Accès au contenu		Début du rapport
	Description		Compte-rendu des expositions et conférences lors de la Semaine Européenne des Technologies de l'Information (SETI 2002).
	Contexte & Dates		Rapport réalisé pour notre service de veille en actualité . La différence entre la date de rédaction et la date d'envoi est généralement due aux corrections et relectures par les différentes personnes ayant participé à la conférence. 4 avril 2002 - Rédaction du compte-rendu 8 avril 2002 - Envoi aux abonnés de la veille en actualité 28 mai 2003 - Publication sur le site web d'HSC
	Auteur		Hervé Schauer (Herve.Schauer@hsc.fr) et Franck Davy
	Langue et Nature
	Résumé & Table des matières		1) Introduction 2) Expositions 3) Netsec 4) Net2002 : PKI 5) Net2002 : systèmes de paiement 6) Conclusion
	Documents liés
	Droits d'auteur		© 2002, Hervé Schauer Consultants, tous droits réservés.

Le SETI s'est déroulé du 26 au 28 Mars 2002 à Paris Expo, à la Porte de Versailles. Le SETI regroupe un ensemble de 12 salons au même endroit :

• CODEXPO
• DISPLAY
• FIHT/COMDEX
• MICAD
• NETSEC : sécurité
• ONLINE - Net2002
• P@I / PAO
• Radio-fréquences, Hyper-fréquences et wireless
• RTS : Solutions Temps Réel et systèmes embarqués
• Solutions E-CRM
• Solutions Industrie & Distribution (GPAO/ERP)
• Solutions Vision

La majorité de ces salons proposent en parallèle au salon des cycles de conférences. HSC s'est focalisé sur les parties liée à la sécurité : les expositions, les tutoriels et conférences Netsec, et la session sécurité du congrès Net2002, associé à l'exposition Online.

Les expositions étaient importantes, occupant la plupart des halls de Paris Expo, cependant celles-ci n'ont pas présenté de nouveautés marquantes en sécurité.

Le salon des Radio-fréquences, Hyper-fréquences et wireless (http://www.birp.com/hyper/) ne proposait pas d'antennes ou de logiciels spécifiques pour le 802.11b, ou d'équipements intéressants pour la sécurité.

Le salon Netsec comptait moins d'exposants que la liste affichée sur le serveur web (http://www.groupesolutions.com/NETSEC/Netsec_liste.htm) avec certains d'entre eux qui ne sont pas directement lié à la sécurité. Cette exposition à plutôt montré une stagnation économique du marché de la sécurité.
A noter l'arrivée de nouveaux acteurs, comme la société de service Kerberos (http://www.kerberos.fr/), créée par des anciens d'Euriware/Ifatec, et l'éditeur Israélien Kavado pour la sécurité des serveurs web. Kavado entre en concurrence avec les français NetSecure Web (http://www.netsecuresoftware.com/) (*), Rweb de Deny-All (http://www.deny-all.com/) et RealSentry d'Axiliance (http://www.axiliance.com/), ainsi qu'AppScheild d'un autre éditeur israélien : Sanctum (http://www.sanctuminc.com/).
Les fournisseurs de firewalls présents étaient les français Arkoon (http://www.arkoon.net/) et Netasq (http://www.netasq.fr/), il y avait donc beaucoup d'absents.

Une nouveauté était les publicités pour la norme ISO17799, comme sur le stand de Terra Proxyma, partagé avec Auditware.

Cependant, les sociétés offrant des services autour de la norme ISO17799 rapportent toujours la possibilité d'évaluer ou de certifier son niveau de sécurité. Je rappelle qu'il n'existe pas de tels processus normalisés. La norme est un document de recommandations. Seule l'utilisation de la norme anglaise BS7799-2 permet d'engager un tel processus, et cette dernière n'a pas été proposée à l'ISO.
L'ISO travaille sur la révision de la norme ISO17799 issue de la BS7799-1.

Enfin, dans l'espace du salon Netsec, 18 réseaux sans fil étaient détectables, dont 14 sans utilisation du WEP, un des 4 en WEP étant celui d'HSC.

• La présentation de Christian Simatos d'introduction à la norme ISO17799 : http://www.auditware.fr/ISO17799-CS.pdf

HSC (http://www.hsc.fr/) est intervenu pour deux tutoriels d'une journée, sécurité du commerce électronique et une nouveauté avec la sécurité des réseaux sans fil, en détaillant l'existant pour sécuriser un réseau sans fil avec Cisco LEAP et le futur avec IEEE 802.11i qui comble les failles du WEP en introduisant une clé dynamique, une authentification de l'utilisateur et un contrôle d'accès au niveau MAC avec 802.1X.

Le cycle de conférences a été orienté présentation de produits et marketing, par des commerciaux connaissant parfois mal leur propre produit, sans toujours suivre le contenu annoncé.
Jean-Jacques Bernard a présenté les résultats des tests d'interopérabilité IPsec et IKE réalisés par HSC lors d'IPsec 2001. Dans la même session Axel Fremont de Solsoft a présenté la configuration de tunnels IPsec avec Solsoft NP.

• Les transparents de Jean-Jacques Bernard (HSC) : http://www.hsc.fr/ressources/presentations/netsec2002/

Lors du congrès Net2002, Franck Davy (Hervé Schauer Consultants), a présenté un état de l'art des solutions PKI libres (open-source).

Thomas Hutin, ingénieur avant-vente de Baltimore technologies, a débuté la conférence. Il a succinctement présenté les perspectives de plates-formes de services fondées sur des solutions Baltimore, solutions notamment fondées sur l'utilisation de certificats d'attributs.

Ahmed Serhrouchni, enseignant-chercheur à l'ENST Paris, a poursuivi par un rappel technique sur les Infrastructures à Clé Publique (notion de cryptographie asymétrique, introduction à la norme X.509 et au profil PKIX etc.). Son discours s'est essentiellement centré sur les certificats d'attributs, en cours de normalisation à l'IETF.
Cet effort de normalisation est notamment soutenu par Baltimore Technologies.
Les certificats d'attributs sont supposés adresser les problèmes d'autorisation d'accès aux ressources. Ils doivent être utilisés conjointement à un certificat d'identité, mais possèdent, d'une part, une durée de validité moindre, et d'autre part ne nécessitent pas de phase d'enregistrement, maillon faible des PKI.
L'assistance n'a, dans l'ensemble, pas été convaincue par la nécessité, voire même l'utilité, de tels certificats :

• Les architectures à base de certificats d'identité ont, à l'heure actuelle, de nombreuses difficultés à percer.
• L'introduction de certificats d'attributs rend obsolète l'utilisation de solutions telles que Netegrity Siteminder, certaines de ces solutions étant elles-mêmes promues par Baltimore Technologies, et faisant par conséquent double emploi.

Gérard Weisz, secrétaire général de la FNTC (Fédération Nationale des Tiers de Confiance, http://www.fntc.org/) a dressé un panorama des prestataires de services de certification (Tiers certificateurs, archiveurs, horodateurs etc.), et a évoqué l'effort réalisé actuellement par ces différents acteurs pour la réalisation de labels de qualité nationaux.

discutant, HSC a constaté que ceux qui connaissaient IDX-PKI considéraient les solutions comme Unicert de Baltimore comme étant des solutions d'infrastructures pour des utilisateurs ne connaissant réelleement pas le domaine de la PKI et les possibilités offertes, en demeurant réaliste, par cette technologie. Il en résulte l'adoption de solutions packagées qui, outre leur prix excessif, manquent cruellement de flexibilité. On trouve des exemples de sociétés ayant totalement redéveloppé en interne une PKI, afin que celle-ci réponde parfaitement adaptée aux besoins exprimés. Un juste équilibre est à trouver : une solution telle que IDX-PKI apparaît dès lors comme une bonne base de départ, même si elle apparaît naturellement comme difficilement exploitable en l'état, sans développement supplémentaire. Une PKI ne s'achète pas, elle se construit ; elle constitue à ce titre un projet structurant l'entreprise, à laquelle elle doit s'adapter - et non l'inverse. À Eurosec, la DCSSI a présenté un cas similaire de redéveloppement sur mesure pour répondre à ses besoins.

Le frein majeur à l'adoption d'IDX-PKI reste l'utilisation de la bibliothèque OpenSSL, qui ne réponds pas aux critères de qualité du reste.
L'utilisation de modules PKCS#11, afin de faire abstraction d'OpenSSL, serait une véritable avancée pour IDX-PKI et Franck Davy a précisé que ce projet était en cours chez Ideal'X, qui suit le projet GPKCS#11 et a débuté l'écriture d'un module ASN.1, afin de faire abstraction de la bibliothèque ASN.1 d'OpenSSL.

Pour clore ce cycle dédié aux PKI, Azeddine Dehbi (FranCert) a effectué une présentation sur les EPC (Énoncé des Pratiques de Certification) et PC (Politique de Certification).

• La présentation de Franck Davy sur les solutions en logiciel libre : http://www.hsc.fr/ressources/presentations/net2002/
• OpenSSL : http://www.openssl.org/
• IDX-PKI : http://idx-pki.idealx.org/

La seconde partie de la conférence était consacrée aux systèmes de paiement, plus particulièrement dans un contexte B2C.

Christophe Beauvais, président de la filiale France Télécom Orbiscom, a présenté un nouveau moyen de paiement sur Internet, baptisé O'Card et notamment fondé sur le protocole 3D-Secure.
La nouveauté de ce procédé réside dans la transparence totale pour le site marchand (contrairement à SET). L'installation d'un plug-in côté client est cependant nécessaire.
France Télécom Orbiscom est une filiale de France Télécom, créée suite à la signature d'un contrat d'exclusivité entre France Télécom et la société Orbiscom.
Le principe est fondé sur l'utilisation de numéros de carte bancaire à usage unique : le logiciel client se connecte à la plate-forme Orbiscom, s'authentifie par un moyen quelconque (propre à la banque de l'usager) et entre un montant maximal pour la transaction ; un numéro de carte bancaire à usage unique est alors généré.

                                 Banque Usager
				       |
                                       | ^ numéro original
 numéro unique < > numéro original     |
                                       |
                     _________ Plate-forme Orbiscom _______
                    |                                      | ^ numéro unique
                    |                                      |
                    |                                      |
 Client ------{ Internet }                     {Réseau de compensation}
                    |                                      |
                    |                                      |
                    |                                      |
                     ------------ Site Marchand -----------
                numéro unique  >                  > numéro unique

Dans la démonstration réalisée, l'authentification s'est faite par nom d'utilisateur/mot de passe, en passant en paramètre le montant maximal autorisé pour la transaction.
L'objet de ce montant maximal est d'éviter un abus du commerçant ; ce montant en pratique doit être supérieur au montant exact de la transaction, dans la mesure où une certaine souplesse doit être accordée au commerçant pour la gestion des devises et frais d'envoi, notamment.
Ainsi, le client effectue son paiement sur Internet avec un numéro à usage unique ; la procédure est totalement transparente pour le commerçant : le numéro à usage unique est d'un format tout à fait classique.
La transaction se poursuit sur le réseau de compensation. Le numéro transite jusqu'à la plate-forme Orbiscom et cette dernière effectue la traduction numéro à usage unique vers numéro de carte du client ayant effectué la demande initiale. Le compte du client peut ensuite être débité. Le procédé implique uniquement l'usager et sa banque.
Ce système a été acheté par Visa et Mastercard.
Les plug-in's sont propres à la banque de l'usager : l'authentification par nom d'utilisateur/mot de passe étant dans ce cas particulier propre à la Société Générale.

Pour clore cette conférence, Vincent Rigal (membre fondateur de Smart Design et ancien directeur technique de l'activité Carte à Puce chez Schlumberger) a effectué une présentation remarquable intitulée "La sécurité des paiements par cartes: les raisons profondes d'échecs retentissants", mettant en exergue les difficultés rencontrées par les quelques 160 systèmes de paiement recensés sur Internet.
Un échec qui aura le plus souvent pêché par un manque de bon sens et de marketing, chacune de ses 160 solutions étant techniquement viable, mais tout à fait inadaptée au monde bancaire, pour lequel la moindre implémentation prend 12 ans à 20 ans avant de s'imposer, étant donné le nombre de porteurs.

Il aura notamment expliqué les raisons de l'échec du système double fente de France Télécom, pénalisant fortement l'utilisateur :

• L'utilisateur effectue un achat non répudiable, et l'honnêteté des acheteurs sur Internet n'est pas leur qualité première (ces derniers ayant tendance à répudier un achat si la couleur de ce dernier ne leur convient pas...)
• D'autre part, l'utilisateur doit payer pour un terminal plus encombrant, onéreux et généralement moins esthétique dans une gamme de choix plus restreinte.
• Dernier point, l'envoi de SMS est facturé au client. La transaction est en effet réalisée par envoi de SMS, et aucune différenciation n'est actuellement techniquement réalisable pour distinguer la nature des différents SMS émis par le client.

Vincent Rigal a notamment émis des doutes sur le système Orbiscom, dans la mesure où il nécessite l'installation par le client d'un logiciel spécifique. Ce dernier procédé a cependant l'avantage d'être créateur de confiance et de laisser son caractère répudiable à un achat effectué en ligne. Autre avantage indéniable : il est promu par VISA.

Un procédé imaginé par Smart Design et présenté par Vincent Rigal se nomme GeoTel. L'idée est née suite à la constatation que la majorité des fraudes (ou les plus coûteuses du moins) concernent les "borders frauds", typiquement pour des achats effectués depuis l'étranger, par exemple suite au vol de son numéro de carte à l'étranger. Ce type de fraude est d'autant plus inquiétant que sa progression est linéaire (à forte pente) depuis quelques années.

Le principe est simple : lorsqu'un achat est effectué à l'étranger, le GSM du client est localisé (on suppose bien entendu que le client possède un mobile GSM, ce qui est naturel s'il est abonné au service). Si le GSM est effectivement dans le pays d'où est effectué l'achat, la transaction se déroule normalement ; dans le cas contraire, le propriétaire du mobile GSM est appelé pour confirmation.
Le système est lourd en apparence (coût du service de support typiquement), mais l'idée semble viable commercialement et sans difficulté technique. L'objet n'est pas d'interdire la transaction frauduleuse avant compensation, qui remettrait en cause l'équilibre même du mécanisme de compensation, mais de bloquer les achats suivants afin de limiter approximativement 6 fraudes sur 7 à l'étranger. En effet, 7,4 achats sont effectués en moyenne avant que soit faite opposition ; dans le cas de GeoTel, au premier achat l'opposition est faite. Le principe n'est pas sans faille, mais toute modification profonde du système de paiement (côté usager ou commerçant) est vouée à l'échec. Tout est question de proportions.

Plutôt que celles de Netsec, la session la plus intéressante aura été celle sur la sécurité dans le cadre de Net2002 , qui a duré 4h30, malgré l'absence de plusieurs participants initialement prévus.

Le point qui se confirme est que la PKI n'est plus en vogue, particulièrement dans le commerce électronique (systèmes de micro-paiements ou non). Une telle infrastructure nécessite en effet l'installation d'un logiciel côté client ou marchand (voire les deux), avec généralement de lourdes contraintes de sécurité. Dans le cas de SET, le commerçant devait véritablement s'équiper d'un bastion.
L'expérience et les études ont confirmé que tous ces systèmes étaient voués à l'échec.
Seul domaine dans lequel la PKI semble avoir encore une raison d'être : la sécurisation des échanges (avec HTTPS) ou encore le domaine de la gestion d'accès aux ressources, avec les certificats d'attributs. Cette dernière utilisation n'est malheureusement guère convaincante.