Sécurité et PKI

DSCG : UE5 – Management des Systèmes d'Information
Exercices
Sécurité des SI
Sécurité et PKI
Vous effectuez un stage au siège d'un groupe qui fabrique et commercialise des robots pour
l'industrie pharmaceutique. Le groupe emploie près de 2 000 salariés répartis dans cinq entités
juridiques qui se situent à Nice, Avignon, Montpellier, Agen et Metz.
Actuellement, les données sont en partie traitées localement et transmises au site de Nice en
recourant à une messagerie sécurisée.
1. Précisez ce qu'apporte une messagerie sécurisée par rapport à une messagerie ordinaire.
Les temps de traitement des données s'avèrent trop longs pour répondre aux exigences de
communication financière du groupe. La direction souhaite donc développer des voies de
communication sécurisées entre les sites.
Vous êtes chargé(e) d'un dossier portant sur un projet VPN (Virtual Priva te Network).Un réseau VPN
permet une connexion à travers Internet, depuis un poste jusqu'à une passerelle VPN appelée
«gateway ». Le but de ce projet est de permettre l'accès par Internet au réseau local d'entreprise
(LAN, Local Area Network) développé à Nice pour les différents sites du groupe afin de partager les
différentes ressources (PGI, bases de données, etc.) mais également pour permettre à des
utilisateurs distants de se connecter au réseau d'entreprise.
2. Pourquoi le groupe a-t-il intérêt à intégrer ses filiales dans le réseau local de Nice?
3. Présentez le niveau de sécurité offert par un VPN et proposez un moyen d'authentification fort et
efficace complémentaire étant donné que des données très sensibles sont échangées. Cette
solution doit être polyvalente et s'appliquer à d'autres applications nécessitant un tel niveau
d'authentification.
À l'aide de vos connaissances et du document, traitez les questions suivantes.
4. Précisez les services offerts par une infrastructure de confiance.
5. Formulez des préconisations à respecter pour qu'un projet de PKI soit un succès.
6. Indiquez les avantages et les limites d'une infrastructure de confiance.
Infrastructure pki: un pari sur l'avenir
Considérée chère, lourde et inutile, l'infrastructure à clé publique souffre de désamour et les
déploiements restent rares. Mais les entreprises qui ont fait le pas sont unanimes: c'est un
investissement à long terme.
[ ... ] À quoi peut bien servir cette « infrastructure» qui ne propose, en définitive, que de gérer des
certificats numériques et chiffrer ses courriers électroniques?
Les rares entreprises à disposer d'une PKI opérationnelle ont toutes la même approche: elles
considèrent leur PKI comme le socle de tous leurs projets de sécurité à venir, et les applications
actuelles ne sont pas forcément les plus significatives.
L'utilisation. Des débuts modestes : de l'authentification à la signature
« Notre PKI est née dans le cadre d'un projet bien plus vaste de diffusion de données par satellite.
Nous souhaitions, entre autres, protéger la diffusion des clés de sessions utilisées pour le chiffrement
symétrique, des contenus. Pour cela, nous avons opté pour la mise en place d'une infrastructure à clé
publique. Nous avons choisi une PKI car nous pensions qu'en montrant que c'est un outil exploitable
dans le cadre de ce premier projet, nous pourrions à terme profiter de nos investissements pour
étendre son utilisation à toute autre application de sécurité. Et notamment au chiffrement et à la
signature du mail », se souvient Philippe Sensi, chef du service Ingénierie à l'AFP (Agence FrancePresse). C'était en 1999.
Aujourd'hui, la PKI de l'AFP est opérationnelle, et l'agence a déployé près de 2 000 certificats qui
servent principalement à authentifier des boîtiers décodeurs situés chez des clients à travers le
monde. Mais cette première application n'était que prétexte au déploiement. Maintenant qu'elle est là,
la PKI peut prendre rapidement en charge n'importe quelle application. « La gestion de la
confidentialité autour des échanges par mails pourrait être opérationnelle dans les prochaines
semaines », affirme Philippe Sensi, qui n'attend pour cela que la reconnaissance officielle, par sa
direction, de l'autorité de certification qu'il a mise en place.
Preuve de la souplesse de la PKl, son équipe a déjà délivré, au cas par cas, quelques certificats pour
la signature des courriers, et la solution a immédiatement fonctionné. Partie d'une application
identifiée, la PKI s'étend ainsi aux autres besoins de sécurité de l'entreprise. Même constat au sein de
1/4
DSCG : UE5 – Management des Systèmes d'Information
Exercices
Sécurité des SI
Schlumberger, où la PKI sert avant tout à sécuriser l'accès au réseau local au travers d'un RPV. «
L'accès par RPV est vraiment l'application tueuse de la PKI chez nous! Grâce à leurs certificats sur
carte à puce, les commerciaux ou les consultants se connectent facilement à notre intranet et
retrouvent les services qu'ils ont localement », s'exclame Olivier Tesson, responsable Business
Development chez Schlumberger Sema.
Mais là encore, l'infrastructure s'est rapidement étendue à d'autres applications: «Je valide de
manière électronique tous les contrats et autres notes de frais que je signe grâce à la PKI. Puisque je
suis souvent en déplacement, cela m'évite d'avoir à bloquer du monde », explique Jean-Claude
Perrin, directeur de l'activité SmartCards chez Schlumberger. Et le groupe lance actuellement un
projet pilote afin de sécuriser par RPV les connexions des PC mobiles aux bornes Wireless.
Et la PKI peut prendre en charge immédiatement ce nouveau besoin. « Il faut commencer par une
application bien identifiée avant d'étendre la P KI aux autres besoins. Tout en gardant bien en tête
que ça sera étendu. Il faut donc une double vision.' immédiate, pour les applications, mais globale
quant aux capacités de la PKI », résume Jean-Luc Archimbaud, directeur adjoint de l'unité réseau du
CNRS, qui a déployé une PKI entre tous ses laboratoires.
Les ressources. Du temps et de bonnes compétences internes
Derrière une apparente simplicité se cache pourtant le vrai problème des infrastructures à clé
publique: ce sont'des infrastructures difficiles à déployer sans compétences en interne, quelles que
soient les promesses d'accompagnement du fournisseur de la PKI ou de l'intégrateur. L'AFP avait la
chance d'avoir un spécialiste à domicile. D'où un cahier des charges, une évaluation des logiciels et
une maquette effectués en interne. « C'est loin d'être trivial. Notre ingénieur, expert en sécurité, a été
détaché sur ce projet à plein temps pendant dix-huit mois avant que l'infrastructure ne soit
opérationnelle dans un contexte de production, c'est-à-dire disponible 24 heures/24, 7 jours/7 »,
reconnaît Philippe Sensi.
Dans tout projet de PKI, il faut également prévoir du temps. Particulièrement pour les aspects les plus
humains de la PKI, qui exige de mobiliser des ressources très variées, du service juridique aux
relations humaines: « Nous avons passé un an sur l'aspect légal de notre PKI! Il a fallu, par exemple,
rédiger le document qui détermine les utilisations autorisées des certificats délivrés par notre AC
(autorité de certification), et que chaque employé doit signer! », se souvient Olivier Tesson, de
Schlumberger.
La mise en œuvre. Avant tout, des problèmes d'organisation
Techniquement, la PKI ne représente en définitive que quelques serveurs, sur lesquels fonctionnent
des logiciels spécifiques chargés de générer des certificats numériques et de contrôler leur validité.
Dans l'ensemble, la technique fonctionne et pourrait même sembler plutôt simple une fois déployée.
«Les interfaces sont conviviales, mais le concept compliqué », s'amuse à faire remarquer Philippe
Sensi. Seul contretemps technique: installer les logiciels clients sur les postes de travail. « Nous
avons préféré attendre la mise à jour de tous les postes de travail pour déployer la partie cliente de la
PKI », conseille Olivier Tesson, de Schlumberger.
Le véritable défi du déploiement est plutôt d'ordre organisationnel. «Nous avions créé un comité de
pilotage, en relation avec le service juridique et le service du personnel, afin de définir les modalités
de déploiement -les règles d'enregistrement, les responsabilités de chacun ... Cette réflexion s'est
bien passée car nous n'avons pas voulu aller trop vite. Nous n'avons pas forcé l'utilisation de la PKI
pour des procédures importantes. Nous avons simplement laissé faire, sur des utilisations bien
identifiées et simples, jusqu'à ce qu'elle se montre utile », se souvient Jean-Luc Archimbaud.
Définir le cadre d'utilisation de la PKI est une partie essentielle du projet. «Il convient par exemple
d'être en mesure d'écrire une politique de sécurité pour chaque application qui va utiliser la PKI et
d'envisager l'ensemble des modes de distribution des certificats. Il est aussi nécessaire de respecter
les règles d'organisation et de "nommage", afin de rester compatible avec les architectures
d'annuaires existantes », avertit Philippe Sensi.
Une fois la PKI opérationnelle avec l'équipe de pilotage, il est nécessaire de passer le relais: il faut
alors former le personnel chargé de l'assistance technique, qui aura beaucoup à faire, dans un
premier temps, pour familiariser les utilisateurs avec ce nouvel outil.
Les écueils. Coûts cachés et problèmes d'annuaires
« Notre problème, deux ans après avoir lancé notre PKI, ce sont les utilisateurs, observe Jean-Luc
Archimbaud, du CNRS. Car la manipulation des certificats est difficile, surtout dans un environnement
2/4
DSCG : UE5 – Management des Systèmes d'Information
Exercices
Sécurité des SI
hétérogène comme le nôtre, où chaque navigateur (lE, Netscape, Mozilla ... ) gère différemment les
certificats. Il est donc impératif de prévoir une bonne assistance technique pour aider les utilisateurs,
et c'est un coût caché auquel on ne pense pas?»
Autre coût généralement pudiquement oublié par les vendeurs de PKI, celui de la distribution des
certificats auprès des utilisateurs. « Générer des certificats ne suffit pas toujours. Leur utilisation dans
le cadre des applications impose dans certains cas le déploiement d'outils, cartes à puce ou dongles
[clés de protection matérielle, Ndlr] dont le coût n'est pas négligeable », fait remarquer Philippe Sensi.
Au quotidien apparaissent également des problèmes inédits : « Lorsque ce n'est pas le directeur qui
répond à son courrier mais sa secrétaire, qui signe la réponse ? On réfléchit à des certificats de
fonction ou à la délégation de certificat, mais le problème n'est pas encore résolu », reconnaît JeanLuc Archimbaud.
Le responsable réseau du CNRS, qui exploite sa PKI avec près de 2 000 utilisateurs, a relevé
d'autres obstacles: «Les certificats sont généralement valables un an. Un an ça passe vite, et on n 'y
pense pas lorsqu'on lance une PKI. Ceci dit, le renouvellement est une procédure différente de
l'émission, qui peut poser des problèmes. Tout comme le renouvellement du certificat racine de
l'autorité de certification, prévu au bout de deux ans aussi. C'est un argument supplémentaire pour
commencer lentement: on n'a pas vraiment fait le tour des problèmes d'une PKI avant deux ans.
Mieux vaut donc marcher à vitesse réduite au début! », conclut-il.
Mais le vrai problème, c'est l'annuaire d'entreprise, indispensable pour stocker les clés publiques
associées à chaque utilisateur. Sans lui, la PKI ne peut plus vérifier automatiquement et en temps réel
la validité d'un certificat. « Il est essentiel d'avoir un annuaire LDAP avant même de penser à déployer
une infrastructure à clé publique », alerte Jean-Claude Perrin.
Pourtant, s'il existe déjà, il Y a de fortes probabilités pour que son format soit différent de celui
qu'attend la PKI, ce qui exige alors de lourds travaux d'ingénierie pour assurer l'interconnexion entre
les deux. Et même alors, ce n'est pas forcément gagné. Ainsi, Schlumberger, qui possède
historiquement un annuaire d'entreprise iPlanet, se retrouve limité avec sa PKI : « Parce que nos
certificats sont stockés dans un annuaire
iPlanet, nous ne pouvons pas nous connecter à Windows avec eux ! Windows exige en effet que ces
derniers soient dans son propre annuaire ActiveDirectory, et la synchronisation des deux serait trop
de travail », déplore Olivier Tesson, qui attend donc la prochaine version de la PKI Entrust, qui devrait
être capable de jeter un pont entre les deux.
Ce problème de compatibilité entre la PKI et les applications se retrouve souvent à d'autres niveaux
du système d'information: il faut donc s'assurer que chaque application sécurisée pourra tirer profit de
la PKI ... ce qui est loin encore d'être toujours le cas.
Les gains. Une plate-forme évolutive
Malgré ces points noirs, la PKI conserve un attrait majeur lorsque l'entreprise a un vrai projet sécurité.
« En matière de mots de passe, les gains sont immédiats: beaucoup moins d'utilisateurs appellent le
help desk à cause d'un mot de passe perdu. Mais le reste n'est pas quantifiable », reconnaît JeanClaude Perrin, qui avoue tout de même que la PKI facilite la vie des utilisateurs.
Du côté de l'entreprise, la PKI « nous offre un socle pour faire du contrôle d'accès, dans n'importe
quel cadre. On commence aussi à mettre en place de la diffusion contrôlée de logiciels et à ouvrir plus
facilement des accès nomades, car IPSec fonctionne bien avec les certificats. La PKI est vraiment le
socle qui permet des applications impossibles jusqu'alors », conclut Jean-Luc Archimbaud.
Plate-forme évolutive
La PKI est indépendante des applications qui utilisent ses services. Une fois l'infrastructure d'émission
et de gestion des certificats mise en œuvre, peu importe le nombre et le type d'applications qui les
réclament.
Le déploiement des services de PKI peut s'effectuer au fur et à mesure des besoins. De plus en plus
d'applications récentes reconnaissent d'emblée les certificats X. 509 qu'utilisent les PKI standard.
Simplicité pour les utilisateurs
La PKI n'est complexe que pour les techniciens. Du côté des utilisateurs, lorsque les applicatifs sont
déployés et configurés, l'utilisation du certificat et le contrôle de sa validité par une application sont
transparents.
3/4
DSCG : UE5 – Management des Systèmes d'Information
Sécurité des SI
Exercices
L'utilisateur n'a alors qu'à insérer sa carte à puce ou son token USB et entrer son code PIN, ou sa «
passphrase» si le certificat est stocké sur son disque dur. L'application va alors utiliser
automatiquement les services de la PK! pour vérifier son identité et ses droits.
Organisation complexe
Les demandes de certificat sont soumises à l'autorité de certification (un serveur) par le biais de
l'autorité d'enregistrement - souvent une personne physique dans l'entreprise (DRH, équipe
d'exploitation de la PKI) - vérifiant l'identité des demandeurs et la conformité de leur demande vis-àvis de la politique de sécurité interne.
Coût
La majorité des PKI commerciales facturent à l'utilisateur, ce qui peut revenir cher pour de grands
déploiements. Dans de plus petites configurations, il faut bien souvent une équipe chargée du
fonctionnement de la PKI. Si elle ne doit être utilisée que sur une ou deux applications, sans projet
d'évolution, mieux vaut une solution plus traditionnelle (logiciels dédiés au chiffrement et à la signature
de mail).
Quelques offres d'infrastructures à clé publique
Éditeur/nom
RSA/Keon
Commentaires
Tarification
Keon est considéré comme un bon challenger
27 € par utilisateur (1 à 500).
sur ce marché.
http://www.rsasecurity.com/products/keon/index.html
Non communiquée
Baltimore est, avec Entrust, le premier éditeur à
(infrastructure + au nombre
Baltimore/ Unicert s'être spécialisé dans les PKl.
d'utilisateurs).
http://www.baltimore.com/unicertlindex.asp
Entrust/Entrust
PKI
Entrust a fait partie des
fournisseurs dédiés à la PKl.
tout
premiers
Infrastructure (22 500 €) + au
nombre d'utilisateur (45 € de 1
à 1000).
http://www.entrust.com/productslindex.htm
IdeaIXllDX-PKl
La
PKl
est
librement
téléchargeable. Seules les
Une PKl entièrement open source, et un éditeur
prestations de développement
français
spécifiques, si nécessaire,
sont facturées.
http://www.idealx.com/solutions/idxpki/index.fr.html
Computer
Associates
Peut s'intégrer facilement à la gamme de À partir de 15 000 € pour 100
produits de sécurité (SSO, portail) de CA.
utilisateurs.
http://www3.ca.com/Solutions/Product.asp?ID=2623
Microsoft inclut dans Windows 2000 et versions
Inclus dans la licence de
Microsoft/Microso suivantes les outils nécessaires à la mise en Windows.
place d'une PKl sommaire.
ft PKl
http://www.microsoft.com/windows2000/techinfo/planning/security/pki.asp
Jérôme Saiz, Décision Micro, n° 542, 24 mars 2003.
4/4