|
Interviews |
|
Thierry Autret et
Marie-Laure Oble-Laffaire
|
Directeur
(ligne audit et sécurité des systèmes d'information),
avocate et directrice de mission au sein de HDS E&Y
|
Ernst
& Young
|
"Déployer
aujourd'hui une PKI dans un modèle ouvert, c'est courir
vers l'échec" |
|
Qui sont les acteurs d'une infrastructure à clefs publiques
? Le cadre juridique est-il prêt ? Les solutions techniques
sont-elles matures ? Réponses avec deux experts qui, aux
côtés de Laurent Bellefin, directeur de l'activité
sécurité de Solucom, viennent de co-écrire
chez Eyrolles un ouvrage intitulé "Sécuriser
ses échanges électroniques avec une PKI".
A
LIRE AUSSI >> Dossier:
Espaces de confiance
|
Propos recueillis par
Cyril Dhenin le 01 février
2002
. |
Le
sujet des PKI, sans doute sur-couvert sous l'angle technologique,
a été malmené. Quelle définition
donnez-vous à cette notion ?
Thierry Autret:
Il est vrai que les
techniciens, les experts notamment de la cryptographie,
se sont appropriés le sujet, ce qui nous demande
aujourd'hui de réaliser un gros travail d'éducation.
A nos yeux, un projet de PKI est un ensemble organisationnel,
juridique et technique. Et pour être tout à
fait clair, je pense que la technique arrive en dernier...
Quels
sont aujourd'hui les grands chantiers qui motivent des
projets PKI ?
Thierry Autret:
Ils sont de deux
types. Il existe d'abord de grands projets connus de tous
et lancés notamment par l'administration, pour
la télé-déclaration de la TVA ou
le paiement de l'impôt. Ce sont de grands projets
très visibles. A côté, on trouve aussi
d'autres initiatives. Je pense que des communautés
d'intérêts, dans l'automobile ou l'aérospatiale
notamment, vont s'intéresser au sujet comme elles
se sont intéressées à l'EDI, de façon
à aller plus loin dans la dématérialisation
de leurs échanges. Les projets de ces grands donneurs
d'ordre seront décisifs.
Quel
regard portez-vous sur la maturité de ce marché ?
Comment avance la standardisation ?
Thierry Autret: Très
clairement, c'est encore un marché de l'offre,
qui a été beaucoup influencé par
le battage de certains éditeurs. Quant à
la standardisation, le chantier est grand ouvert. Une
partie de notre travail consiste à mener pour nos
clients des tests d'interopérabilité entre
des profils de certificats et des applications cibles.
Les résultats sont souvent sans appel: la plupart
du temps la clef s'avère totalement incompatible
avec le verrou proposé. Un détail pour illustrer
mon propos: aujourd'hui il est très difficile avec
les logiciels du marché d'interroger des listes
de révocation. C'est un peu comme s'il vous était
impossible de vérifier la date de validité
d'une carte bancaire.
Dans
ce contexte, quelle est la solution pour les utilisateurs
?
Thierry Autret:
Dans le cas d'une
communauté d'intérêts dont les membres
et les applications sont connus, on doit pouvoir définir
un profil de certificats qui limitera les incompatibilités.
En revanche, dans un modèle plus ouvert, donc plus
incertain, on court vers l'échec. La situation
va s'améliorer progressivement, comme ce fut le
cas pour les cartes à puce. Mais en attendant,
il faut garder à l'esprit ces difficultés.
Un
projet PKI fait appel à de nombreuses autorités
(d'enregistrement, de certification...). Ce découpage
est-il fonctionnel et correspond-t-il à la réalité
du terrain ?
Thierry Autret:
Ce découpage
a été hérité d'une terminologie
américaine avant tout technique. Elle distingue
l'autorité d'enregistrement (AE), qui fait le pont
entre le monde réel et virtuel en associant un
certificat à un personne physique ou morale; l'autorité
de certification (AC), qui produit le certificat; et enfin
l'opérateur de services de certificats (OSC) qui
assure leur gestion au quotidien.
A
quoi ressemblerait un découpage plus fonctionnel
?
Thierry Autret:
Je pense qu'il
se suffirait de deux acteurs. Primo, l'autorité
d'enregistrement qui assure une fonction de guichet et
prend la responsabilité d'émettre un certificat.
Secundo, l'usine à certificats, l'opérateur
donc qui prend en charge la fabrication et la gestion.
Sur
le versant juridique, comment avance la définition
du cadre de la PKI ?
Marie-Laure Oble-Laffaire:
Il n'existe
pour l'heure aucun référentiel. On trouve
certes quelques ouvrages sur la signature électronique
mais vraiment très peu de choses sur la PKI. Et
pour cause: ce projet implique une multitude d'acteurs,
donc une multitude de risques, ce qui rend très
complexe la définition des responsabilités.
Aujourd'hui les contrats sur lesquels nous avons pu travailler
relèvent plutôt du cas par cas...
Peut-on
espèrer une industrialisation des dispositifs juridiques
?
Marie-Laure Oble-Laffaire:
Oui, je le pense. Depuis la loi sur la signature électronique,
de nombreux acteurs travaillent sur ce dossier. La fédération
nationale des tiers de confiance par exemple devrait prochainement
mettre au point une charte qui définirait un label
"Cnil" (Commission nationale informatique et
libertés).
Justement,
la législation actuelle sur les données
personnelles pose-t-elle des problèmes pour le
déploiement de PKI ?
Marie-Laure Oble-Laffaire:
Oui, deux points
notamment posent problème. La phase d'enregistrement,
préalable à l'émission d'un certificat,
demande de collecter des informations personnelles critiques.
Et pour l'archivage, la loi demande de proportionner la
durée à la finalité du traitement,
chose assez compliquée dans le cadre d'une PKI.
Pour le moment, nous conseillons à nos clients
de définir une durée limitée et de
prévenir les acteurs concernés à
l'approche de la date d'expiration. Ce qui ne simplifie
pas les procédures et peut conduire de manière
assez artificielle à renouveler des émissions
de certificats. Bref, les PKI soulèvent quelques
problèmes spécifiques, la Cnil en a été
saisie et travaille sur le sujet.
|
|
|
|
|
|
|