Des certificats numériques pour tous

[Article en cours de rédaction]icon_inprogress

Parmi d’autres pistes, La confiance numérique sur Internet s’obtient par la preuve d’identification du service en ligne, mais aussi de la preuve d’identification de la personne ou du système informatique qui sollicite le service en ligne.

Équivalents sur Internet aux pièces d’identité « papier » bien connues du commun des citoyens, ces « passeports numériques » ou « identités numériques » doivent faire l’objet d’une confiance suffisante par les acteurs impliqués. Dans la vie réelle, les pièces d’identité sont fournies par l’État, en qui on a raisonnablement confiance. D’où la nécessité de la notion de tiers de confiance, autrement appelé « Autorité de certification », apte à délivrer et contrôler des identités numériques: certificats numériques (ou « certificats électroniques »).

Des opérateurs privés (Verisign, Thawte,…) fournissent couramment des identités pour les services en ligne: pour les banques, boutiques de e-commerce, etc. partout où on a besoin de confiance un peu plus qu’ailleurs.
Cela permet:

  1. de prouver l’identité du serveur
  2. de chiffrer les communications entre les deux pairs.

Pourquoi ce n’est pas l’État qui fournit ça?

Bonne question. L’État ne s’est doté qu’assez récemment d’une Infrastructure de Gestion de Clés (IGC, ou PKI) officielle, mais seulement à l’attention des besoins internes de son administration. Elle est toutefois validée par l’ANSSI, et connue des navigateurs (Firefox notamment).

A noter que certains ministères ont engagé un processus de remplacement des cartes professionnelles de leurs agents par des « cartes à puce » qui embarquent des certificats numériques d’authentification et de signature. C’est déjà le cas pour les agents de la Préfecture de Police par exemple, mais aussi en cours de déploiement pour les officiers d’état civil dans les mairies.
https://ants.gouv.fr/Les-produits/Cartes-Agents/Acteurs-des-Administrations-de-l-Etat

La liste des ministères qui ont leur PKI signée par l’ANSSI :
http://www.ssi.gouv.fr/administration/services-securises/igca/certificats-emis-par-ligca-rsa-2048/

et la PKI de l’état, connue sous le nom d’IGC/A :
http://www.ssi.gouv.fr/administration/services-securises/igca/

Tout ça est une petite révolution en soi, avec les retours d’expérience parfois négatifs de résistance au changement, d’usure prématurée des lecteurs de carte, de « blocage » des cartes (code PIN faux).

 

Et pour le grand public…

letsEncryptC’est pas pour tout de suite… L’État ne semble pas prêt à la CNIE, ni à casser le marché juteux des certificats numériques d’opérateurs privés.

Soutenons l’heureuse initiative « Let’s Encrypt« , sponsorisée pêle-mêle par la fondation Mozilla, Cisco, Akamai, l’EFF. C’est une IGC gratuite, qui fournira des certificats numériques de la façon la plus aisée et automatisée possible tant du côté des serveurs, que des utilisateurs finaux. Lancement officiel public au 16 novembre 2015. (Personnellement ravi d’avoir pu intégrer le programme de beta-test 🙂 ).

Le but affiché: Faire que HTTPS devienne le protocole de communication « par défaut », au lieu du HTTP dont les données circulent en clair (sans chiffrement) sur le réseau. Voir Wikipedia (et le soutenir aussi)

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.