|
JDN
Solutions. Comment définissez-vous le concept de certificat électronique ?
Daniel Martin. Un certificat électronique fait office de pièce d'identité numérique, c'est un élément public contrôlable par tout le monde, informant de l'identité de l'utilisateur, du nom de la société à l'origine du certificat, des mesures de contrôles prises par cette société, et doté d'un lien vers une liste publique retraçant les certificats électroniques frappés d'opposition, en cas de perte notamment.
Il est composé d'un clé publique, connue de tous et identifiant la personne, et d'une clé privée générée en local et jamais échangée lors de connexions. La clé privée peut se trouver sur le disque dur de l'utilisateur ou sur un périphérique externe protégée par un mot de passe ou un code PIN.
Quels sont les différents acteurs intervenant dans le processus de certification ?
Nous en distinguons trois : l'autorité de certification qui valide la demande et constitue le référencement, l'opérateur de certificats qui les fabrique, et l'autorité d'enregistrement qui contrôle les dossiers et les identités des demandeurs. Tous ces rôles peuvent être confondus dans une entité globale mais doivent être indépendants. Dans notre cas, nous assumons deux des trois rôles, à savoir l'autorité de certification et l'autorité d'enregistrement.
Quelle réglementation encadre aujourd'hui la création de certificats électroniques ?
La réglementation date de l'an 2000, d'une directive européenne sur la signature électronique. Elle impose à tous les états d'Europe de prendre les mesures nécessaires pour mettre sur un pied d'égalité la signature papier et la signature électronique. En France, une loi sur la signature électronique a été votée en 2001 et s'est traduite par un décret d'application un an plus tard. Il y a eu par la suite des arrêtés multiples et variés puis la mise en place d'un schéma d'accréditation.
 |
|
 Une douzaine d'organismes délivrent des certificats électroniques en France" |
|
Qui se charge de cette accréditation ?
Le Ministère de l'économie, des finances et de l'industrie (Minefi). Il s'est lancé dans un démarche de référencement des organismes de certification électronique au titre de la déclaration de TVA par Internet pour les entreprises. Cela passe par un audit profond de la totalité des processus et des écrits menant à la certification à travers un questionnaire de plus de 280 questions. Il faut décrire précisément les tâches effectuées ce qui représente parfois plus de 50 pages de texte. En moyenne, il faut compter de 3 à 6 mois pour voir son dossier analysé puis validé.
Cependant, si vous n'êtes pas reconnu comme un organisme accrédité, en cas de défaillance du système le droit de la preuve est inversé. Cela signifie que c'est à vous de prouver que le client a fait une erreur ne mettant pas en cause votre système. Au total, nous retrouvons une douzaine d'organismes délivrant des certificats électroniques en France, contre un seul aux Etats-Unis à savoir VeriSign.
Quels services utilisent ou pourraient avoir intérêt à utiliser les certificats électroniques ?
Nous sommes en train d'essayer de modifier la perception des usages possibles des certificats électroniques. Aujourd'hui, les services de l'impôt sur le revenu l'utilisent, de même que ceux de la déclaration de la TVA mais l'usage du certificat ne se limite pas aux seuls services de l'état.
Le certificat électronique a tout autant d'intérêt pour ce qui concerne les virements de comptes bancaires en ligne ou des participations à des appels d'offres. Bref, pour tout document où la preuve de l'identité de la personne est impérative.
Combien coûte un certificat électronique ? Est-ce une solution envisageable sur le poste client ?
Un certificat se monnaye entre 50 à 100 euros par an. Une entreprise qui dépense 100 euros cherche un certificat très sûr par exemple. Après, il faut adapter ces mesures de sécurité aux objectifs que l'on souhaite atteindre.
Je ferais un parallèle avec les services postaux. Quand l'information qu'on y envoie n'a pas d'importance, nous prenons une carte postale. Quand le texte devient plus sérieux, nous utilisons une enveloppe et quand cela devient encore plus sérieux nous demandons un envoi en recommandé avec accusé de réception.
|
|
Il faut de toute façon absolument sauvegarder le certificat et la clé privée" |
|
Vous préconisez l'utilisation d'une clé USB ou d'une carte à puce pour stocker le certificat électronique. Pourquoi ?
Afin de garantir la sécurité physique du support. Les certificats peuvent être perdus simplement en cas de formatage du disque dur. Il faut de toute façon absolument sauvegarder le certificat et la clé privée, ce que peu de gens font. Pourtant, c'est très important car en cas de perte il faudra faire opposition, demander un nouveau certificat et repayer, tout comme on le ferait lors de la perte d'une carte bancaire.
Quel est l'intérêt des certificats électroniques pour le particulier mais aussi pour les entreprises selon vous
Le bénéficiaire, lui, n'a plus qu'un seul mot de passe à connaître à la manière des systèmes dits de Single Sign On. A contrario, la société offrant des services en ligne n'a plus à gérer la problématique des mots de passe, c'est un tiers qui s'en occupe.
Et les risques ?
Le risque de l'interception est nul. La seule donnée échangée entre le serveur et le poste client est la clé publique. Or celle-ci a vocation à être échangée puisqu'elle définit l'identité de l'utilisateur. Une fois que le serveur a authentifié l'internaute, c'est la clé publique qui vérifie, la clé privée est stockée sur le poste de l'internaute et protégée par un mot de passe.
Par contre, le risque principal vient des capteurs de frappe clavier ou keyloggers. Une personne pourrait ainsi déchiffrer la clé privée et déchiffrer vos communications ou signer des documents à votre place sans que vous en ayez été informé.
Est-ce envisageable de combiner biométrie et authentification forte par certificats électroniques ?
La biométrie présente un avantage : contrairement aux mots de passe, il est impossible d'oublier son moyen d'authentification. Par contre, ce n'est pas une solution révocable ni modifiable. De plus, dans le cas de l'identification par empreintes digitales, le mot de passe est déposé un peu partout et s'avère copiable.
Je dirais donc que ces méthodes iront très bien dans des systèmes d'authentification tels que les douanes car les gens chargés de la sécurité peuvent voir la personne en face à face et s'assurer qu'il n'y a pas d'usurpation d'identité. En revanche, pour la signature électronique il n'y a pas d'intérêt et c'est même dangereux.
A quelles vérifications le demandeur d'un certificat est-il soumis ?
Le but est de parvenir à l'état où le mot de passe n'est connu que par le seul bénéficiaire du certificat. Il y a donc deux étapes : le certificat est délivré en ligne à partir d'une URL suite à l'activation d'un mot de passe remis en main propre à la personne après présentation de sa pièce d'identité en bureau de poste. S'il y a ensuite réutilisation du certificat ou transfert du mot de passe à une autre personne, ce n'est plus notre problème à l'image du code à 4 chiffres de la carte bancaire.
|
Propos recueillis par