Présentation
RÉSUMÉ
C’est une évidence, l’expansion d’Internet et la dématérialisation des documents nécessitent de nos jours des techniques fiables concernant la certification électronique des individus et des systèmes. Il est en effet devenu incontournable pour les entreprises et les organisations de s’appuyer sur une Infrastructure de Gestion de Clés robuste et maîtrisée. Cet article commence par lister les exigences de sécurité imposées par la dématérialisation des échanges et s’appuyant sur les définitions d’intégrité et de confidentialité des données. Sont détaillés ensuite les objectifs et le processus de certification électronique, puis quelques exemples de protocoles standards de communication et d’organisations viennent illustrer l’usage des certificats.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Gérard RIBIÈRE : Architecte en systèmes d’information
INTRODUCTION
Tout échange ou tout type de commerce sur un réseau informatique, et notamment sur Internet, nécessite une fonction qui permette aux parties en présence de s’identifier mutuellement. Une fois identifiées, les parties vont ensuite vouloir participer à des transactions, celles-ci consistant en des échanges de commandes, de factures, de paiements et de documents en général.
Considérons, par exemple, le cas de l’achat d’actions sur Internet auprès d’un courtier. Le problème se pose pour le courtier et l’acheteur de s’identifier mutuellement, c’est-à-dire de s’assurer de l’identité du partenaire. Mais cela n’est pas suffisant : le courtier doit pouvoir prouver que l’acheteur a bien commandé le type et le nombre donné d’actions, et l’acheteur doit être sûr que sa commande a bien été prise en compte par le courtier.
Afin d’atteindre, au cours d’échanges sur un réseau informatique, le même degré de confiance que dans la vie réelle où les documents physiques échangés sont munis d’une signature manuscrite, il va falloir être capable de reproduire de façon électronique l’identification mutuelle des acteurs d’une transaction ainsi que la signature des documents liés à cette transaction.
L’identification par mot de passe et même le chiffrement des informations échangées ne suffisent pas à répondre au besoin décrit précédemment. La réponse est fournie par un processus de certification des utilisateurs s’appuyant sur un ensemble de fonctions constituant une infrastructure de gestion de clés et permettant une signature numérique des documents échangés.
Ce type de processus est déjà employé de façon opérationnelle aujourd’hui dans des échanges transactionnels, et notamment dans le protocole de paiement sécurisé SET (Secure Electronic Transaction). Les fonctions et les produits que nous allons décrire vont permettre de réaliser tout autre type de commerce sur les réseaux, au sens large, débordant largement le cadre du paiement pour le commerce électronique.
Nous allons tout d’abord citer les besoins en sécurité sur Internet puis nous décrirons brièvement les techniques utilisées pour répondre à l’exigence d’identification et par conséquent au besoin de certification.
Ensuite, nous présenterons la notion de « certificat électronique » ainsi que les fonctions des autorités de certification chargées de délivrer des certificats. Afin d’illustrer notre propos, nous présenterons quelques protocoles standards ainsi que des applications pratiques faisant usage des certificats.
Nous insistons sur Internet parce que c’est le mode d’utilisation du réseau présentant le plus de risques en terme de sécurité. Mais puisque la certification s’applique à tout mode d’utilisation et à tout protocole de réseau, elle peut très bien être employée pour assurer l’identification d’utilisateurs d’une même entreprise sur un réseau intranet.
Cet article est réservé aux abonnés.
Il vous reste 92 % à découvrir.
Déjà abonné ? Se connecter
VERSIONS
- Version archivée 2 de avr. 2008 par Gérard RIBIÈRE
- Version courante de janv. 2018 par Gérard RIBIÈRE
DOI (Digital Object Identifier)
Présentation
ConclusionArticle inclus dans l'offre
"Technologies logicielles Architectures des systèmes"
(234 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
5. Sécurité et support des certificats
L’utilisateur désirant accéder à des serveurs sur un réseau ouvert, signer des documents ou des courriers doit disposer d’un certificat et de la clé privée associée à ce certificat. Si le certificat peut être distribué à tous, la clé privée doit être bien protégée de tout accès par un tiers.
Souvent, certificats et clés privées sont stockés sur le poste de travail (PC) dans un fichier chiffré dont l’accès est protégé par un mot de passe. Cela assure la plupart du temps un bon niveau de sécurité. Toutefois, à partir du moment où le mot de passe a été composé par l’utilisateur pour déverrouiller le fichier, la clé privée apparaît en clair en mémoire réelle et est donc susceptible d’être révélée (sachant aussi que le mot de passe peut être intercepté par « écoute » des frappes au clavier).
C’est pourquoi il existe plusieurs types de dispositifs matériels fournissant une protection bien supérieure de la clé privée de l’utilisateur : ce sont notamment les cartes à puce et les clés connectées par port USB. Ces dispositifs offrent des capacités et des niveaux de sécurité croissants avec des prix correspondants (de l’ordre de 10 € à 30 €) :
-
le dispositif peut permettre de contenir uniquement la clé privée et la clé publique (en fait le certificat en entier). La biclé est générée sur le PC et ensuite chargée dans le dispositif matériel ;
-
dans le niveau suivant, la signature est effectuée à l’intérieur du dispositif ;
-
dans le niveau supérieur, la biclé elle-même est générée à l’intérieur du dispositif matériel. On est alors certain que cette clé n’a jamais pu être interceptée.
Nous voyons que ces dispositifs apportent à la fois la portabilité du certificat et de la biclé en même temps qu’ils améliorent grandement la sécurité. Tant que ce dispositif n’est pas branché sur le PC, il n’est pas possible de signer. En outre, une fois branché, il faut une action de l’utilisateur, en l’occurrence la composition d’un code confidentiel, pour déverrouiller la clé privée et exécuter une signature, à la manière de ce que chacun fait avec sa carte...
Cet article est réservé aux abonnés.
Il vous reste 93 % à découvrir.
Déjà abonné ? Se connecter
Sécurité et support des certificats
Article inclus dans l'offre
"Technologies logicielles Architectures des systèmes"
(234 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
Cet article est réservé aux abonnés.
Il vous reste 95 % à découvrir.
Déjà abonné ? Se connecter
Article inclus dans l'offre
"Technologies logicielles Architectures des systèmes"
(234 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
