Présentation

Article

1 - BESOINS EN SÉCURITÉ SUR INTERNET

  • 1.1 - Limites de la sécurité par mot de passe
  • 1.2 - Authentification sur Internet
  • 1.3 - Confidentialité et non répudiation
  • 1.4 - Intégrité des échanges

2 - TECHNOLOGIE À CLÉ PUBLIQUE

3 - CERTIFICATS ET INFRASTRUCTURE DE GESTION DE CLÉS

4 - UTILISATION DES CERTIFICATS

5 - SÉCURITÉ ET SUPPORT DES CERTIFICATS

6 - CONCLUSION

| Réf : H5510 v1

Utilisation des certificats
Certification électronique

Auteur(s) : Gérard RIBIÈRE

Date de publication : 10 nov. 2003

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

RÉSUMÉ

C’est une évidence, l’expansion d’Internet et la dématérialisation des documents nécessitent de nos jours des techniques fiables concernant la certification électronique des individus et des systèmes. Il est en effet devenu incontournable pour les entreprises et les organisations de s’appuyer sur une Infrastructure de Gestion de Clés robuste et maîtrisée. Cet article commence par lister les exigences de sécurité imposées par la dématérialisation des échanges et s’appuyant sur les définitions d’intégrité et de confidentialité des données. Sont détaillés ensuite les objectifs et le processus de certification électronique, puis quelques exemples de protocoles standards de communication et d’organisations viennent illustrer l’usage des certificats.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

ABSTRACT

Electronic certification

Today the expansion of the Internet and the dematerialization of documents obviously requires reliable techniques for the electronic certification of individuals and systems. It has become essential for companies and organizations to be able to rely on a robust, well-controlled Public Key Infrastructure. This article starts with a list of some security rules required by the dematerialization of exchanges based on the definitions of data integrity and confidentiality. The objectives and the process of electronic certification are then given, with some examples of standard communication protocols and organizations to illustrate several uses of certificates.

Auteur(s)

INTRODUCTION

Tout échange ou tout type de commerce sur un réseau informatique, et notamment sur Internet, nécessite une fonction qui permette aux parties en présence de s’identifier mutuellement. Une fois identifiées, les parties vont ensuite vouloir participer à des transactions, celles-ci consistant en des échanges de commandes, de factures, de paiements et de documents en général.

Considérons, par exemple, le cas de l’achat d’actions sur Internet auprès d’un courtier. Le problème se pose pour le courtier et l’acheteur de s’identifier mutuellement, c’est-à-dire de s’assurer de l’identité du partenaire. Mais cela n’est pas suffisant : le courtier doit pouvoir prouver que l’acheteur a bien commandé le type et le nombre donné d’actions, et l’acheteur doit être sûr que sa commande a bien été prise en compte par le courtier.

Afin d’atteindre, au cours d’échanges sur un réseau informatique, le même degré de confiance que dans la vie réelle où les documents physiques échangés sont munis d’une signature manuscrite, il va falloir être capable de reproduire de façon électronique l’identification mutuelle des acteurs d’une transaction ainsi que la signature des documents liés à cette transaction.

L’identification par mot de passe et même le chiffrement des informations échangées ne suffisent pas à répondre au besoin décrit précédemment. La réponse est fournie par un processus de certification des utilisateurs s’appuyant sur un ensemble de fonctions constituant une infrastructure de gestion de clés et permettant une signature numérique des documents échangés.

Ce type de processus est déjà employé de façon opérationnelle aujourd’hui dans des échanges transactionnels, et notamment dans le protocole de paiement sécurisé SET (Secure Electronic Transaction). Les fonctions et les produits que nous allons décrire vont permettre de réaliser tout autre type de commerce sur les réseaux, au sens large, débordant largement le cadre du paiement pour le commerce électronique.

Nous allons tout d’abord citer les besoins en sécurité sur Internet puis nous décrirons brièvement les techniques utilisées pour répondre à l’exigence d’identification et par conséquent au besoin de certification.

Ensuite, nous présenterons la notion de « certificat électronique » ainsi que les fonctions des autorités de certification chargées de délivrer des certificats. Afin d’illustrer notre propos, nous présenterons quelques protocoles standards ainsi que des applications pratiques faisant usage des certificats.

Nous insistons sur Internet parce que c’est le mode d’utilisation du réseau présentant le plus de risques en terme de sécurité. Mais puisque la certification s’applique à tout mode d’utilisation et à tout protocole de réseau, elle peut très bien être employée pour assurer l’identification d’utilisateurs d’une même entreprise sur un réseau intranet.

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

VERSIONS

Il existe d'autres versions de cet article :

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-h5510


Cet article fait partie de l’offre

Technologies logicielles Architectures des systèmes

(239 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

4. Utilisation des certificats

Les certificats ont de multiples usages aujourd’hui. Ils apparaissent à la fois dans l’utilisation de protocoles informatiques et surtout de façon pratique dans des applications à destination du grand public. Nous décrivons ici ces deux types d’utilisation qui ressortent de deux emplois élémentaires des certificats :

  • signature d’un document ;

  • chiffrement de la clé symétrique servant à occulter le contenu d’un message.

4.1 Protocoles et formats utilisant les certificats

HAUT DE PAGE

4.1.1 Authentification dans les transactions électroniques par SSL/TLS

L’authentification est sans doute le premier usage des certificats. Les partenaires qui veulent s’authentifier mutuellement s’envoient leurs certificats respectifs accompagnés d’une preuve qu’ils en sont bien les possesseurs. Cette preuve consiste en un message (un jeton) signé par la clé privée associée à la clé publique contenue dans le certificat. Il faut évidemment prendre quelques précautions pour éviter que ce message d’authentification puisse être rejoué par quelqu’un d’autre.

L’authentification par certificats est mise en œuvre notamment par un protocole de sécurisation des échanges sur Internet appelé Secure Sockets Layer (SSL) ou plus récemment standardisé sous le nom Transport Layer Security (TLS) par l’IETF. Ce protocole a été développé par Netscape pour assurer initialement la sécurité des échanges, par exemple, entre un serveur Web et un client muni d’un navigateur.

SSL permet de chiffrer les communications entre un client et un serveur et d’authentifier le serveur (version 2 du protocole). Il peut aussi, de façon facultative, authentifier le client (version 3). Bien que ce protocole ait été développé pour les communications HTTP entre un navigateur Web et un serveur Web, il peut aussi être utilisé pour les transferts de fichiers FTP.

Il n’est pas dans l’intention de ce document de décrire le protocole en détail (on se référera plutôt à [7]...

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Technologies logicielles Architectures des systèmes

(239 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Utilisation des certificats
Sommaire
Sommaire

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Technologies logicielles Architectures des systèmes

(239 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS