Passer au contenu

Les infrastructures de confiance en quête d’un second souffle

Pour devenir une réalité à grande échelle et se rapprocher des besoins des utilisateurs en entreprise, les infrastructures à clés publiques (PKI) doivent dépasser leur complexité initiale.

” Force est de constater que notre langage d’expert (mea culpa) n’a pas facilité la compréhension des techniques des infrastructures à clés publiques (PKI en anglais, ICP en français) pour les grands utilisateurs. Ce domaine a été initialement conduit par des spécialistes de la technologie, à travers la norme X509 et toutes celles de l’IETF qui ont suivi. Ces normes ont introduit une terminologie technique absconse. Or, ce langage est mal compris des utilisateurs, voire rejeté par certains d’entre eux – notons que certains éditeurs de logiciels ICP l’ont bien saisi et ont, d’ores et déjà, réadapté leurs messages commerciaux en supprimant le terme PKI.Ce changement doit passer par une remise au premier plan du besoin des utilisateurs, l’ICP et les certificats n’étant plus que des solutions techniques. Le langage consacré dans le milieu des cartes bancaires peut être un modèle de référence. Un émetteur de cartes bancaires et un émetteur de certificats suivent des procédures organisationnelles similaires, surtout si ce dernier stocke les clés privées de l’utilisateur final sur une carte à puce ou sur tout autre dispositif physique équivalent. De son côté, le récepteur d’une signature qui utilise le certificat du signataire s’apparente au système d’acquisition et d’acceptation de la carte bancaire. Pareillement, tout le système de validation des certificats ressemble à s’y méprendre au système d’autorisation des cartes bancaires.Ainsi, chaque projet ICP devrait comporter un glossaire de référence prenant en compte le vocabulaire métiers de l’entreprise ou de l’institution concernée par le projet, et introduire les termes techniques et juridiques inhérents. Cette complexité a entraîné des abus de langage dangereux, en particulier sur la notion de tiers de confiance. La Fédération nationale des tiers de confiance (FNTC), qui regroupe un grand nombre d’acteurs institutionnels et d’opérateurs de ce marché, devrait contribuer à éclaircir le positionnement de chacun d’eux, afin d’en faciliter la lecture pour les utilisateurs potentiels.

Le positionnement des acteurs de la confiance

Les acteurs des marchés d’affaires utilisent des applications informatiques qui optimisent leurs relations, raccourcissent leurs délais, et augmentent leur rentabilité. Tout cela pourrait simplement s’appeler le renforcement de la relation clients. Le plus souvent, cela passe par la dématérialisation des procédures et des échanges, qui conduit, aujourd’hui, à exprimer un besoin nouveau en matière de couverture du risque lié à une non-finalisation de leurs transactions – soit par atteinte à la sécurité, soit par contestation de la partie adverse. Les entreprises ou les individus attendent du mot “confiance” la garantie que les services rendus par ces partenaires les protégeront contre ce risque.Et l’entreprise est tentée de faire appel à ses partenaires de confiance traditionnels (banques, notaires, greffiers, experts-comptables), à l’État (préfecture ou mairie, par exemple), ou encore, à La Poste. Ces acteurs de confiance ne sont cependant pas des professionnels de l’informatique. Ils doivent, le plus souvent, faire appel aux spécialistes que sont les prestataires ou opérateurs de services de confiance. Ceux-ci ne sont pas des tiers dès lors qu’ils interviennent dans un cadre contractuel pour un donneur d’ordre et sur la base d’un niveau de qualité de service.Les opérateurs vont, à leur tour, s’appuyer sur un socle de services de base, comme la certification de clés, l’horodatage, l’archivage, qui, seuls ou combinés, vont permettre de constituer les données de sécurité ou les éléments de preuve aux fins des besoins utilisateurs. Or, trop souvent, les messages mélangent les aspects technologiques et les aspects fonctionnels, ainsi que les aspects juridiques de la preuve électronique.

Un manque de maturité des logiciels

Un certificat peut être employé sans trop de problème dans les applications nées avec l’Internet, comme les navigateurs ou les systèmes de messagerie. Cependant, les capacités du certificat, telle la vérification d’un chemin de confiance, ne sont que très rarement utilisées.En ce qui concerne les applications métiers des entreprises, le problème est plus complexe. En effet, il faut faire appel à des boîtes à outils spécialisées pour adapter les applications aux capacités des certificats.Il reste que, aujourd’hui, ce sont les applications utilisatrices qui dictent ce qu’il faut mettre dans ces champs, au grand dam des concepteurs, qui ne peuvent toujours pas se servir des capacités prévues par la norme.Face à des projets comme le portail Net.entreprise de la santé, ou à d’autres qui se profilent autour d’une carte électronique du citoyen, il serait opportun de définir les profils que l’on veut donner aux certificats, et de mettre en commun ces réflexions pour aider les émetteurs à gérer l’interopérabilité pour leurs utilisateurs finaux. Peu à peu, les fonctions de gestion des certificats vont se fondre dans les applications, et passeront inaperçues.Les entreprises achèteront des solutions qui répondent à leurs besoins et dans lesquelles l’ICP ne sera qu’une sous-partie intégrée. C’est donc aux concepteurs des nouvelles applications de faire preuve d’imagination. “* Directeur audit et sécurité des systèmes d’information chez Ernst & Young

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Thierry Autret*