View
26
Download
0
Category
Preview:
DESCRIPTION
C’est déjà demain en Isère. Lybertis: projet pilote, nouvelle carte de vie quotidienne, obligatoire pour les habitants de l’Isère de plus de 6 ans; pour ceux qui ont peur de l’ oublier, possibilité de se la faire greffer sous forme de puce en implant - PowerPoint PPT Presentation
Citation preview
Kalyopsis SARL - 19, rue du Cadi Mouline -Rabat Souissi 10000 - MarocTél/Fax: 037 65 80 24
C’est déjà demain en Isère
Lybertis: projet pilote, nouvelle carte de vie quotidienne, obligatoire pour les habitants de l’Isère de plus de 6 ans; pour ceux qui ont peur de l’ oublier, possibilité de se la faire greffer sous forme de puce en implant
Lybertis: outil universel de confiance, remplaçant la CI, le permis de conduire, la carte santé, la carte d’électeur, la carte de transport…
Lybertis, un tract de la municipalité annonce: « Aucun problème si on a rien à se reprocher »
Kalyopsis SARL - 19, rue du Cadi Mouline -Rabat Souissi 10000 - MarocTél/Fax: 037 65 80 24
C’est un canular mais…
Source: le Monde du 10 juillet, première page, article de Stéphane Foucart
Kalyopsis SARL - 19, rue du Cadi Mouline -Rabat Souissi 10000 - MarocTél/Fax: 037 65 80 24
Administration Électronique et Espaces de Confiance
Comment bâtir un Internet de Sécurité
Quelles solutions au service des programmes egov, contraintes et opportunités
© Kalyopsis, 2005. Diffusion, reproduction et modification interdites sans l'autorisation de Kalyopsis
Sécurité des Échanges: quels enjeux
Les 4 exigences d’un échange de confiance l’ Authentification: chaque partie à l’échange est assurée que sa contrepartie
est bien celle qu’elle prétend être; l’ Intégrité: la partie recevant un message de données est assurée que celui-ci
est identique au message émis, ou que dans le cas contraire, il en sera averti; la Confidentialité: les parties sont assurées que le contenu de leurs échanges
ne sont connus que d’eux-mêmes la Non Répudiation: les parties sont assurées que l’échange et ses termes ne
seront pas contestés plus tard
Monde physique Face à face Documents d’identité
matériels Signature manuscrite
Monde virtuel Certificat électronique Signature électronique
© Kalyopsis, 2005. Diffusion, reproduction et modification interdites sans l'autorisation de Kalyopsis
Quelques notions de base: crypto, clés, certificats
La cryptographie à clé publique, outil et méthode de transmission de messages sécurisés
Fonctionnement du chiffrement à clé publique Fonctionnement de la signature électronique Le certificat électronique, carte d’identité du monde
virtuel
© Kalyopsis, 2005. Diffusion, reproduction et modification interdites sans l'autorisation de Kalyopsis
Chiffrer & Déchiffrer un message
ÉmetteurÉmetteurMessage Coder le message avec la clé PUBLIQUE du
receveur
ReceveurReceveurDécoder le message avecla clé PRIVEE du receveur
© Kalyopsis, 2005. Diffusion, reproduction et modification interdites sans l'autorisation de Kalyopsis
Signer un documentou des données
Chaine de données
EnvoiEnvoi
Chaîne hachée(réduction mathématique)
Le message haché est signé avec la clé
PRIVEE de l’émetteur Le message original ainsi que le hash sont envoyés
La longueur de la chaîne de données est réduite par l’utilisation d’une fonction de hachage
La clé privée est utilisée pour signer le message haché
Le message haché signé est envoyé
© Kalyopsis, 2005. Diffusion, reproduction et modification interdites sans l'autorisation de Kalyopsis
Verification de la Signature
A l’aide de la clé PUBLIQUE de l’émetteur et du message signé , le message haché est récupéré.
?
?
RéceptionRéceptionUn nouveau message haché est
généré à l’aide des données initiales
Le message haché est récupéré avec la clé publique
Les données originales sont utilisées pour générer un nouveau hash
Les deux messages hachés sont comparés
La chaîne de données est utilisables à la réception
© Kalyopsis, 2005. Diffusion, reproduction et modification interdites sans l'autorisation de Kalyopsis
Le certificat électronique
Que ce soit pour chiffrer ou pour signer, la clé publique joue un rôle fondamental
Il faut donc l’associer avec certitude avec son détenteur
Le certificat joue ce rôle, au travers d’un tiers de confiance, l’AC
Confiance tri-partite
Confiance Confiance
Émetteur Receveur
Autorité de certification
© Kalyopsis, 2005. Diffusion, reproduction et modification interdites sans l'autorisation de Kalyopsis
Les 3 piliers des Espaces de Confiance
Le pilier juridique et réglementaire: directive, loi, décrets et arrêtés Le cas français et les lois type de la CNUDCI
Le pilier fonctionnel: processus organisationnels Autorités de Certification (AC) et Autorités d’Enregistrement (AE)
Le pilier technique: moyens et modes opératoires Infrastructures à Clé Publique et production des certificats
Seule la construction synchronisée de ces trois piliers permet d’assurer la sécurité des échanges
(4 exigences citées plus haut remplies)
© Kalyopsis, 2005. Diffusion, reproduction et modification interdites sans l'autorisation de Kalyopsis
Les 3 piliers des Espaces de Confiance
Chaîne de confiance
Le
pili
er
juri
diq
ue
et
rég
lem
en
tair
e
Le
pili
er
fon
ctio
nn
el
pro
ces
su
s
org
anis
atio
nn
els
Le
pili
er
tech
niq
ue
m
oy
en
s e
t m
od
es
op
éra
toir
es
ESPACESDE
CONFIANCE
© Kalyopsis, 2005. Diffusion, reproduction et modification interdites sans l'autorisation de Kalyopsis
L’Environnement juridique et réglementaire: le Pilier
Juridique L’édifice français
Directive Européenne1999/93CE
Loi 2000-230 du 13 mars 2000
Décret 2000-272 du 30 mars 2001
Arrêté du 26 juillet 2004
Fixe un cadre communautaire pour les signatures électroniques
Porte adaptation du droit de la preuve aux TI et est relative à la signature électronique
Pris pour l’article 1316-4 du Code Civil et relatif à la signature électronique (mentionne le certificat)
Relatif à la reconnaissance de la qualification des prestataires de services de certification et à l’accréditation des organismes qui procèdent à leur évaluation
© Kalyopsis, 2005. Diffusion, reproduction et modification interdites sans l'autorisation de Kalyopsis
L’Environnement juridique et réglementaire: le Pilier
Juridique L’édifice mondial
de la CNUDCI
Loi type de 1996 surle commerce électronique
Traite du commerce électronique en général et de la signature en particulier (article 7); adopte le principe de « neutralité technologique »
Traite exclusivement des signatures électroniques; mentionne le certificatLoi type de 2001 sur
la signature électronique
Les dispositifs juridiques et réglementaires ont été relativement longs à se mettre entièrement en place, (4 ans en France), principalement du fait du
caractère nouveau des concepts abordés (absence de doctrine) et du recouvrement des domaines juridique et technique
© Kalyopsis, 2005. Diffusion, reproduction et modification interdites sans l'autorisation de Kalyopsis
L’Environnement Fonctionnel et Organisationnel: les AC et
AE L’Autorité de Certification Elle est l’organisation qui délivre les certificats, identités numériques, à
des entités diverses (personnes physiques, morales, mais aussi équipements tels que serveurs ou routeurs) selon des procédures décrites dans sa Politique de Certification (PC)
Elle est souveraine pour décider des conditions de délivrance (elle fait Autorité)
Elle s’engage sur l’identité du porteur de certificat (elle certifie) Les différents acteurs lui font Confiance dans un périmètre donné
d’applications (Autorité de Confiance ou Autorité de Certification)
De manière générale, les AC sont des Institutions connues, reconnues et jouissant de la confiance des tiers: les Administrations Centrales
de l’État, les banques, les institutions postales, les professions réglementées…
© Kalyopsis, 2005. Diffusion, reproduction et modification interdites sans l'autorisation de Kalyopsis
L’Environnement Fonctionnel et Organisationnel: les AC et
AE L’Autorité d’Enregistrement Elle est l’organisation, dépendant d’au moins une AC, qui assure
tout ou partie des tâches administratives relatives à la gestion de demandeurs de certificats (elle opère partiellement dans le monde physique)
Elle est notamment responsable de la vérification des différentes pièces justificatives spécifiées dans la PC
Elle reçoit et traite les demandes de génération, de révocation, de suspension ou de réactivation de certificats
Les AE ont un rôle très important, elles sont à la source de la fiabilité et de la sécurité du processus de délivrance; pour cette raison, les
AC délèguent rarement l’enregistrement, ou alors dans des conditions très strictes; la taille de son réseau physique et son
maillage sur le territoire sont ses atouts
© Kalyopsis, 2005. Diffusion, reproduction et modification interdites sans l'autorisation de Kalyopsis
L’Environnement technique: l’ Opérateur de Certification
L’ Opérateur de Certification est un prestataire technique Il assure la génération de la bi-clé privée de l’AC (Cérémonie des Clés) et
le cycle de vie des certificats En opérant les composantes techniques d’une Infrastructure à Clé
Publique: notamment des serveurs, des bases de données, des modules de sécurité stockant les clés privées des AC
Le tout dans des conditions optimales de sécurité physique et logique Soit sous la responsabilité directe de l’AC (mode internalisé) soit un sous-
traitant (mode externalisé)
Quelle que soit la configuration choisie, les notions d’AC et d’Opérateur sont distinctes; distinctes sont aussi leurs
responsabilités vis-à-vis des tiers; l’Opérateur est responsable devant l’AC, l’ AC devant les utilisateurs et porteurs de certificats
© Kalyopsis, 2005. Diffusion, reproduction et modification interdites sans l'autorisation de Kalyopsis
Et le Commerce Électronique dans tout cela?
La sécurité du commerce électronique en général et du paiement en particulier repose sur une chaîne: Pouvoirs publics: lois, dispositions et règlements (Loi de 2004 sur la
Confiance dans l’Économie numérique par exemple, procédures de charge back, essentiel des responsabilités sur le cybervendeur…)
Banques et institutions de paiement (Visa, Mastercard): 3D Secure, cartes virtuelles (« one time password »), saisie du cryptogramme visuel
Tiers Certificateurs: Verisign (AC de sites marchands, authentifie des serveurs)
Commerçants: bonnes pratiques, utilisation de certificats SSL 128 bits
Particuliers: bonnes pratiques FAI et intermédiaires techniques: opérations technique dans les
règles de l’art
© Kalyopsis, 2005. Diffusion, reproduction et modification interdites sans l'autorisation de Kalyopsis
Et le Commerce Électronique dans tout cela?
Les faits: Le commerce en ligne se développe à un rythme soutenu (50/60% de
croissance par an en valeur) La fraude reste supérieure dans la vente sur Internet mais reste
supportable (entre 0,04% et 0,15% versus 0,026%, France 2003, source CB)
La fraude provient essentiellement du détournement de numéros de cartes
Les solutions: Elles sont nombreuses: cartes prépayées, cartes virtuelles, 3D Secure… Aucune à ce jour ne garantit une authentification des deux parties et la non
répudiation, essentiellement pour des raisons de coût et d’ergonomie (solutions à base de certificats et de lecteurs)
Les projets de cartes d’identités cryptographiques ou de cartes bancaires EMV à authentification dynamique vont offrir de nouvelles opportunités (France, Allemagne, UK, pays nordiques…)
© Kalyopsis, 2005. Diffusion, reproduction et modification interdites sans l'autorisation de Kalyopsis
Les solutions au service des programmes egov
Plus de barrières infranchissables au déploiement de l’administration électronique
Plusieurs programmes et projets fondateurs au Maroc, utilisant des technologies et mettant en œuvre des processus « state of the art »
La généralisation des télé services passent par une phase de mutualisation des moyens techniques (OSC) et de compétences rares (architectes de sécurité, chefs de projets, exploitants d’infrastructures à haute disponibilité, spécialistes en refonte des processus administratifs, gestionnaires du changement…)
L’adoption du cadre juridique dans son ensemble est et reste une priorité
Recommended