Imaginez
un monde où vous disposeriez avec votre carte bleue
ou votre téléphone portable d'un moyen d'accéder
à tous les services réseau dans un environnement
totalement sécurisé. Un rêve ? Vous avez
raison, nous sommes encore très loin de ce monde. LDAP,
le protocole d'accès aux annuaires taillé pour
le Net, ne permet toujours pas de fédérer des
utilisateurs dispersés dans l'infrastructure logicielle
(systèmes d'exploitation, serveur d'application, progiciel...).
Quant aux fameuses PKI (Public Key Infrastructure), faute
d'intégration, aucune solution ne parvient à
fonctionner de manière simple. Une situation qui conduit
à un paradoxe assez mordant: alors que les sites utilisent
des procédés de personnalisation pour mémoriser
nos préférences, c'est toujours à l'utilisateur
de se souvenir de ses mots de passe !
Les deux acteurs des PKI
Cette situation s'explique. Le terme PKI fédère
deux catégories d'acteurs très différents:
des pourvoyeurs d'infrastructures (logiciels et matériels)
et des fournisseurs de services (des opérateurs de
PKI comme Verisign). Et dans le monde de l'entreprise, ce
marché de services autour des certificats suscite grand
nombre de vocations. Les principales banques françaises
(Natexis Banques Populaires, BNP-Paribas, Société
Générale, Crédit Lyonnais, etc.) se lancent
d'ores et déjà en ordre dispersé dans
cette aventure mais devraient très vite se heurter
à deux obstacles: la compétence et l'interopérabilité.
La compétence d'abord parce que les experts de ce domaine
sont encore rares et les systèmes particulièrement
fragiles. L'interopérabilité ensuite parce qu'elle
diminue avec la complexité. Or, ces systèmes
restent très complexes. En fait, si les banques réussissent,
ce sera peut-être en utilisant Verisign en marque blanche...
Prudents, certains optent pour une autre voie: la création
de nouvelles entités via des alliances. La Poste et
Sagem par exemple ont choisi de rassembler leurs compétences
au sein de Certinomis.
Deux obstacles majeurs
Ce type d'association ne sera pas de trop pour surmonter d'autres
obstacles qui ont cette fois peu à voir avec l'infrastructure
informatique. A titre d'exemple, pour délivrer des
certificats, et valider les identités auxquels ils
sont associés, il faut pouvoir s'appuyer sur un réseau
de guichets bien réels. Enfin, il faut aussi que ces
certificats puissent être exploités à
une grande échelle et sur de nombreux supports... Bref,
il est probable que quelques acteurs seulement seront capables
de mettre à disposition une telle infrastructure. Faudra-t-il
s'inquiéter d'une telle centralisation de la gestion
des certificats ? Pas forcément. L'histoire montre
plutôt que les procédés d'authentification
s'imposent quand ils sont gérés par une autorité
centrale ou une par une poignée d'acteurs (voir le
cas des Cartes Bleues, par exemple).
Reste toutefois à identifier ce qui enclenchera le
cercle vertueux qu'attend ce marché depuis bien longtemps.
Pour les entreprises, l'obligation d'en passer par les télé-procédures
(pour la TVA) pourrait jouer ce rôle. Pour les particuliers,
la situation est plus confuse - les banques qui ont voulu
faire payer la sécurisation des transactions sur Internet
en proposant un lecteur de cartes à puce en sont encore
pour leur frais !
Le login unique, "killer app" de la PKI ?
Une certitude toutefois: pour le grand public, la killer application
de la PKI sera bel et bien la signature unique (le fameux
SSO, Single Sign On), dans les mondes réels et virtuels
- avec la sauvegarde de la vie privée en prime ! Certains,
comme Microsoft avec sa technologie Passport, ont manifestement
bien compris l'enjeu. Mais si l'objectif semble limpide -
donner à un procédé d'authentification
une totale ubiquité - le chemin pour y parvenir, pour
le grand public comme pour les entreprises, est semé
d'embûches. Technologiques mais pas seulement... Le
cercle vertueux s'enclenchera seulement si tous les acteurs
(entreprises, pouvoirs publics...) y voient clairement un
intérêt.
|
Agé
de 29 ans, Pierre Pezziardi a rejoint Octo Technology en 1998,
où il assure la conduite de projets de conseil en architecture
technique. A ce titre, il conseille notamment les principales
banques françaises, des sociétés de capital risque ainsi que
des grands comptes et dotcoms. Auteur de plusieurs ouvrages
("Les serveurs d'applications", ainsi que "Le livre blanc de
l'EAI, congrès DNAC 1998" aux éditions Eyrolles), il a auparavant
travaillé pour la société de conseil Sycomore. Pierre Pezziardi
est diplômé de l'Ecole Centrale de Lyon.
|