Apparus il y a déjà plus de dix ans, les systèmes à base de clés publiques ou PKI (Public Key Infrastructure) sont vantés pour sécuriser les transactions sur Internet. Pourtant, ils restent très peu utilisés, le protocole SSL dominant largement le marché sans pour autant offrir un niveau de sécurité équivalent. La complexité de mise en ?”uvre et de gestion des infrastructures PKI et le manque d’intégration avec les applications utilisant les certificats expliquent cet échec.
Pour faciliter l’utilisation des certificats PKI, les grands acteurs de ce marché revoient leur stratégie et misent sur l’hébergement d’infrastructures. Ils multiplient également les accords avec les intégrateurs et les éditeurs de logiciels afin d’inscrire leurs outils dans une politique générale de sécurité des transactions sur Internet. “Le marché va exploser cette année, affirme Jean-Philippe Donnio, responsable de la filiale française de Thawte, société qui vient d’être reprise par VeriSign ; SSL n’apporte pas de garanties suffisantes, les entreprises vont se tourner vers les certificats PKI pour sécuriser leurs échanges “. Le protocole SSL ne fait que protéger les données pendant leur transfert en les chiffrant. Pour s’authentifier, l’utilisateur utilise un mot de passe qui peut être piraté.
Un certificat pour chaque utilisateur
La technologie PKI est prévue pour couvrir à la fois les besoins de protection des données et d’authentification en émettant un certificat propre à chaque utilisateur selon des procédures rigoureuses de contrôle d’identité spécifiées par l’IETF (Internet Engineering Task Force). Reste que pour Patrick Jourdas, directeur Europe du Sud de Baltimore, la première vague de rachats à laquelle on a assisté à la fin de l’année dernière n’est qu’une première étape dans la structuration du marché PKI : “Les problèmes de localisation, de confiance et de fiabilité des certificats restent entiers”. A terme, le marché de l’autorité de certification devrait s’organiser autour de petites sociétés spécialisées par secteur d’activité, de grands comptes et de gouvernements qui délivreront leurs certificats à leurs clients et administrés. En contradiction avec les visées de Verisign, cette perspective semble pourtant plus probable que l’hypothèse d’une autorité de certification internationale qui détiendrait dans son bunker les clés des systèmes de l’ensemble des entreprises et gouvernements
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.