Face aux nouvelles menaces liées à l’interconnexion croissante des SI (commerce en ligne, dématérialisation, mobilité des salariés,…) et des menaces internes, l’utilisation de certificats électroniques s’impose comme étant l’une des solutions les plus sécurisées pour garantir le contrôle d’accès, la traçabilité et l’imputabilité, en d’autres termes, garantir l’identité de la personne ayant agi. Des infrastructures de gestion de clés (PKI) ont d’ailleurs été déployées dans de nombreuses grandes entreprises. Il apparaît même aujourd’hui des cartes d’identité nationales intégrant des certificats numériques (Portugal, Belgique,…).La sécurité d’un système bâti sur des certificats repose sur la protection des clés privées des autorités de certification, des serveurs et des utilisateurs. C’est au confinement de la clé privée de ces derniers que nous nous intéresserons : la carte à puce.
1. Les enjeux
Et voilà donc avec l’intégration des cartes dans le système, l’apparition de toutes nouvelles problématiques.
En effet, la mise en œuvre des cartes à puce dans le cadre d’une PKI ne revient pas simplement à associer à des utilisateurs un objet doté d’une certaine intelligence. Elle implique de réfléchir aux usages, donc aux applications, à l’intégration de la carte sur le poste de travail, donc au déploiement des matériels et logiciels, et de définir toutes les procédures qui rendront la carte utilisable par des humains capables d’oublier leur code PIN2 ou de perdre leur carte.
2. La carte PKI
Les cartes à puce utilisées dans les projets de PKI sont très majoritairement des cartes Java. Pour fonctionner sur le poste utilisateur, les cartes PKI utilisent :
- un lecteur de carte à puce,
- une interface applicative de haut niveau ou middleware cryptographique.
Peu ou prou, tous les fabricants de cartes fournissent des...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
