Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Chris Harget, Actividentity, prône la démystification des PKI

juillet 2011 par Chris Harget, Actividentity

Le PKI (Public Key Infrastructure) a été salué comme la solution la plus sûre pour authentifier les utilisateurs, les terminaux et les documents aux tous débuts de l’Internet. Il a suscité une excitation croissante et une foule d’articles, incitant les décideurs informatiques à se pencher sur la question. Puis, très brutalement, le PKI a reçu un formidable retour de bâton de la part des médias. Tout d’un coup, il s’est retrouvé comparé à « une véritable usine à gaz, un marteau qu’on utiliserait pour tuer un moucheron ». On lui a reproché sa complexité arbitraire, le fait qu’il exigeait des opérations d’échanges de clés avec d’autres organismes, conduisant à de nombreuses interventions manuelles, pour par exemple envoyer des emails chiffrés ou signés numériquement. Beaucoup trop complexe pour les simples mortels que sont les informaticiens, il existait sûrement des méthodes d’authentification simplifiées telles qu’OTP à la disposition des entreprises. PKI s’est presque transformé en un croquemitaine informatique.

Un événement surprenant s’est alors produit, ou plutôt, deux événements. Tout d’abord, les Etats ont adopté le PKI et de puissants logiciels de gestion des données d’identification (credential management software - CMS) ont été créés en vue d’automatiser une grande partie du processus d’émission, de mise à jour et de révocation de ces données. Des éditeurs gérant leur propre écosystème tels que Microsoft, Juniper et Cisco ont intégré le PKI à leurs offres. Les logiciels de CMS se sont finalement fait une place dans les applications. Ils ont été une solution idéale et beaucoup plus simple pour les PKI dits en boucle fermée, c’est-à-dire dans les cas où l’émetteur et l’authentificateur font partie de la même organisation, d’où une réduction très importante des éléments du système. En second lieu, des aspects des OTP les plus courants se sont vus exposés à des attaques de sécurité (on peut par exemple citer la violation de sécurité subie par RSA, suivie de l’attaque contre Lockheed Martin). En conséquence, les entreprises ont commencé à se demander quelles étaient les meilleures méthodes d’authentification disponibles.

Le PKI se voir aujourd’hui offrir une seconde chance. Beaucoup de gens continuent d’avoir une réaction de rejet instinctive, suspectant que le PKI a été inventé pour leur donner l’impression d’être stupides, mais un système PKI moderne en boucle fermée et géré par une application est exactement l’inverse. Les nouvelles appliances CMS sont conçues de manière à ce que les équipes informatiques sans même connaître les PKI puissent déployer une solution de carte intelligente aussi sécurisée que pour le secteur militaire.

Rétrospectivement, un peu comme ces images ou informations virales qui se propagent parfois en masse sur Internet, le PKI a souffert d’une surmédiatisation avant que les outils permettant de le gérer n’aient été mis en place. Les spécialistes de la sécurité se sont trop enthousiasmés à son sujet et se sont attelés à définir le nec plus ultra des solutions PKI, alors que peu d’entreprises avaient réellement besoin de ses fonctions les plus ésotériques, complexes et exagérément consommatrices de main-d’œuvre. Lorsque les fournisseurs de solutions PKI se sont emballés en tentant de former les utilisateurs à tous les scénarios d’utilisation possibles, ils ont en fait détourné les usagers potentiels des scénarios les plus économiques et les plus porteurs de valeur. Si je vous disais que je peux vous proposer un appareil qu’il vous suffit de connecter à votre PC, fonctionnant comme un lecteur de cartes et vous permettant d’accéder en toute sécurité aux PC, aux réseaux, aux applications en cloud et aux réseaux virtuels privés (VPN), il y a fort à parier que les réactions seront heureuses . Puisqu’en effet, le PKI présenté aujourd’hui n’a plus rien à voir avec sa toute première mouture.


Voir les articles précédents

    

Voir les articles suivants