Nathalie Schlang (CertEurope) : "Les certificats sont générés pour une période maximale de 3 ans"

	Nathalie Schlang (CertEurope)
	Dossier : Failles : plus actuelles que jamais

Comment fonctionne une clé publique ?

La clé publique est en fait l'identité de la personne. Le certificat contient une clé publique et une clé privée. Lorsque l'on vérifie la signature d'un document, on va vérifier la clé publique.

Quelle différence y a-t-il entre certificat et signature?

Le certificat est l'identité d'une personne, il comprend son nom, son adresse e-mail, son entreprise. Il est indispensable pour effectuer une signature électronique. Il faut alors utiliser un logiciel de signature qui est souvent intégré dans les applications, sites Web...

Puis-je utiliser un certificat sur des mailing list ?

On peut signer un document et l'envoyer à sa mailing list. Les destinataires seront ainsi certains du signataire du document.

Pourquoi le cycle de vie d'un certificat est-il important ? Comment est gérée la fin de vie d'un certificat ?

	"En fin de vie, le certificat expire automatiquement" © Photo Journal du Net / Marie Bruggeman

Dans le monde professionnel, le certificat est souvent remis sur un support, clé USB ou carte à puce. La puce du support a une durée de vie. Les certificats sont aujourd'hui générés pour une période maximale de 3 ans. Cela peut s'apparenter aux durées de vie des cartes bancaires.

En fin de vie, le certificat expire automatiquement. On peut si on le perd, ou si le salarié quitte l'entreprise, le faire révoquer. Une demande se fait par Internet. On dispose d'un code de révocation, et le certificat est alors révoqué par l'opérateur. Il est donc ensuite sur une liste de révocation (LCR). Tous les portails qui reçoivent des certificats intègrent les listes de révocation des autorités de certification.

Un certificat sur des mailing list : OK pour authentifier l'identité de l'expéditeur mais quid des destinataires : comment certifier le fait qu'ils aient bien reçu le mail ? Comment avoir la même valeur qu'une lettre recommandée "papier" ?

Il y a des solutions, d'espaces sécurisés, qui permettent de déposer un document, de définir sa mailing liste. Le destinataire reçoit par mail une notification qui le renvoie vers l'espace sécurisé. Il doit présenter son certificat, et peut ainsi consulter son document. L'administrateur de l'espace a donc la trace des documents consultés de manière certaine; l'horodatage peut être ajouté, pour prouver la date et l'heure de la consultation.

	"Le certificat sur support ne peut pas être usurpé" © Photo Journal du Net / Marie Bruggeman

Qu'est-ce qui empêche un individu d'usurper une identité grâce au certificat d'un autre ?

Le certificat sur support (clé, carte) ne peut pas être usurpé, il est en plus protégé par un code pin. Pour le certificat logiciel, fichier envoyé par Internet, il faut recommander la création d'un code pin qui n'est pas toujours obligatoire.

Combien coûte un certificat?

Un certificat sur support référencé par l'Etat, et donc polyvalent coûte en moyenne 60 à 120 euros par an.

Il y a quelques temps, l'UNEDIC a eu des soucis avec la non reconnaissance de son certificat par les navigateurs Internet. Où en est-on aujourd'hui sur ce point ? Travaillez-vous en relation avec les éditeurs de navigateur ?

Je pense qu'il devait s'agir de son certificat serveur. Nous sommes en relation avec les éditeurs de navigateurs.

Existe t-il un cadre juridique pour la certification électronique ? Au niveau de la France ? Au niveau européen et au niveau mondial ?

Techniquement, tout le monde utilise les mêmes technologies, le certificat X509. Juridiquement il y a une directive européenne, qui donne à la signature électronique la même valeur que la signature manuscrite.

Quelle est la meilleure norme : X.509 ou OpenPGP ?

La remise du certificat électronique se fait selon des règlements, des politiques de certification, celles-ci permettent aux autorités de certification de se faire référencer, et ainsi de donner un caractère polyvalent aux certificats; Ces certificat sont des certificats X509.

L'authentification forte, c'est quoi ? Est-ce vraiment mieux qu'un mot de passe ?

Le certificat est remis à une personne, on vérifie son identité. Lorsqu'elle s'authentifie avec son certificat, on est certain de son identité. On ne peut pas pirater un certificat. Cela évite aussi les problèmes de phishing.

	"Dans les mondes virtuels, on peut se donner n'importe quelle identité" © Photo Journal du Net / Marie Bruggeman

Quels risques les mondes virtuels font peser sur les utilisateurs en termes de vol d'identité ? Peut on s'équiper contre ce type de vol ?

En effet sur les mondes virtuels, les profils sont déclaratifs, on peut se donner n'importe quelle identité. On peut tout à fait imaginer que lors de la création d'un profil sur des sites de réseaux sociaux, on insère son certificat, sa carte d'identité électronique pour s'authentifier. Cette solution permettrait d'éviter les usurpations d'identité.

Que pensez-vous des dispositions actuelles sur l'archivage légal ? La norme AFNOR Z 42 013 répond-t-elle correctement selon vous aux besoins des entreprises ?

Elle est en cours d'évolution. Ceci dit, aujourd'hui nous travaillons avec des tiers archiveurs qui permettent de faire de l'archivage légal. Les solutions sont de plus en plus accessibles à tout type d'entreprise.

L'utilisation d'un certificat électronique depuis un téléphone mobile est-il envisageable ?

Tout à fait, nous travaillons actuellement sur ces solutions.

Les Référentiels Généraux sont assez peu poussés politiquement aujourd'hui, et ce en dépit d'un travail considérable sur le plan technique. Qu'en est-il du RGS ? Participez-vous aux travaux techniques ? Pensez-vous que l'on va vers une issue politique favorable ?

Nous participons à ces groupes de travail. Aujourd'hui, même si certains référentiels ne sont pas encore adoptés par décret, ils servent de base aux entreprises qui veulent intégrer la signature électronique dans leurs projets, et en tant qu'opérateur nous appliquons les orientations du RGS.

Quel est le rôle d'un tiers de confiance ?

Pour un courrier papier, la poste avec son fameux cachet, va jouer le rôle de tiers de confiance. Elle va garantir la date de l'envoi du courrier. En électronique, il faut des tiers de confiance pour garantir l'identité, des tiers certificateurs, pour garantir la date, enfin pour l'intégrité d'un document, des tiers horodateurs.