15/10/01
Verisign
et ActivCard s'allient pour sécuriser de bout en bout
les certificats numériques
Notre dossier consacré
aux espaces
de confiance électroniques en témoigne,
la sécurisation des échanges (l'authentification
de l'utilisateur, confidentialité des données,
non-répudiation des actes électroniques)
connaît une forte effervescence. De grands projets
semblent enfin en gestation et, assez naturellement,
les fournisseurs prennent position, notamment via des
alliances. Dans ce contexte, l'accord que viennent de
conclure Verisign et ActivCard semble exemplaire. Difficile
toutefois d'en comprendre la portée sans rappeler
préalablement les rôles que jouent ces
deux acteurs. Et les technologies sur lesquels ils s'appuient.
Verisign est sans le doute le plus connu des deux intéressés.
Et pour cause, quand un internaute ouvre aujourd'hui
dans son navigateur une session sécurisée
en SSL, Verisign n'est jamais très loin. La société
émet en effet une bonne partie des certificats
numériques qui, dans le cadre d'une session SSL,
permettent d'identifier le site visité. Verisign
fournit donc des technologies et services pour émettre
et gérer des certificats numériques qui
reposent sur une infrastructure dite à clef publique.
Un tel certificat peut potentiellement être utilisé
pour contrôler les accès à des ressources,
chiffrer des données ou encore signer des documents.
Toutefois pour que cette sécurisation soit effective
de "bout en bout" encore faut-il s'assurer
que l'utilisateur du certificat est bien son réel
propriétaire.
Pas de sécurité sans identité
?
Verisign,
à lui seul, ne peut traiter cette question. Un
utilisateur nomade qui utilise un certificat pour s'authentifier
sur le site de son entreprise n'a pas vraiment d'autres
choix que de stocker ce certificat sur son disque dur
ou sur une disquette. Pas vraiment fiable. Et c'est
donc sur ce dernier mètre de la sécurisation
qu'intervient ActivCard. "Pour s'assurer qu'un
utilisateur d'un certificat est bien son propriétaire,
il faut en passer par un dispositif d'authentification
forte, expose Frédéric Engel, directeur
marketing Europe d'ActivCard. 'Forte', cela veut dire
que l'utilisateur va s'authentifier au minimum sur deux
critères: via ce qu'il possède et via
ce qu'il sait". Concrètement, l'utilisateur
d'un certificat numérique va utiliser un "token"
qui confirmera bien qu'il en est le propriétaire.
Ce token, qui contrairement au certificat s'appuie sur
des technologies de chiffrement symétriques,
peut prendre plusieurs formes: une carte-calculette
(qui génère un mot de passe dynamique
après saisie d'un identifiant), une clef USB
ou encore une carte à puce.
Cette association du certificat numérique et
d'un dispositif d'authentification forte, et donc des
technologies asymétriques et symétriques,
apporte deux types de fonctions: la validation de l'identité
du propriétaire du certificat mais aussi l'ubiquité
du certificat. En effet, Versign et ActivCard vont travailler
main dans la main pour coupler l'annuaire des certificats
du premier et les solutions serveurs du second. But
du jeu: donner la possibilité à l'utilisateur,
une fois passée la procédure d'authentification,
d'appeler le certificat numérique - ce qui règle
le problème du stockage du certificat. Des opérateurs
comme British Telecom comptent proposer ce type de fonctions
(qui rappelle celle du "roaming" dans l'univers
de la téléphonie mobile) à ses
clients grands comptes. "Trois services au moins
peuvent en profiter, argumente Frédéric
Engel. Les accès distants, la signature électronique
et la confidentialité des données. C'est
en tous cas les services sur lesquels la demande est
la plus forte".
Quand Verisign fait une infidélité
à RSA
Prometteuse l'association Verisign/ActivCard est tout
autant surprenante. ActivCard compte en effet pour principal
concurrent RSA Security, qui est une émanation
de... Verisign - le vice-président de RSA, James
Bidzos, est aussi le fondateur de Verisign. Officiellement
du côté de RSA, on s'affiche beau joueur.
"Cette annonce ne remet nullement en cause les
fortes relations que nous avons avec Verisign et accrédite
notre propre stratégie qui consiste justement
à associer infrastructures à clef publique
et authentification forte", déclare, sur
un ton très "politiquement correct",
Sarak Kent, responsable "corporate development"
de RSA. On n'en saura pas vraiment plus sur les raisons
de fond qui ont conduit Verisign vers ActivCard. Sans
surprise, les représentants d'ActivCard sont
prêts à fournir quelques une de ces raisons.
Il nous semble toutefois délicat d'en dire plus
tant que nous n'avons pas pu véritablement recouper
ces informations.
A lire aussi:
Le dossier: Espaces
de confiance, la nouvelle frontière
Le
jargon des espaces de confiance en 10 points
|