Dr. Miège nous parle des infrastructures à clé publique

Logo EJBCALa montée en puissance des réseaux sociaux couplée à la popularité des nouvelles technologies mobiles et la dématérialisation des échanges, entraînent une vive polémique à propos de la confidentialité et de la sécurité de l’information transigée au sein des entreprises. Les infrastructures à clé publique ou PKI, qui ont suscité beaucoup d’intérêt à la fin des années 90, redeviennent un sujet informatique d’actualité.

Dans une entrevue avec le Docteur Miège (Docteur en sécurité des systèmes d’information et Directeur du bureau de Savoir-faire Linux à Ottawa), nous l’avons interrogé sur le développement et les caractéristiques d’une Infrastructure à Clé Publique.

Q : Tout d’abord, pourriez-vous nous donner une brève définition de ce qu’est une Infrastructure à Clé Publique?

R : Une Infrastructure à Clé Publique, c’est l’ensemble des procédures, des logiciels et des composants physiques qui permettent la bonne gestion des clés et des certificats. Cela englobe entre autres la création, la distribution et la révocation des certificats, la configuration des équipements, les politiques de sécurité associées, etc.

L’utilisation d’algorithmes cryptographiques permet, à travers la distribution de clés à des utilisateurs ou des machines, d’offrir de très intéressants services de sécurité. Ces clés doivent être accompagnées de certificats numériques qui les lient à l’identité de leur détenteur.

Q : Plus spécifiquement, quels sont ces services de sécurité?

Photo Dr.MiegeR : Une Infrastructure à Clé Publique permet de garantir 4 grandes propriétés fondamentales de sécurité :

  • L’authentification forte : l’assurance sur l’identité d’un utilisateur ou d’une machine. C’est là un enjeu majeur qui intervient aussi bien dans l’échange d’information que dans la connexion à un système.
  • La confidentialité : seul le destinataire attitré peut lire les données qui lui sont destinées;
  • L’intégrité : la garantie qu’une information n’a pas été altérée pendant son transfert ou son utilisation.
  • La non-répudiation : elle permet de vérifier que l’envoyeur et le destinataire sont bien ceux qui affirment avoir respectivement envoyé et reçu le message.

Q : En pratique à quoi peut servir une PKI?

R : Il faut voir une PKI comme une couche de gestion qui offre des services élémentaires de sécurité ; ceux que nous venons d’évoquer. Il est ensuite possible de construire des services plus élaborés dont les applications possibles sont multiples.

Évidemment, on pense d’abord à l’envoie de messages électroniques ou de documents signés et chiffrés, ce qui permet d’accroître la confiance dans les échanges avec ses partenaires et ses clients.

L’authentification forte est un autre aspect essentiel, surtout aujourd’hui où la gestion des identités est devenue une préoccupation importante et tout à fait justifiée. Une PKI vous permet de garantir l’identité de vos collaborateurs au sein de votre système d’information. Elle peut vous servir de support à la mise en place d’un Web-SSO (authentification unique sur Internet) par exemple et d’améliorer la sécurité de votre réseau sans-fil. Par ailleurs, l’authentification de vos équipements réseaux améliorera le niveau de sécurité de votre VPN (réseau privé virtuel).

Vous pouvez également vous appuyer sur votre PKI pour mettre en place une véritable stratégie de chiffrement de vos données confidentielles.

Q : Parlez-nous du projet sur lequel vous êtes en train de travailler?

R : Savoir-faire Linux lancera sous peu sa solution d’infrastructure à clé publique afin d’agrandir son offre de services au niveau des solutions de sécurité basées sur des technologies du libre. Nos clients pourront bénéficier d’un système d’information sécurisé pour leur Intranet et Extranet, ainsi que pour l’ensemble de leurs opérations sur la toile. Cette solution est conçue dans sa totalité avec des logiciels libres.

Q : Quelles technologies du libre utilisez-vous pour le développement de votre Infrastructure à Clé Publique?

R : Nous nous basons sur EJBCA qui est sous Licence LGPL. Cette solution libre fonctionne sur un serveur d’application JBOSS. Elle est mature, et surtout elle a fait ses preuves. En plus des briques de base d’une PKI, elle propose l’ensemble des fonctionnalités recherchées pour la mise en place d’une infrastructure complète, telles que les services de révocation et d’horodatage. Nous associons EJBCA à OpenLDAP pour les services d’annuaire (stockage des certificats et des clés publiques) et PostgreSQL pour les bases de données. Et bien sûr, nous nous basons sur les standards tels que PKIX, PKCS ou X.509.

Q : Y-a-t-il eu des projets d’envergure d’implantation de la PKI EJBCA?

R: Très certainement. Une infrastructure à clé publique EJBCA a été implantée avec succès en Suède, où 25 000 employés des forces de polices bénéficient de cette solution de sécurité pour l’identification des passeports électroniques. Également, la Délégation générale pour l’armement (DGA), gérée par le ministère français de la Défense, utilise la PKI EJBCA, depuis 2005, afin de sécuriser sa place de marché électronique. On parle ici d’achats totalisant en moyenne entre 15 et 17 milliards d’euros sur une base annuelle.

Q : Quels sont les avantages de ces technologies du libre comparativement aux solutions propriétaires?

R: Le premier avantage, et le plus important, est la maîtrise totale de son infrastructure. Vous n’êtes pas dans l’obligation d’utiliser les technologies choisies par votre fournisseur, comme vous pouvez l’être avec une solution propriétaire. J’ai évoqué OpenLDAP et PostgreSQL mais chacun est libre de choisir d’autres technologies, et par exemple de s’appuyer sur des services existants au sein de son propre système d’information. La force des logiciels libres est qu’ils sont totalement flexibles. Il est donc possible de mettre l’infrastructure continuellement à jour et de l’adapter à ses besoins pour faire face aux changements technologiques.

Bien sûr, le second avantage est la maîtrise des coûts. Le déploiement d’une PKI est avant tout un défi organisationnel, et c’est là que notre expertise intervient. L’utilisation de solutions libres permet à nos clients de concentrer leur efforts sur cet aspect et de bénéficier d’une diminution de leurs coûts.

Q : On dit souvent que le déploiement d’une PKI est difficile et coûteux. Qu’en pensez vous?

R: Il faut voir une PKI comme les fondations d’un édifice. Si les fondations de votre édifice ne sont pas très bonnes, vous pouvez toujours, au cas par cas, faire des travaux en fonction de vos besoins les plus urgents, mais vous perdrez du temps à chaque fois. Le déploiement d’une PKI c’est repenser l’ensemble des fondations. C’est un gros travail. Mais une fois que la PKI est mise en place, vous obtenez des fondations saines et solides pour vos applications actuelles mais aussi pour vos applications futures.

Q : Peut-on opérer de manière sécuritaire dans un environnement professionnel sans Infrastructure à Clé Publique?

R : Oui et non. Cela reste possible pour des entreprises qui n’ont que très peu d’exigences de sécurité. On peut alors faire de la sécurité au cas par cas. Mais cela devient de plus en plus difficile tant les technologies de l’information sont présentes dans tous les secteurs d’activité.

En outre, il faut bien avoir conscience que l’avenir est à la dématérialisation des échanges, ce qui suppose la capacité à établir des « réseaux de confiance » à travers la gestion des identités, l’authentification forte, le chiffrement, etc. Et de ce point de vue là, la réponse à votre question initiale est clairement non. Ceci ne peut être réalisé sans le déploiement d’une telle infrastructure.

Q : Finalement, Docteur Miège, pensez-vous que l’Infrastructure à Clé Publique proposée par Savoir-faire Linux garantira un niveau de sécurité optimal?

R : En tout état de cause, la mise en place d’une PKI permet de rehausser le niveau général de la sécurité de son système. C’est également investir sur l’avenir, car elle offre un socle solide pour des applications futures.

Savoir-faire Linux est fière d’annoncer la signature d’un partenariat avec l’entreprise d’origine suédoise responsable du développement de la solution EJBCA, Primekey.