HSC
Network Security Consulting Agency Since 1989 - Specialized in Unix, Windows, TCP/IP and Internet
Text mode: access to the page content
Hervé Schauer Consultants
You are here: Home > Resources > Techno-Watch >
Go to: HSC Trainings
Télécharger le catalogue des formations
Search:  
Version française
   Services   
o Skills & Expertise
o Consulting
o ISO 27001 services
o Audit & Assessment
o Penetration tests
o Vunerability assessment (TSAR)
o Forensics
o ARJEL
o Training courses
o E-learning
   Conferences   
o Agenda
o Past events
o Tutorials
   Resources   
o Thematic index
o Tips
o Lectures
o Courses
o Articles
o Tools (download)
o Vulnerability watch
   Company   
o Hervé Schauer
o Team
o Job opportunities
o Credentials
o History
o Partnerships
o Associations
   Press and
 communication
 
 
o HSC Newsletter
o Bulletin juridique HSC
o Press review
o Press releases
o Publications
   Contacts   
o How to reach us
o Specific inquiries
o Directions to our office
o Hotels near our office
|>|  
> Access to the content HTML Beginning of the report  
> Description Report on the "Implementing PKI: feedback" conference at the Clusif on 2 October 2001.  
> Context & Dates Report made for our news monitoring service .
The difference between the report writing and publishing dates are generally due to corrections and proofreading by the different people who took part in the conference.
23 December 2001 - Report writing
29 December 2001 - Sending to the news monitoring service subscribers
4 June 2002 - Publication on HSC's web site  
> Author Franck Davy and Hervé Schauer (Herve.Schauer@hsc.fr) 
> Type  
> Abstract &
Table of content
1. Bertrand Sevellec (Integris)
2. Dominique Manenc (Certplus)
3. Jean-Pierre Chabaneix
Conclusion  
> Related documents
> Copyright © 2001, Hervé Schauer Consultants, all rights reserved.

 

Au programme de cette conférence, l'intervention de quatre acteurs ayant participé au déploiement d'une Infrastructure Clé Publique (ICP) à différentes étapes clés du projet : de sa définition, avec Bertrand Sevellec (Responsable Architecture chez Integris) à son utilisation effective, avec Jean-Pierre Chabaneix (Responsable des Systèmes d'information à la SNCF) pour son expérience d'utilisateur, tout en passant par sa mise en place et son exploitation avec Dominique Manenc pour le prestataire de services de certification Certplus et Fabrice Jonvel pour Neurocom (avec l'exemple de la Poste et de son service d'horodatage).

La trame de la conférence fut la suivante :

  1. Présentation d'un projet de mise en place de plate-forme d'accès intranet dans un contexte ICP
  2. Panorama du marché des ICP et des offres des prestataires de services de certification
  3. Retour d'expérience d'un utilisateur


1. Bertrand Sevellec (Integris)

Bertrand Sevellec (Integris) a succinctement présenté la part de la composante PKI dans l'architecture Bull eSentry, plate-forme d'accès à des applications depuis l'intranet ou l'internet, issue de Bull, et utilisée chez Bull dans son exemple.

L'architecture eSentry ne requiert qu'une seule et unique authentification, via un serveur WebSSO et l'utilisation de certificats X509. C'est un mécanisme de type Single Sign On (SSO) dans un environnement PKI, déjà présenté au Clusif lors de la conférence SSO du 10 mai 2000 . Les points abordés lors de la présentation sont classiques : quelques considérations générales, récapitulant les éléments constituant une telle architecture ainsi que les principes généraux (qu'il s'agisse des autorités de certification ou d'enregistrement, des utilisateurs ou encore de l'aspect organisationnel à travers la rédaction de documents administratifs etc.), suivi de la démarche adoptée pour aborder cette mise en oeuvre.
L'accent a été placé, comme il est de rigueur dorénavant compte-tenu du recul et de la visibilité que l'on peut avoir de ce type de projet, sur la double difficulté d'avoir d'une part des applications supportant une Infrastructure à Clé Publique, et d'autre part l'Infrastructure proprement dite. Une double difficulté qui requiert un investissement important, au sens large.
Au-delà des aspects techniques, visant à expliciter les interactions entre les différentes entités et applications (sur fond de certificats X.509, de relais HTTP en entrée, d'annuaires LDAP et autres autorités de certification etc.), cette intervention aura rappelé les principes directeurs de la réflexion à mener lors du déploiement d'une telle infrastructure : analyse de l'existant, analyse des besoins, état de l'art des outils disponibles afin d'adopter une démarche réaliste et cohérente, sans oublier la prise en compte des besoins exprimés par les utilisateurs eux-mêmes. Une difficulté inattendue : la composante syndicale, intervenant contre la multiplication des mots de passe, et par là même favorable à l'utilisation de supports de stockage type cartes à puce.

Les besoins ayant motivé la mise en place d'une telle infrastructure sont, principalement, une nécessaire unification des méthodes d'authentification auprès des applications, ceci en adoptant et conservant la flexibilité requise pour une société aux filiales multiples et à l'organisation mouvante. Les véritables problèmes se sont avérés directement liés à l'ICP proprement dite, concernant l'ensemble des procédures à formaliser, par exemple : quel est l'évènement "déclencheur" d'une demande de certificat (Concernant la demande de certificat, à la demande de l'utilisateur ? Idem concernant le renouvellement etc.). Ceci sans perdre de vue le budget ou encore la planification du projet qui sont autant de contraintes à considérer.

A l'heure actuelle, ce projet réside encore dans une phase embryonnaire, le seul retour d'expérience concerne donc les difficultés auxquelles les concepteurs de l'architecture ont été confrontés, mais aucun retour concernant l'utilisation effective de cette ICP.
Les choix réalisés n'ont donc pu être validés.


2. Dominique Manenc (Certplus)

Dans un tout autre registre, Dominique Manenc (Certplus) a dressé un panorama du marché des prestataires services de certification, des rôles que ces derniers pouvaient être amenés à tenir, ainsi que des pôles économiques susceptibles d'émerger, ventilés suivant les trois grandes catégories qui suivent, selon Certplus :

  • Le pôle "Sécurité" :
    Pôle concernant principalement la sécurité des échanges, avec notamment la gestion des certificats X.509v3 utilisés lors de sessions SSL/TLS (pour les sites de commerce électronique principalement), ou encore l'authentification mutuelle lors de la négociation de paramètres de sécurité de tunnel IPSec (dans le cadre de VPN, typiquement).
  • Le pôle "Signature" :
    Ce pôle est constitué des services nécessitant une identification du porteur ainsi qu'un service de non-répudiation (à distinguer du mécanisme de "signature" de par sa composante juridique).
  • Le pôle dit "Mixte" :
    Ce pôle regroupe les activités comprenant le chiffrement et signature de courrier électronique, application actuellement la plus en usage.

Teneur de ce discours : la mise en place d'une ICP doit suivre une logique métier, et non une approche purement technologique. Il n'y a pas d'élément probant de retour sur investissement, à moins d'infogérer. Il conviendra de noter que c'est une application telle Télé-TVA, qui aura sauvé économiquement, à court terme du moins, le marché des fournisseurs de services de confiance.

Une mise en garde cependant, il ne faut en aucun cas négliger les nombreux freins au déploiement d'une telle infrastructure :

  • Manque de jurisprudence pour la signature électronique
  • Projets souvent à la croisée des chemins technologiques, juridiques et "marketing"
  • Manque de maturité des offres du marché : qu'il s'agisse des produits, en terme compatibilité notamment, ou encore des acteurs dont l'expérience est essentiellement bâtie autour de projets pilotes.

Cependant, les réussites existent : le service d'horodatage/estampillage de la Poste typiquement, ou encore l'infrastructure mise en place par le Ministère des Finances pour les télépaiements.
La problématique est cependant sensiblement différente de celle à laquelle sont confrontées les entreprises : il ne s'agit pas d'imposer une nouvelle organisation ou de remodeler son système d'information. Reste que les utilisateurs doivent suivre et en faire usage...


3. Jean-Pierre Chabaneix

Jean-Pierre Chabaneix a finalement présenté la mise en place d'un projet pilote d'ICP à la SNCF, relatant essentiellement son expérience en sa qualité d'utilisateur d'une telle infrastructure (conformément au thème parfois oublié de la conférence) : un utilisateur notamment comblé par l'introduction de systèmes à base de cartes à puce, technologie simplifiant la gestion des mots de passe grâce à une unification des méthodes d'authentification. Une simplification d'autant plus appréciable qu'elle concerne aussi bien l'administrateur de l'utilisateur final.

Le besoin primaire, ayant conduit à la mise en place d'une telle infrastructure, est simple et correspond une problématique à laquelle bon nombre d'entreprises sont actuellement confrontées : assurer la confidentialité des données enregistrées sur les postes de travail. Une confidentialité des données à assurer plus particulièrement au niveau des postes nomades, ceci afin de se prémunir contre le vol d'informations par l'introduction de solutions de chiffrement ou d'authentification forte. De plus, des services supplémentaires sont venus se greffer à ceux immédiatement envisagés, ou du moins sont envisagés à terme : le service de non-répudiation, directement associé à un mécanisme de signature électronique.

De tels besoins, en considérant la conjoncture actuelle, concernant l'évolution de la législation vis à vis de la reconnaissance de la signature électronique, ont mené à l'adoption d'une ICP pour les avantages qu'une telle architecture est susceptible de présenter ; une technologie d'ICP impose un modèle organisationnel de l'information, qui est universel : s'appliquant aussi bien aux hommes qu'aux équipements, et offre progressivement un véritable panel d'outils et de services.

Un projet pilote d'Infrastructure à Clé Publique a donc été mis en place en vue de bâtir, à terme, une solution complète et étayée d'un tel système, tout en respectant un certain nombre d'objectifs en terme de performances, d'adaptation à l'environnement technique existant etc.

Les choix technologiques réalisés ont donc été les suivants :

  • Utilisation du système d'exploitation Windows 2000, nécessitant la migration de l'ensemble du parc informatique (pour la cinquantaine de postes concernés par le projet pilote).
  • Support des certificats et clés privées sur un support amovible, type carte à puce.
  • Extériorisation de la gestion des clés et certificats, via un prestataire de services de certification agréé par le DCSSI.
Et l'utilisation faite de ce système est tout à fait classique :
  • Chiffrement des données via EFS
  • Logon session et réseau
  • Chiffrement et Signature des courriers électroniques via protocole S/MIME

Un projet pilote s'avérant satisfaisant, sans aucun doute concluant grâce au réalisme consistant à se concentrer sur le déploiement de l'Infrastructure en fonction des besoins et surtout des logiciels existants, la procédure inverse (preuve d'un excès d'optimisme et de confiance en cette technologie) conduisant inexorablement à l'échec.


Conclusion

Cette soirée aura permis de rappeler la fragilité économique de l'activité de l'infogérance des PKI et l'importance des aides publiques dans leur soutien, ainsi que la difficulté à trouver des applications concrètes et déployées. En Décembre 1999 déjà, Renault présentait à l'OSSIR sa propre ICP, utilisée avec des applications dédiées par ses revendeurs. En quelques chiffres : 40000 utilisateurs authentifiés dans plus de 100 pays et 200 applets signées.
Depuis ce premier déploiement en France, les tentatives de présentations d'expérience d'utilisateurs ne trouvent que des exemples de projets pilotes.

Last modified on 5 June 2002 at 11:03:56 CET - webmaster@hsc.fr
Mentions légales - Information on this server - © 1989-2013 Hervé Schauer Consultants