22/03/01
Arcot
prône le camouflage cryptographique pour ses cartes
à puce virtuelles
A
l'heure actuelle, l'un des principaux freins au déploiement
d'infrastructures PKI réside dans la vulnérabilité
des certificats authentifiant les personnes dans le cadre
de transactions. En effet, un hacker qui réussit à
en intercepter un, d'une façon ou d'une autre, peut
réussir à le casser à l'aide de petits
programmes générateurs de clefs. En utilisant
un système d'analyse des résultats, celui-ci
peut déterminer si le résultat généré
est le bon, car une clef publique se présente en général
sous la forme d'une structure particulière reconnaissable.
Le hacker soumet le certificat à son générateur,
et une seule séquence renvoyée aura ainsi l'aspect
d'une clef privée.
Afin de répondre à cette problématique,
l'éditeur américain Arcot,
qui vient d'ouvrir sa filiale française à La
Défense, a développé et déposé
un algorithme de "camouflage cryptographique". Sa
solution WebFort se présente sous la forme de conteneurs
logiciels, ou cartes à puce virtuelles, intégrant
les certificats à télécharger par l'utilisateur
lors de ses transactions. "Pour chaque séquence
différente obtenue par le hacker, nous générons
une séquence qui aura l'aspect d'une clef", explique
Philippe Delberghe, président d'Arcot France. "De
fait, il ne reste plus qu'une seule solution pour le hacker
qui ne peut déterminer précisément la
clef. Il doit toutes aller les vérifier en ligne, et
le système peut ainsi l'identifier en tant qu'intrus."
Déploiement
facile sans tokens ni cartes à puces
Parmi les autres avantages de la solution Arcot WebFort,
le conteneur n'est pas stocké sur le poste utilisateur
mais généré sur un serveur. Se présentant
sous la forme d'un petit fichier de 2 ko environ, celui-ci
n'est téléchargé sur le poste de travail,
fixe ou mobile, que le temps de la transaction. Une fois celle-ci
accomplie, le fichier est libéré et l'identité
retourne sur le serveur. Dans ce contexte, il n'est pas nécessaire
non plus d'avoir recours à des composants physiques
comme les tokens (sortes de calculettes à codes), ou
même les cartes à puces. De fait, la question
ne se pose plus d'équiper tous les postes utilisateurs
de lecteurs, ni de savoir qui va les payer.
En tant qu'acteur, aussi, Arcot ne se positionne pas comme
un concurrent des fournisseurs d'infrastructures PKI, mais
plutôt comme un partenaire. D'après Philippe
Delberghe, "notre système résoud deux problèmes
liés à la certification. Lorsqu'un certificat
est chargé sur un poste de travail, il est facile pour
le pirate d'employer un cheval de Troie qui va le lui réexpédier.
De plus, dans le cadre d'infrastructures PKI, il faut procéder
à un déploiement physique sur chaque poste concerné,
ce qui constitue un réel écueil. D'après
les analystes de Gartner, 80 % des projets de déploiement
de certificats se seraient soldés par un échec
en raison de cette cause."
Des
clients au delà du million d'utilisateurs
En France, Arcot ambitionne d'atteindre un chiffre d'affaires
de 2 millions de dollars à la fin de l'année
2001. Son effectif, de 3 personnes à l'heure actuelle,
devrait passer à 8 dans le même temps. A
défaut de clients français, l'éditeur
fondé en 1997 cite des références de
poids à l'international : Posten (la poste suédoise),
le réseau de santé américain IDX, la
compagnie ferroviaire Union Pacific Railways et la banque
Western Union. Pour chacune de ces sociétés,
les déploiements concernent plus d'un million d'utilisateurs.
Du côté des partenaires SSII, aucune signature
n'a encore été entérinée avec
un acteur français, mais Arcot bénéficie
d'un partenariat international avec Sema.
Enfin, WebFort étant compatible avec les interfaces
standard PKCS, le choix du tiers de confiance reste libre
pour le client. Quant à son prix, le système
est commercialisé à 35 000 dollars
par licence serveur, puis de 12 dollars pour un seul
ArcotID, ou identifiant fournit par la banque, à 25 cents
au delà de quelques millions d'utilisateurs.
[François Morel,
JDNet]
|