'authentification
  • 1.2 - Authentification sur Internet
  • 1.3 - Confidentialité et non-contestation
  • 1.4 - Intégrité des échanges

2 - TECHNOLOGIE À CLÉ PUBLIQUE

3 - CERTIFICATS ET INFRASTRUCTURE DE GESTION DE CLÉS

4 - SÉCURITÉ ET SUPPORT DES CERTIFICATS

5 - UTILISATION DES CERTIFICATS

6 - CONCLUSION

| Réf : H5510 v2

Sécurité et support des certificats
Certification électronique

Auteur(s) : Gérard RIBIÈRE

Date de publication : 10 avr. 2008

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

RÉSUMÉ

C’est une évidence, l’expansion d’Internet et la dématérialisation des documents nécessitent de nos jours des techniques fiables concernant la certification électronique des individus et des systèmes. Il est en effet devenu incontournable aux entreprises et aux organisations de s’appuyer sur une infrastructure de gestion de clés robuste et maîtrisée. Cet article commence par lister les exigences de sécurité imposées par la dématérialisation des échanges et s’appuyant sur les définitions d’intégrité et de confidentialité des données. Sont détaillés ensuite les objectifs et le processus de la certification électronique, puis quelques exemples de protocole standard de communication viennent illustrer l’usage des certificats.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

ABSTRACT

The expansion of the Internet and the dematerialization of documents obviously, at this time, require reliable techniques concerning the electronic certification of individuals and systems. It has become essential for companies and organizations to be supported by a robust and mastered key management infrastructure. This article commences by listing the safety rules imposed by the dematerialization of exchanges and based on the definitions of integrity and confidentiality of data. After having detailed the objectives and the process of electronic certification this article provides certain examples of standard communication protocol in order to illustrate the use of certificates.

Auteur(s)

INTRODUCTION

Les craintes inspirées par la dématérialisation des documents

Tout échange ou tout type de commerce sur un réseau informatique, et notamment sur Internet, nécessite une fonction qui permette aux parties en présence de s'identifier mutuellement. Une fois identifiées, les parties vont ensuite vouloir participer à des transactions, celles-ci consistant en des échanges de commandes, de factures, de paiements, et de documents en général.

Considérons, par exemple, le cas de l'achat d'actions sur Internet auprès d'un courtier. Le problème se pose pour le courtier et l'acheteur de s'identifier mutuellement, c'est-à-dire de s'assurer de l'identité du partenaire. Mais cela n'est pas suffisant : le courtier doit pouvoir prouver que l'acheteur a bien commandé le type et le nombre donné d'actions ; et l'acheteur doit être sûr que sa commande a bien été prise en compte par le courtier.

Afin d'atteindre, au cours d'échanges sur un réseau informatique, le même degré de confiance que dans la vie réelle où les documents physiques échangés sont munis d'une signature manuscrite, il va falloir être capable de reproduire de façon électronique l'identification mutuelle des acteurs d'une transaction ainsi que la signature des documents liés à cette transaction.

L'identification électronique des personnes

Comme nous le verrons plus loin dans ce document, l'identification par mot de passe, et même le chiffrement des informations échangées, ne suffisent pas à répondre au besoin décrit précédemment. La réponse est fournie par un processus de certification des utilisateurs s'appuyant sur un ensemble de composants et de fonctions constituant une infrastructure de gestion de clés et permettant une signature numérique des documents échangés.

Ce type de processus est déjà employé de façon opérationnelle aujourd'hui dans des échanges transactionnels, et notamment pour la déclaration de l'impôt sur le revenu des personnes physiques (IRPP) à travers Internet. Les fonctions et les produits que nous allons décrire vont permettre de réaliser tout autre type de commerce sur les réseaux, au sens large, débordant largement le cadre des relations avec l'administration publique.

Dans ce document, nous allons tout d'abord citer les exigences de sécurité imposées par la dématérialisation des échanges (à travers Internet par exemple) puis nous décrirons brièvement les techniques utilisées pour répondre à l'exigence d'identification et par conséquent au besoin de certification.

Ensuite, nous présenterons la notion de « certificat électronique » ainsi que les fonctions des autorités de certification chargées de délivrer des certificats. Afin d'illustrer notre propos, nous présenterons quelques protocoles standard de communication ainsi que des applications pratiques faisant usage des certificats.

Nous insistons sur Internet parce que c'est le mode d'utilisation du réseau présentant le plus de risques en terme de sécurité. Mais puisque la certification s'applique à tout mode d'utilisation et à tout protocole de réseau, elle peut très bien être employée pour assurer l'identification d'utilisateurs d'une même entreprise sur un réseau Intranet.

Cet article est réservé aux abonnés.
Il vous reste 95% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

VERSIONS

Il existe d'autres versions de cet article :

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v2-h5510


Cet article fait partie de l’offre

Sécurité des systèmes d'information

(75 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation

4. Sécurité et support des certificats

L'utilisateur désirant accéder à des serveurs sur un réseau ouvert, ou bien signer des documents ou des courriers, doit disposer d'un certificat et de la clé privée associée à ce certificat. Si le certificat peut être distribué à tous, la clé privée doit être bien protégée de tout accès par un tiers.

Souvent, certificats et clés privées sont stockés sur le poste de travail PC dans un fichier chiffré dont l'accès est protégé par un mot de passe. Le niveau de sécurité ainsi obtenu est peu satisfaisant car, à partir du moment où le mot de passe a été composé par l'utilisateur pour déverrouiller le fichier, la clé privée apparaît en clair en mémoire réelle et est donc susceptible d'être révélée ; en outre, nous avons déjà dit combien un mot de passe n'offre pas une protection très forte (cf. § 1.1).

C'est pourquoi il existe plusieurs types de dispositifs matériels fournissant une protection bien supérieure pour la clé privée de l'utilisateur : ce sont notamment les cartes à puce et les clés connectées par port USB (ne pas confondre ces clés USB avec les clés USB de stockage de données). Ces dispositifs offrent des capacités et des niveaux de sécurité croissants (avec des prix correspondants, actuellement de 10 e à 30 e) :

  • le dispositif peut permettre de contenir uniquement la clé privée et la clé publique (en fait le certificat en entier). La biclé est générée sur le PC et ensuite chargée dans le dispositif matériel ;

  • dans le niveau suivant, la signature est effectuée à l'intérieur du dispositif matériel ;

  • dans le niveau supérieur, la biclé est elle-même générée à l'intérieur du dispositif matériel. Nous sommes alors certains que cette clé n'a jamais pu être interceptée.

Nous voyons que ces dispositifs...

Cet article est réservé aux abonnés.
Il vous reste 95% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(75 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Sécurité et support des certificats
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - LAMBERTERIE (I. de) -   Les actes authentiques électroniques.  -  La Documentation française (2002).

  • (2) -   Procédures et politiques de certification de clés.  -  Commission Interministérielle pour la Sécurité des Systèmes d'Information (juil. 1998).

  • (3) - BOEYEN (S.), HOWES (P.), RICHARD (P.) -   lnternet X.509 Public Key lnfrastructure. LDAPv2 Schema.  -  RFC 2587, IETF (1999). http://www.ietf.org/rfc/rfc2587.txt

  • (4) - MYERS (M.), ANKNEY (R.), MALPANI (A.), GALPERIN (S.), ADAMS (C.) -   X.509 Internet Public Key Infrastructure Online Certificate Status Protocol – OCSP.  -  RFC 2560, IETF (1999). http://www.ietf.org/rfc/rfc2560.txt

  • (5) - CHOKHANI (S.), FORD (W.) -   Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework.  -  RFC 2527, IETF (1999). http://www.ietf.org/rfc/rfc2527.txt

  • (6) -   The...

NORMES

  • Information Technology – Open Systems Interconnection – The Directory : Public-key and attribute certificate frameworks. - ITU Rec. X.509 - (2000)

  • Technologies de l'information – Interconnexion des systèmes ouverts (OSI) L'annuaire : cadre général des certificats de clé publique et d'attribut (correctifs 1 à 4 publiés en 2002 et 2003). - ISO/IEC 9594-8 - (2002)

  • Secure Hash Standard (SHS). - FIPS PUB 180-1 - (1995)

  • Data Encryption Standard (DES). - FIPS PUB 46-3 - (1999)

1 Réglementation

Directive 1999/93/CE du Parlement européen et du Conseil, du 13 décembre 1999, sur un cadre communautaire pour les signatures électroniques (JO L. 13 du 19 janvier 2000, p. 12 à 20).

Loi no 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique (JO no 62 du 14 mars 2000).

Décret no 2001-272 du 30 mars 2001 pris pour l'application de l'article 1316-4 du code civil et relatif à la signature électronique (JO no 77 du 31 mars 2001).

Décret no 2002-535 du 18 avril 2002 relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information (JORF no 92 du 19 avril 2002, page 6944).

Loi no 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (JORF no 143 du 22 juin 2004, page 11168).

Décret no 2002-692 du 30 avril 2002 pris en application du 1o et du 2o de l'article 56 du code des marchés publics et relatif à la dématérialisation des procédures de passation des marchés publics (JORF no 103 du 3 mai 2002, page 8064).

HAUT DE PAGE

2 Organismes

Internet Engineering Task Force http://www.ietf.org

Virtual Private Network Consortium (VPNC) http://www.vpnc.org

Association nationale pour la promotion...

Cet article est réservé aux abonnés.
Il vous reste 94% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(75 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS