Arcot prône le camouflage cryptographique pour ses cartes à puce virtuelles

A l'heure actuelle, l'un des principaux freins au déploiement d'infrastructures PKI réside dans la vulnérabilité des certificats authentifiant les personnes dans le cadre de transactions. En effet, un hacker qui réussit à en intercepter un, d'une façon ou d'une autre, peut réussir à le casser à l'aide de petits programmes générateurs de clefs. En utilisant un système d'analyse des résultats, celui-ci peut déterminer si le résultat généré est le bon, car une clef publique se présente en général sous la forme d'une structure particulière reconnaissable. Le hacker soumet le certificat à son générateur, et une seule séquence renvoyée aura ainsi l'aspect d'une clef privée.
Afin de répondre à cette problématique, l'éditeur américain Arcot, qui vient d'ouvrir sa filiale française à La Défense, a développé et déposé un algorithme de "camouflage cryptographique". Sa solution WebFort se présente sous la forme de conteneurs logiciels, ou cartes à puce virtuelles, intégrant les certificats à télécharger par l'utilisateur lors de ses transactions. "Pour chaque séquence différente obtenue par le hacker, nous générons une séquence qui aura l'aspect d'une clef", explique Philippe Delberghe, président d'Arcot France. "De fait, il ne reste plus qu'une seule solution pour le hacker qui ne peut déterminer précisément la clef. Il doit toutes aller les vérifier en ligne, et le système peut ainsi l'identifier en tant qu'intrus."

Déploiement facile sans tokens ni cartes à puces
Parmi les autres avantages de la solution Arcot WebFort, le conteneur n'est pas stocké sur le poste utilisateur mais généré sur un serveur. Se présentant sous la forme d'un petit fichier de 2 ko environ, celui-ci n'est téléchargé sur le poste de travail, fixe ou mobile, que le temps de la transaction. Une fois celle-ci accomplie, le fichier est libéré et l'identité retourne sur le serveur. Dans ce contexte, il n'est pas nécessaire non plus d'avoir recours à des composants physiques comme les tokens (sortes de calculettes à codes), ou même les cartes à puces. De fait, la question ne se pose plus d'équiper tous les postes utilisateurs de lecteurs, ni de savoir qui va les payer.
En tant qu'acteur, aussi, Arcot ne se positionne pas comme un concurrent des fournisseurs d'infrastructures PKI, mais plutôt comme un partenaire. D'après Philippe Delberghe, "notre système résoud deux problèmes liés à la certification. Lorsqu'un certificat est chargé sur un poste de travail, il est facile pour le pirate d'employer un cheval de Troie qui va le lui réexpédier. De plus, dans le cadre d'infrastructures PKI, il faut procéder à un déploiement physique sur chaque poste concerné, ce qui constitue un réel écueil. D'après les analystes de Gartner, 80 % des projets de déploiement de certificats se seraient soldés par un échec en raison de cette cause."

Des clients au delà du million d'utilisateurs
En France, Arcot ambitionne d'atteindre un chiffre d'affaires de 2 millions de dollars à la fin de l'année 2001. Son effectif, de 3 personnes à l'heure actuelle, devrait passer à 8 dans le même temps. A défaut de clients français, l'éditeur fondé en 1997 cite des références de poids à l'international : Posten (la poste suédoise), le réseau de santé américain IDX, la compagnie ferroviaire Union Pacific Railways et la banque Western Union. Pour chacune de ces sociétés, les déploiements concernent plus d'un million d'utilisateurs. Du côté des partenaires SSII, aucune signature n'a encore été entérinée avec un acteur français, mais Arcot bénéficie d'un partenariat international avec Sema. Enfin, WebFort étant compatible avec les interfaces standard PKCS, le choix du tiers de confiance reste libre pour le client. Quant à son prix, le système est commercialisé à 35 000 dollars par licence serveur, puis de 12 dollars pour un seul ArcotID, ou identifiant fournit par la banque, à 25 cents au delà de quelques millions d'utilisateurs.
[François Morel, JDNet]