CHAT
20/03/2008
Nathalie Schlang (CertEurope) : "Les certificats sont générés pour une période maximale de 3 ans"
Comment fonctionne une clé publique ? La clé publique est en fait l'identité de la personne. Le certificat contient une clé publique et une clé privée. Lorsque l'on vérifie la signature d'un document, on va vérifier la clé publique. Quelle différence y a-t-il entre certificat et signature? Le certificat est l'identité d'une personne, il comprend son nom, son adresse e-mail, son entreprise. Il est indispensable pour effectuer une signature électronique. Il faut alors utiliser un logiciel de signature qui est souvent intégré dans les applications, sites Web... Puis-je utiliser un certificat sur des mailing list ? Pourquoi le cycle de vie d'un certificat est-il important ? Comment est gérée la fin de vie d'un certificat ?
Dans le monde professionnel, le certificat est souvent remis sur un support, clé USB ou carte à puce. La puce du support a une durée de vie. Les certificats sont aujourd'hui générés pour une période maximale de 3 ans. Cela peut s'apparenter aux durées de vie des cartes bancaires. Un certificat sur des mailing list : OK pour authentifier l'identité de l'expéditeur mais quid des destinataires : comment certifier le fait qu'ils aient bien reçu le mail ? Comment avoir la même valeur qu'une lettre recommandée "papier" ?
Qu'est-ce qui empêche un individu d'usurper une identité grâce au certificat d'un autre ? Combien coûte un certificat? Un certificat sur support référencé par l'Etat, et donc polyvalent coûte en moyenne 60 à 120 euros par an. Il y a quelques temps, l'UNEDIC a eu des soucis avec la non reconnaissance de son certificat par les navigateurs Internet. Où en est-on aujourd'hui sur ce point ? Travaillez-vous en relation avec les éditeurs de navigateur ? Je pense qu'il devait s'agir de son certificat serveur. Nous sommes en relation avec les éditeurs de navigateurs. Existe t-il un cadre juridique pour la certification électronique ? Au niveau de la France ? Au niveau européen et au niveau mondial ? Quelle est la meilleure norme : X.509 ou OpenPGP ? L'authentification forte, c'est quoi ? Est-ce vraiment mieux qu'un mot de passe ? Le certificat est remis à une personne, on vérifie son identité. Lorsqu'elle s'authentifie avec son certificat, on est certain de son identité. On ne peut pas pirater un certificat. Cela évite aussi les problèmes de phishing.
Quels risques les mondes virtuels font peser sur les utilisateurs en termes de vol d'identité ? Peut on s'équiper contre ce type de vol ? En effet sur les mondes virtuels, les profils sont déclaratifs, on peut se donner n'importe quelle identité. On peut tout à fait imaginer que lors de la création d'un profil sur des sites de réseaux sociaux, on insère son certificat, sa carte d'identité électronique pour s'authentifier. Cette solution permettrait d'éviter les usurpations d'identité. Que pensez-vous des dispositions actuelles sur l'archivage légal ? La norme AFNOR Z 42 013 répond-t-elle correctement selon vous aux besoins des entreprises ? Elle est en cours d'évolution. Ceci dit, aujourd'hui nous travaillons avec des tiers archiveurs qui permettent de faire de l'archivage légal. Les solutions sont de plus en plus accessibles à tout type d'entreprise. L'utilisation d'un certificat électronique depuis un téléphone mobile est-il envisageable ? Tout à fait, nous travaillons actuellement sur ces solutions. Les Référentiels Généraux sont assez peu poussés politiquement aujourd'hui, et ce en dépit d'un travail considérable sur le plan technique. Qu'en est-il du RGS ? Participez-vous aux travaux techniques ? Pensez-vous que l'on va vers une issue politique favorable ?
Nous participons à ces groupes de travail. Aujourd'hui, même si certains référentiels ne sont pas encore adoptés par décret, ils servent de base aux entreprises qui veulent intégrer la signature électronique dans leurs projets, et en tant qu'opérateur nous appliquons les orientations du RGS.
|
RUBRIQUES