Marie-Laure Oble-Laffaire (Ernst & Young) : "
"Déployer aujourd'hui une PKI dans un modèle ouvert, c'est courir vers l'échec""
Par le JDNet Solutions (Benchmark Group)
URL : http://www.journaldunet.com/solutions/itws/020205_it_pkiernstyoung.shtml
Qui sont les acteurs d'une infrastructure à clefs publiques ? Le cadre juridique est-il prêt ? Les solutions techniques sont-elles matures ? Réponses avec deux experts qui, aux côtés de Laurent Bellefin, directeur de l'activité sécurité de Solucom, viennent de co-écrire chez Eyrolles un ouvrage intitulé "Sécuriser ses échanges électroniques avec une PKI".
Propos recueillis par Cyril Dhenin le 05/02/2002
Le sujet des PKI, sans doute sur-couvert sous l'angle technologique, a été malmené. Quelle définition donnez-vous à cette notion ?
Thierry Autret: Il est vrai que les techniciens, les experts notamment de la cryptographie, se sont appropriés le sujet, ce qui nous demande aujourd'hui de réaliser un gros travail d'éducation. A nos yeux, un projet de PKI est un ensemble organisationnel, juridique et technique. Et pour être tout à fait clair, je pense que la technique arrive en dernier...
Quels sont aujourd'hui les grands chantiers qui motivent des projets PKI ?
Thierry Autret: Ils sont de deux types. Il existe d'abord de grands projets connus de tous et lancés notamment par l'administration, pour la télé-déclaration de la TVA ou le paiement de l'impôt. Ce sont de grands projets très visibles. A côté, on trouve aussi d'autres initiatives. Je pense que des communautés d'intérêts, dans l'automobile ou l'aérospatiale notamment, vont s'intéresser au sujet comme elles se sont intéressées à l'EDI, de façon à aller plus loin dans la dématérialisation de leurs échanges. Les projets de ces grands donneurs d'ordre seront décisifs.
Quel regard portez-vous sur la maturité de ce marché ? Comment avance la standardisation ?
Thierry Autret: Très clairement, c'est encore un marché de l'offre, qui a été beaucoup influencé par le battage de certains éditeurs. Quant à la standardisation, le chantier est grand ouvert. Une partie de notre travail consiste à mener pour nos clients des tests d'interopérabilité entre des profils de certificats et des applications cibles. Les résultats sont souvent sans appel: la plupart du temps la clef s'avère totalement incompatible avec le verrou proposé. Un détail pour illustrer mon propos: aujourd'hui il est très difficile avec les logiciels du marché d'interroger des listes de révocation. C'est un peu comme s'il vous était impossible de vérifier la date de validité d'une carte bancaire.
Dans ce contexte, quelle est la solution pour les utilisateurs ?
Thierry Autret: Dans le cas d'une communauté d'intérêts dont les membres et les applications sont connus, on doit pouvoir définir un profil de certificats qui limitera les incompatibilités. En revanche, dans un modèle plus ouvert, donc plus incertain, on court vers l'échec. La situation va s'améliorer progressivement, comme ce fut le cas pour les cartes à puce. Mais en attendant, il faut garder à l'esprit ces difficultés.
Un projet PKI fait appel à de nombreuses autorités (d'enregistrement, de certification...). Ce découpage est-il fonctionnel et correspond-t-il à la réalité du terrain ?
Thierry Autret: Ce découpage a été hérité d'une terminologie américaine avant tout technique. Elle distingue l'autorité d'enregistrement (AE), qui fait le pont entre le monde réel et virtuel en associant un certificat à un personne physique ou moral; l'autorité de certification (AC), qui produit le certificat; et enfin l'opérateur de services de certificats (OSC) qui assure leur gestion au quotidien.
A quoi ressemblerait un découpage plus fonctionnel ?
Thierry Autret: Je pense qu'il se suffirait de deux acteurs. Primo, l'autorité d'enregistrement qui assure une fonction de guichets et prend la responsabilité d'émettre un certificat. Secundo, l'usine à certificats, l'opérateur donc qui prend en charge la fabrication et la gestion.
Sur
le versant juridique, comment avance la définition du cadre de la
PKI ?Marie-Laure Oble-Laffaire: Il n'existe pour l'heure aucun référentiel. On trouve certes quelques ouvrages sur la signature électronique mais vraiment très peu de choses sur la PKI. Et pour cause: ce projet implique une multitude d'acteurs, donc une multitude de risques, ce qui rend très complexe la définition des responsabilités. Aujourd'hui les contrats sur lesquels nous avons pu travailler relèvent plutôt du cas par cas...
Peut-on espèrer une industrialisation des dispositifs juridiques ?
Marie-Laure Oble-Laffaire: Oui, je le pense. Depuis la loi sur la signature électronique, de nombreux acteurs travaillent sur ce dossier. La fédération nationale des tiers de confiance par exemple devrait prochainement mettre au point une charte qui définirait un label "Cnil" (Commission nationale informatique et libertés).
Justement, la législation actuelle sur les données personnelles pose-t-elle des problèmes pour le déploiement de PKI ?
Marie-Laure Oble-Laffaire: Oui, deux points notamment posent problème. La phase d'enregistrement, préalable à l'émission d'un certificat, demande de collecter des informations personnelles critiques. Et pour l'archivage, la loi demande de proportionner la durée à la finalité du traitement, chose assez compliquée dans le cadre d'une PKI. Pour le moment, nous conseillons à nos clients de définir une durée limitée et de prévenir les acteurs concernés à l'approche de la date d'expiration. Ce qui ne simplifie pas les procédures et peut conduire de manière assez artificielle à renouveler des émissions de certificats. Bref, les PKI soulèvent quelques problèmes spécifiques, la Cnil en a été saisie et travaille sur le sujet.