Sécurité et PKI
Transcription
Sécurité et PKI
DSCG : UE5 – Management des Systèmes d'Information Exercices Sécurité des SI Sécurité et PKI Vous effectuez un stage au siège d'un groupe qui fabrique et commercialise des robots pour l'industrie pharmaceutique. Le groupe emploie près de 2 000 salariés répartis dans cinq entités juridiques qui se situent à Nice, Avignon, Montpellier, Agen et Metz. Actuellement, les données sont en partie traitées localement et transmises au site de Nice en recourant à une messagerie sécurisée. 1. Précisez ce qu'apporte une messagerie sécurisée par rapport à une messagerie ordinaire. Les temps de traitement des données s'avèrent trop longs pour répondre aux exigences de communication financière du groupe. La direction souhaite donc développer des voies de communication sécurisées entre les sites. Vous êtes chargé(e) d'un dossier portant sur un projet VPN (Virtual Priva te Network).Un réseau VPN permet une connexion à travers Internet, depuis un poste jusqu'à une passerelle VPN appelée «gateway ». Le but de ce projet est de permettre l'accès par Internet au réseau local d'entreprise (LAN, Local Area Network) développé à Nice pour les différents sites du groupe afin de partager les différentes ressources (PGI, bases de données, etc.) mais également pour permettre à des utilisateurs distants de se connecter au réseau d'entreprise. 2. Pourquoi le groupe a-t-il intérêt à intégrer ses filiales dans le réseau local de Nice? 3. Présentez le niveau de sécurité offert par un VPN et proposez un moyen d'authentification fort et efficace complémentaire étant donné que des données très sensibles sont échangées. Cette solution doit être polyvalente et s'appliquer à d'autres applications nécessitant un tel niveau d'authentification. À l'aide de vos connaissances et du document, traitez les questions suivantes. 4. Précisez les services offerts par une infrastructure de confiance. 5. Formulez des préconisations à respecter pour qu'un projet de PKI soit un succès. 6. Indiquez les avantages et les limites d'une infrastructure de confiance. Infrastructure pki: un pari sur l'avenir Considérée chère, lourde et inutile, l'infrastructure à clé publique souffre de désamour et les déploiements restent rares. Mais les entreprises qui ont fait le pas sont unanimes: c'est un investissement à long terme. [ ... ] À quoi peut bien servir cette « infrastructure» qui ne propose, en définitive, que de gérer des certificats numériques et chiffrer ses courriers électroniques? Les rares entreprises à disposer d'une PKI opérationnelle ont toutes la même approche: elles considèrent leur PKI comme le socle de tous leurs projets de sécurité à venir, et les applications actuelles ne sont pas forcément les plus significatives. L'utilisation. Des débuts modestes : de l'authentification à la signature « Notre PKI est née dans le cadre d'un projet bien plus vaste de diffusion de données par satellite. Nous souhaitions, entre autres, protéger la diffusion des clés de sessions utilisées pour le chiffrement symétrique, des contenus. Pour cela, nous avons opté pour la mise en place d'une infrastructure à clé publique. Nous avons choisi une PKI car nous pensions qu'en montrant que c'est un outil exploitable dans le cadre de ce premier projet, nous pourrions à terme profiter de nos investissements pour étendre son utilisation à toute autre application de sécurité. Et notamment au chiffrement et à la signature du mail », se souvient Philippe Sensi, chef du service Ingénierie à l'AFP (Agence FrancePresse). C'était en 1999. Aujourd'hui, la PKI de l'AFP est opérationnelle, et l'agence a déployé près de 2 000 certificats qui servent principalement à authentifier des boîtiers décodeurs situés chez des clients à travers le monde. Mais cette première application n'était que prétexte au déploiement. Maintenant qu'elle est là, la PKI peut prendre rapidement en charge n'importe quelle application. « La gestion de la confidentialité autour des échanges par mails pourrait être opérationnelle dans les prochaines semaines », affirme Philippe Sensi, qui n'attend pour cela que la reconnaissance officielle, par sa direction, de l'autorité de certification qu'il a mise en place. Preuve de la souplesse de la PKl, son équipe a déjà délivré, au cas par cas, quelques certificats pour la signature des courriers, et la solution a immédiatement fonctionné. Partie d'une application identifiée, la PKI s'étend ainsi aux autres besoins de sécurité de l'entreprise. Même constat au sein de 1/4 DSCG : UE5 – Management des Systèmes d'Information Exercices Sécurité des SI Schlumberger, où la PKI sert avant tout à sécuriser l'accès au réseau local au travers d'un RPV. « L'accès par RPV est vraiment l'application tueuse de la PKI chez nous! Grâce à leurs certificats sur carte à puce, les commerciaux ou les consultants se connectent facilement à notre intranet et retrouvent les services qu'ils ont localement », s'exclame Olivier Tesson, responsable Business Development chez Schlumberger Sema. Mais là encore, l'infrastructure s'est rapidement étendue à d'autres applications: «Je valide de manière électronique tous les contrats et autres notes de frais que je signe grâce à la PKI. Puisque je suis souvent en déplacement, cela m'évite d'avoir à bloquer du monde », explique Jean-Claude Perrin, directeur de l'activité SmartCards chez Schlumberger. Et le groupe lance actuellement un projet pilote afin de sécuriser par RPV les connexions des PC mobiles aux bornes Wireless. Et la PKI peut prendre en charge immédiatement ce nouveau besoin. « Il faut commencer par une application bien identifiée avant d'étendre la P KI aux autres besoins. Tout en gardant bien en tête que ça sera étendu. Il faut donc une double vision.' immédiate, pour les applications, mais globale quant aux capacités de la PKI », résume Jean-Luc Archimbaud, directeur adjoint de l'unité réseau du CNRS, qui a déployé une PKI entre tous ses laboratoires. Les ressources. Du temps et de bonnes compétences internes Derrière une apparente simplicité se cache pourtant le vrai problème des infrastructures à clé publique: ce sont'des infrastructures difficiles à déployer sans compétences en interne, quelles que soient les promesses d'accompagnement du fournisseur de la PKI ou de l'intégrateur. L'AFP avait la chance d'avoir un spécialiste à domicile. D'où un cahier des charges, une évaluation des logiciels et une maquette effectués en interne. « C'est loin d'être trivial. Notre ingénieur, expert en sécurité, a été détaché sur ce projet à plein temps pendant dix-huit mois avant que l'infrastructure ne soit opérationnelle dans un contexte de production, c'est-à-dire disponible 24 heures/24, 7 jours/7 », reconnaît Philippe Sensi. Dans tout projet de PKI, il faut également prévoir du temps. Particulièrement pour les aspects les plus humains de la PKI, qui exige de mobiliser des ressources très variées, du service juridique aux relations humaines: « Nous avons passé un an sur l'aspect légal de notre PKI! Il a fallu, par exemple, rédiger le document qui détermine les utilisations autorisées des certificats délivrés par notre AC (autorité de certification), et que chaque employé doit signer! », se souvient Olivier Tesson, de Schlumberger. La mise en œuvre. Avant tout, des problèmes d'organisation Techniquement, la PKI ne représente en définitive que quelques serveurs, sur lesquels fonctionnent des logiciels spécifiques chargés de générer des certificats numériques et de contrôler leur validité. Dans l'ensemble, la technique fonctionne et pourrait même sembler plutôt simple une fois déployée. «Les interfaces sont conviviales, mais le concept compliqué », s'amuse à faire remarquer Philippe Sensi. Seul contretemps technique: installer les logiciels clients sur les postes de travail. « Nous avons préféré attendre la mise à jour de tous les postes de travail pour déployer la partie cliente de la PKI », conseille Olivier Tesson, de Schlumberger. Le véritable défi du déploiement est plutôt d'ordre organisationnel. «Nous avions créé un comité de pilotage, en relation avec le service juridique et le service du personnel, afin de définir les modalités de déploiement -les règles d'enregistrement, les responsabilités de chacun ... Cette réflexion s'est bien passée car nous n'avons pas voulu aller trop vite. Nous n'avons pas forcé l'utilisation de la PKI pour des procédures importantes. Nous avons simplement laissé faire, sur des utilisations bien identifiées et simples, jusqu'à ce qu'elle se montre utile », se souvient Jean-Luc Archimbaud. Définir le cadre d'utilisation de la PKI est une partie essentielle du projet. «Il convient par exemple d'être en mesure d'écrire une politique de sécurité pour chaque application qui va utiliser la PKI et d'envisager l'ensemble des modes de distribution des certificats. Il est aussi nécessaire de respecter les règles d'organisation et de "nommage", afin de rester compatible avec les architectures d'annuaires existantes », avertit Philippe Sensi. Une fois la PKI opérationnelle avec l'équipe de pilotage, il est nécessaire de passer le relais: il faut alors former le personnel chargé de l'assistance technique, qui aura beaucoup à faire, dans un premier temps, pour familiariser les utilisateurs avec ce nouvel outil. Les écueils. Coûts cachés et problèmes d'annuaires « Notre problème, deux ans après avoir lancé notre PKI, ce sont les utilisateurs, observe Jean-Luc Archimbaud, du CNRS. Car la manipulation des certificats est difficile, surtout dans un environnement 2/4 DSCG : UE5 – Management des Systèmes d'Information Exercices Sécurité des SI hétérogène comme le nôtre, où chaque navigateur (lE, Netscape, Mozilla ... ) gère différemment les certificats. Il est donc impératif de prévoir une bonne assistance technique pour aider les utilisateurs, et c'est un coût caché auquel on ne pense pas?» Autre coût généralement pudiquement oublié par les vendeurs de PKI, celui de la distribution des certificats auprès des utilisateurs. « Générer des certificats ne suffit pas toujours. Leur utilisation dans le cadre des applications impose dans certains cas le déploiement d'outils, cartes à puce ou dongles [clés de protection matérielle, Ndlr] dont le coût n'est pas négligeable », fait remarquer Philippe Sensi. Au quotidien apparaissent également des problèmes inédits : « Lorsque ce n'est pas le directeur qui répond à son courrier mais sa secrétaire, qui signe la réponse ? On réfléchit à des certificats de fonction ou à la délégation de certificat, mais le problème n'est pas encore résolu », reconnaît JeanLuc Archimbaud. Le responsable réseau du CNRS, qui exploite sa PKI avec près de 2 000 utilisateurs, a relevé d'autres obstacles: «Les certificats sont généralement valables un an. Un an ça passe vite, et on n 'y pense pas lorsqu'on lance une PKI. Ceci dit, le renouvellement est une procédure différente de l'émission, qui peut poser des problèmes. Tout comme le renouvellement du certificat racine de l'autorité de certification, prévu au bout de deux ans aussi. C'est un argument supplémentaire pour commencer lentement: on n'a pas vraiment fait le tour des problèmes d'une PKI avant deux ans. Mieux vaut donc marcher à vitesse réduite au début! », conclut-il. Mais le vrai problème, c'est l'annuaire d'entreprise, indispensable pour stocker les clés publiques associées à chaque utilisateur. Sans lui, la PKI ne peut plus vérifier automatiquement et en temps réel la validité d'un certificat. « Il est essentiel d'avoir un annuaire LDAP avant même de penser à déployer une infrastructure à clé publique », alerte Jean-Claude Perrin. Pourtant, s'il existe déjà, il Y a de fortes probabilités pour que son format soit différent de celui qu'attend la PKI, ce qui exige alors de lourds travaux d'ingénierie pour assurer l'interconnexion entre les deux. Et même alors, ce n'est pas forcément gagné. Ainsi, Schlumberger, qui possède historiquement un annuaire d'entreprise iPlanet, se retrouve limité avec sa PKI : « Parce que nos certificats sont stockés dans un annuaire iPlanet, nous ne pouvons pas nous connecter à Windows avec eux ! Windows exige en effet que ces derniers soient dans son propre annuaire ActiveDirectory, et la synchronisation des deux serait trop de travail », déplore Olivier Tesson, qui attend donc la prochaine version de la PKI Entrust, qui devrait être capable de jeter un pont entre les deux. Ce problème de compatibilité entre la PKI et les applications se retrouve souvent à d'autres niveaux du système d'information: il faut donc s'assurer que chaque application sécurisée pourra tirer profit de la PKI ... ce qui est loin encore d'être toujours le cas. Les gains. Une plate-forme évolutive Malgré ces points noirs, la PKI conserve un attrait majeur lorsque l'entreprise a un vrai projet sécurité. « En matière de mots de passe, les gains sont immédiats: beaucoup moins d'utilisateurs appellent le help desk à cause d'un mot de passe perdu. Mais le reste n'est pas quantifiable », reconnaît JeanClaude Perrin, qui avoue tout de même que la PKI facilite la vie des utilisateurs. Du côté de l'entreprise, la PKI « nous offre un socle pour faire du contrôle d'accès, dans n'importe quel cadre. On commence aussi à mettre en place de la diffusion contrôlée de logiciels et à ouvrir plus facilement des accès nomades, car IPSec fonctionne bien avec les certificats. La PKI est vraiment le socle qui permet des applications impossibles jusqu'alors », conclut Jean-Luc Archimbaud. Plate-forme évolutive La PKI est indépendante des applications qui utilisent ses services. Une fois l'infrastructure d'émission et de gestion des certificats mise en œuvre, peu importe le nombre et le type d'applications qui les réclament. Le déploiement des services de PKI peut s'effectuer au fur et à mesure des besoins. De plus en plus d'applications récentes reconnaissent d'emblée les certificats X. 509 qu'utilisent les PKI standard. Simplicité pour les utilisateurs La PKI n'est complexe que pour les techniciens. Du côté des utilisateurs, lorsque les applicatifs sont déployés et configurés, l'utilisation du certificat et le contrôle de sa validité par une application sont transparents. 3/4 DSCG : UE5 – Management des Systèmes d'Information Sécurité des SI Exercices L'utilisateur n'a alors qu'à insérer sa carte à puce ou son token USB et entrer son code PIN, ou sa « passphrase» si le certificat est stocké sur son disque dur. L'application va alors utiliser automatiquement les services de la PK! pour vérifier son identité et ses droits. Organisation complexe Les demandes de certificat sont soumises à l'autorité de certification (un serveur) par le biais de l'autorité d'enregistrement - souvent une personne physique dans l'entreprise (DRH, équipe d'exploitation de la PKI) - vérifiant l'identité des demandeurs et la conformité de leur demande vis-àvis de la politique de sécurité interne. Coût La majorité des PKI commerciales facturent à l'utilisateur, ce qui peut revenir cher pour de grands déploiements. Dans de plus petites configurations, il faut bien souvent une équipe chargée du fonctionnement de la PKI. Si elle ne doit être utilisée que sur une ou deux applications, sans projet d'évolution, mieux vaut une solution plus traditionnelle (logiciels dédiés au chiffrement et à la signature de mail). Quelques offres d'infrastructures à clé publique Éditeur/nom RSA/Keon Commentaires Tarification Keon est considéré comme un bon challenger 27 € par utilisateur (1 à 500). sur ce marché. http://www.rsasecurity.com/products/keon/index.html Non communiquée Baltimore est, avec Entrust, le premier éditeur à (infrastructure + au nombre Baltimore/ Unicert s'être spécialisé dans les PKl. d'utilisateurs). http://www.baltimore.com/unicertlindex.asp Entrust/Entrust PKI Entrust a fait partie des fournisseurs dédiés à la PKl. tout premiers Infrastructure (22 500 €) + au nombre d'utilisateur (45 € de 1 à 1000). http://www.entrust.com/productslindex.htm IdeaIXllDX-PKl La PKl est librement téléchargeable. Seules les Une PKl entièrement open source, et un éditeur prestations de développement français spécifiques, si nécessaire, sont facturées. http://www.idealx.com/solutions/idxpki/index.fr.html Computer Associates Peut s'intégrer facilement à la gamme de À partir de 15 000 € pour 100 produits de sécurité (SSO, portail) de CA. utilisateurs. http://www3.ca.com/Solutions/Product.asp?ID=2623 Microsoft inclut dans Windows 2000 et versions Inclus dans la licence de Microsoft/Microso suivantes les outils nécessaires à la mise en Windows. place d'une PKl sommaire. ft PKl http://www.microsoft.com/windows2000/techinfo/planning/security/pki.asp Jérôme Saiz, Décision Micro, n° 542, 24 mars 2003. 4/4