Rechercher :         

Imaginez un monde où vous disposeriez avec votre carte bleue ou votre téléphone portable d'un moyen d'accéder à tous les services réseau dans un environnement totalement sécurisé. Un rêve ? Vous avez raison, nous sommes encore très loin de ce monde. LDAP, le protocole d'accès aux annuaires taillé pour le Net, ne permet toujours pas de fédérer des utilisateurs dispersés dans l'infrastructure logicielle (systèmes d'exploitation, serveur d'application, progiciel...). Quant aux fameuses PKI (Public Key Infrastructure), faute d'intégration, aucune solution ne parvient à fonctionner de manière simple. Une situation qui conduit à un paradoxe assez mordant: alors que les sites utilisent des procédés de personnalisation pour mémoriser nos préférences, c'est toujours à l'utilisateur de se souvenir de ses mots de passe !

Les deux acteurs des PKI
Cette situation s'explique. Le terme PKI fédère deux catégories d'acteurs très différents: des pourvoyeurs d'infrastructures (logiciels et matériels) et des fournisseurs de services (des opérateurs de PKI comme Verisign). Et dans le monde de l'entreprise, ce marché de services autour des certificats suscite grand nombre de vocations. Les principales banques françaises (Natexis Banques Populaires, BNP-Paribas, Société Générale, Crédit Lyonnais, etc.) se lancent d'ores et déjà en ordre dispersé dans cette aventure mais devraient très vite se heurter à deux obstacles: la compétence et l'interopérabilité.

La compétence d'abord parce que les experts de ce domaine sont encore rares et les systèmes particulièrement fragiles. L'interopérabilité ensuite parce qu'elle diminue avec la complexité. Or, ces systèmes restent très complexes. En fait, si les banques réussissent, ce sera peut-être en utilisant Verisign en marque blanche... Prudents, certains optent pour une autre voie: la création de nouvelles entités via des alliances. La Poste et Sagem par exemple ont choisi de rassembler leurs compétences au sein de Certinomis.

Deux obstacles majeurs
Ce type d'association ne sera pas de trop pour surmonter d'autres obstacles qui ont cette fois peu à voir avec l'infrastructure informatique. A titre d'exemple, pour délivrer des certificats, et valider les identités auxquels ils sont associés, il faut pouvoir s'appuyer sur un réseau de guichets bien réels. Enfin, il faut aussi que ces certificats puissent être exploités à une grande échelle et sur de nombreux supports... Bref, il est probable que quelques acteurs seulement seront capables de mettre à disposition une telle infrastructure. Faudra-t-il s'inquiéter d'une telle centralisation de la gestion des certificats ? Pas forcément. L'histoire montre plutôt que les procédés d'authentification s'imposent quand ils sont gérés par une autorité centrale ou une par une poignée d'acteurs (voir le cas des Cartes Bleues, par exemple).

Reste toutefois à identifier ce qui enclenchera le cercle vertueux qu'attend ce marché depuis bien longtemps. Pour les entreprises, l'obligation d'en passer par les télé-procédures (pour la TVA) pourrait jouer ce rôle. Pour les particuliers, la situation est plus confuse - les banques qui ont voulu faire payer la sécurisation des transactions sur Internet en proposant un lecteur de cartes à puce en sont encore pour leur frais !

Le login unique, "killer app" de la PKI ?
Une certitude toutefois: pour le grand public, la killer application de la PKI sera bel et bien la signature unique (le fameux SSO, Single Sign On), dans les mondes réels et virtuels - avec la sauvegarde de la vie privée en prime ! Certains, comme Microsoft avec sa technologie Passport, ont manifestement bien compris l'enjeu. Mais si l'objectif semble limpide - donner à un procédé d'authentification une totale ubiquité - le chemin pour y parvenir, pour le grand public comme pour les entreprises, est semé d'embûches. Technologiques mais pas seulement... Le cercle vertueux s'enclenchera seulement si tous les acteurs (entreprises, pouvoirs publics...) y voient clairement un intérêt.