Présentation
En anglaisRÉSUMÉ
C’est une évidence, l’expansion d’Internet et la dématérialisation des documents nécessitent de nos jours des techniques fiables concernant la certification électronique des individus et des systèmes. Il est en effet devenu incontournable pour les entreprises et les organisations de s’appuyer sur une Infrastructure de Gestion de Clés robuste et maîtrisée. Cet article commence par lister les exigences de sécurité imposées par la dématérialisation des échanges et s’appuyant sur les définitions d’intégrité et de confidentialité des données. Sont détaillés ensuite les objectifs et le processus de certification électronique, puis quelques exemples de protocoles standards de communication et d’organisations viennent illustrer l’usage des certificats.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleABSTRACT
Today the expansion of the Internet and the dematerialization of documents obviously require reliable techniques concerning the electronic certification of individuals and systems. It has become essential for companies and organizations to rely on a robust and mastered Public Key Infrastructure. This article starts with a list of some security rules required by the dematerialization of exchanges based on the definitions of data integrity and confidentiality. The objectives and the process of electronic certification are then given with some examples of standard communication protocols and organizations for illustrating several usages of certificates.
Auteur(s)
-
Gérard RIBIÈRE : Informaticien
INTRODUCTION
Les craintes inspirées par la dématérialisation des documents
Tout échange ou tout type de commerce sur un réseau informatique, et notamment sur Internet, nécessite une fonction qui permette aux parties en présence de s’identifier mutuellement. Une fois identifiées, les parties vont ensuite vouloir participer à des transactions, celles-ci consistant en des échanges de commandes, de factures, de paiements, et de documents en général.
Considérons, par exemple, le cas de l’achat d’actions sur Internet auprès d’un courtier. Le problème se pose pour le courtier et l’acheteur de s’identifier mutuellement, c’est-à-dire de s’assurer de l’identité du partenaire. Mais cela n’est pas suffisant : le courtier doit pouvoir prouver que l’acheteur a bien commandé un type et un nombre donné d’actions ; et l’acheteur doit être sûr que sa commande a bien été prise en compte par le courtier.
Afin d’atteindre, au cours d’échanges sur un réseau informatique, le même degré de confiance que dans la vie réelle où les documents physiques échangés sont munis d’une signature manuscrite, il est nécessaire de reproduire de façon électronique l’identification mutuelle des acteurs d’une transaction ainsi que la signature des documents qui lui sont liés.
L’identification électronique des acteurs de transactions
Comme nous le verrons plus loin dans cet article, l’identification par mot de passe, et même le chiffrement des informations échangées, ne suffisent pas à répondre au besoin décrit précédemment. La réponse est fournie par un processus de certification des acteurs de transactions s’appuyant sur un ensemble de composants et de fonctions constituant une Infrastructure de Gestion de Clés (IGC) et permettant une signature numérique des documents échangés.
Ce type de processus est déjà employé de façon opérationnelle aujourd’hui dans des échanges transactionnels, et notamment par les professionnels de santé pour transmettre les feuilles de soins électroniques à travers Internet. Les fonctions et les produits que nous allons décrire dans cet article vont permettre de réaliser tout autre type de commerce sur les réseaux, au sens large, débordant largement le cadre des relations avec l’administration publique.
Dans cet article, nous allons tout d’abord citer les exigences de sécurité imposées par la dématérialisation des échanges (à travers Internet par exemple) puis nous décrirons brièvement les techniques utilisées pour répondre à l’exigence d’authentification et par conséquent au besoin de certification.
Ensuite, nous présenterons la notion de certificat électronique ainsi que les fonctions des autorités de certification chargées de délivrer des certificats. Afin d’illustrer notre propos, nous présenterons quelques protocoles standards de communication ainsi que des applications pratiques faisant usage des certificats.
Nous insistons sur Internet parce que c’est le mode d’utilisation du réseau présentant le plus de risques en termes de sécurité. Cependant, puisque la certification s’applique à tout mode d’utilisation et à tout protocole de réseau, elle peut très bien être employée pour assurer l’identification d’utilisateurs d’une même entreprise sur un réseau Intranet.
VERSIONS
- Version archivée 1 de nov. 2003 par Gérard RIBIÈRE
- Version archivée 2 de avr. 2008 par Gérard RIBIÈRE
DOI (Digital Object Identifier)
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
7. Conclusion
La certification électronique des clés publiques et des données associées des individus et des systèmes est une technique devenue de plus en plus indispensable en informatique, notamment du fait de l’expansion d’Internet et de la dématérialisation des documents. Tout serveur informatique, désirant communiquer de façon sécurisée avec des utilisateurs, utilise aujourd’hui le protocole SSL/TLS qui exige de posséder un certificat électronique.
Il est donc important pour les entreprises et les organisations de s’appuyer sur des infrastructures de gestion de clés (IGC), qui sont gérées soit directement, soit par des prestataires de services de certification électronique (PSCE). Gérer sa propre IGC est hors de portée des PME à cause de son coût ; celles-ci auront avantage à faire appel à des PSCE.
Des PSCE ainsi que des éditeurs de progiciels d’IGC existent depuis longtemps. La standardisation autour du standard PKIX de l’IETF devrait faciliter l’interopérabilité des différentes installations de ces infrastructures.
La généralisation des cartes à puce et des clés USB comme moyens de conservation des certificats et de leur clé privée, pour l’authentification, la signature et le paiement, augmentera le niveau de sécurité de l’authentification et, en même temps, nécessitera de mettre en œuvre de telles infrastructures.
La signature électronique et la sécurité associée pourront être mises à la disposition de tous dès que la carte nationale d’identité électronique verra le jour.
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Conclusion
BIBLIOGRAPHIE
-
(1) - LAMBERTERIE (I. de) - Les actes authentiques électroniques. - La documentation Française (2002).
-
(2) - - Procédures et politiques de certification de clés – - Commission Interministérielle pour la Sécurité des Systèmes d’Information (Version 2.2 janv. 2001).
-
(3) - - Autorités de certification serveurs – - (Fév. 2003) http://www.justice.gouv.fr/igc/pc_mj_srv.pdf
-
(4) - ZEILENGA (K.) - LDAP Schema Definitions for X.509 Certificates. - RFC 4523, IETF (2006). http://www.ietf.org/rfc/rfc4523.txt
-
(5) - SANTESSON (S.), MYERS (M.), ANKNEY (R.), MALPANI (A.), GALPERIN (S.), ADAMS (C.) - X.509 Internet Public Key Infrastructure Online Certificate Status Protocol – OCSP. - RFC 6960, IETF (2013). http://www.ietf.org/rfc/rfc6960.txt
-
...
NORMES
-
Technologies de l’information – Interconnexion des systèmes ouverts – L’annuaire : cadre général des certificats de clé publique et d’attribut - ITU Rec. X.509 - 2016
-
Information technology – Open Systems Interconnection – The Directory – Part 8 : Public-key and attribute certificate frameworks - ISO/IEC 9594-8 - 2-2017
-
Secure Hash Standard (SHS) - FIPS PUB 180 - 4(2015)
-
Data Encryption Standard (DES) - FIPS PUB 46-3 - 10-1999
-
Public-Key Cryptography Standards (PKCS). https://fr.wikipedia.org/wiki/Public_Key_Cryptographic_Standards https://www.emc.com/emc-plus/rsa-labs/standards-initiatives/public-key-cryptography-standards.htm - PKCS -
-
https://tools.ietf.org/html/draft-ietf-tls-rfc5246-bis-00 - The Transport Layer Security (TLS) Protocol Version 1.3 - (2014)
-
Mail Security (Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 3.2) http://www.ietf.org/rfc/rfc5751.txt. - RAMSDELL (B.), TURNER (S.) - (2010)
-
...
ANNEXES
Directive 1999/93/CE du Parlement européen et du Conseil, du 13 décembre 1999, sur un cadre communautaire pour les signatures électroniques (JO L. 13 du 19 janvier 2000, p. 12 à 20).
Loi no 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information et relative à la signature électronique (JO no 62 du 14 mars 2000). Remplacée par Ordonnance n° 2016-131.
Décret no 2001-272 du 30 mars 2001 pris pour l’application de l’article 1316-4 du code civil et relatif à la signature électronique (JO no 77 du 31 mars 2001).
Décret no 2002-535 du 18 avril 2002 relatif à l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information (JORF no 92 du 19 avril 2002, page 6944).
Loi no 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (JORF no 143 du 22 juin 2004, page 11168).
Décret no 2002-692 du 30 avril 2002 pris en application du 1o et du 2o de l’article 56 du code des marchés publics et relatif à la dématérialisation des procédures de passation des marchés publics (JORF no 103 du 3 mai 2002, page 8064).
Décret n° 2013-463 du 3 juin 2013 – art. 1 du Code Général des impôts – Factures
Réglement eIDAS : Le Règlement « eIDAS » n° 910/2014 du 23 juillet 2014 -- Socle commun...
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive