Articles : L'État français se dote d'une autorité de certification racine
Posté par Pierre Jarillon (page perso, ). Modéré le 28 mars 2007.
Une autorité de certification a pour but de s'assurer de l'identité du correspondant. Il s'agit d'un "tiers de confiance" qui assure à chacun que son correspondant est bien celui qu'il prétend être.
Avec cette autorité racine, l'administration n'a plus besoin de faire appel à des organismes privés tels que Thawte, Certinomis, Baltimore, Certplus, Entrust.net, Verisign, GlobalSign, Certificate Center, Cybertrust... On trouvera dans le lien securite.teamlog cette liste non exhaustive des principaux organismes reconnus nativement par les navigateurs. Il faudra donc que tous les navigateurs reconnaissent maintenant ce nouvel organisme de certification de façon à éviter la mésaventure de l'ASSEDIC.
En plus de la sécurité et de l'indépendance, c'est une économie non négligeable pour l'administration française. Il s'agit d'une démarche cohérente avec le RGI dont nous attendons avec impatience les arrêtés d'applications.
![[fr]](../images/fr.png)
Serveur Thématique Sécurité des Systèmes d'Information (914 hits)-
Publication au Journal Officiel (462 hits)
-
Qu'est-ce qu'une autorité de certification ? (495 hits)
-
Dernière information sur le RGI (255 hits)
-
Introduction au RGI et au RGS (342 hits)
-
Le site web de l’Assedic desservi par son certificat de sécurité (1499 hits)
> Lire la dépêche (35 commentaires, moyenne: 2,8).
Vous avez demandé le commentaire #816422.
Run by 
Cette page a été générée par Templeet en 0.0653s (dont 0.0031 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Et les navigateurs ?
Quand est-ce que cette autorité sera reconnue par défaut dans les naigateurs ?
[^]Re: Et les navigateurs ?
Oui, et de façon plus générale, comment on met en place un certificat racine sur un système afin que toute application puisse l'utiliser ?
[^]Re: Et les navigateurs ?
il suffit d'importer le certificat de l'autorité dans le navigateur, et de sélectionner les catégories de trucs pour lesquelles on reconnait l'autorité compétente (sites web, applications, mails...)
[^]Re: Et les navigateurs ?
Là ça ne concerne que le navigateur. Si je veux les utiliser dans Evolution, ça ne marche pas.
Je dirais plutôt qu'il faudrait l'installer au niveau de OpenSSL mais je ne sais pas comment on fait. À vue de nez, /usr/lib/ssl/certs/ sur Debian Etch.
[^]Re: Et les navigateurs ?
On peut ajouter les autorités reconnus à la main.
Pour les navigateurs libres, il suffit de rajouter quelques lignes dans le source pour que ce soit automatique. C'est le rôle de l'autorité nouvellement crée de proposer les modifs auprès des devs Mozilla, Gnome, KDE, .... et que cela apparaisse dans les prochaines mises à jours
Pour IE, MS doit faire la démarche de son plein gré pour que les administrés puissent utiliser ce système de certificat après le passage à Vista ;)
C'est une très bonne nouvelle. Je me suis posé pendant la question de pourquoi cela n'existait pas. Et c'est enfin chose faite. Je me rejouis que l'état français modernise de manière fiable son système d'information.
[^]Re: Et les navigateurs ?
C'est bien là le point le plus sensible. C'est l'État français qui dicte la conduite à tenir et les multinationales doivent s'y plier. On ne peut que se féliciter de cette très bonne nouvelle qui est un pas important dans la bonne direction et on ne devrait pas revenir en arrière.
On peut se référer à Bernard Lietaer, économiste belge et l'un des pères de l'euro qui explique dans "millénaire des entreprises", que le scénario où les multinationales prennent le pouvoir est le plus crédible. Le fait de vouloir reprendre le pouvoir aux entreprises est vraiment une très bonne nouvelle car une entreprise a pour seul et unique but de faire des bénéfices; les aspects éthiques, moraux et sociaux ne sont pas de sa responsabilité (tant que ça ne nuit pas aux bénéfices) mais de celle des gouvernements.
[^]Re: Et les navigateurs ?
y'a qu'à faut qu'on...
on verra bien, mais je doute fortement que microsoft insère ce certificat racine dans son OS sans le faire (fortement) payer. après tout il font payer très cher les verisign et autres thawte, et il faut bien compenser leur manque à gagner.
ensuite, concernant l'adoption par l'administration proprement dite, je pense que ça va être beaucoup plus folklorique. en effet, la plupart ont déjà leurs propres PKI. en théorie, il suffirait donc de signer les AC des ces PKI avec cette nouvelle AC racine. En pratique, si je lis bien le JO, il faut une validation de la DCSSI. Qui va sûrement exiger une conformité PRIS v2 (voire v 2.1). Et là, ça va tout de suite être beaucoup moins immédiat. La DCSSI va aussi surement exiger d'autres choses plus ou moins cachées et qui dépendent de la sensibilité de l'administration visée.
enfin, il me semblerait aussi normal que les particuliers et les entreprises puissent bénéficier de cette nouvelle racine (moyennant paiement, évidemment, mais à un tarif préférentiel pour les résidents français et les entreprises payant leurs impots en france). en faire exclusivement l'AC Racine de l'Etat français n'a en soit que peu d'intérêt, économiquement et techniquement parlant.
La PRIS:
http://synergies.modernisation.gouv.fr/rubrique.php3?id_rubr(...)
[^]Re: Et les navigateurs ?
Sauf si ça pousse l'État français a adopté Firefox pour l'ensemble de ses postes de travail parce que le certificat racine y aura été intégré de base...
De toutes façons, l'intégration d'un tel certificat par l'éditeur du logiciel concerne surtout les particuliers car, dans les entreprises, un administrateur digne de ce nom devrait pouvoir l'installer par défaut, avec ses systèmes, pour ses utilisateurs.
[^]Re: Et les navigateurs ?
non, non, c'est pas l'enjeu. il faut te rendre compte que plein d'administrations ont des applications web IE-dépendantes. ils déploieront simplement le nouveau certificat racine sur les postes de travail. dans un environnement contrôlé, ça se fait, comme tu le notes d'ailleurs ;-))
je suis entièrement d'accord, l'enjeu se situe au niveau des postes de travail des particuliers. mais les usagers de l'administration semblent être visés dans le décret publie au JO :
"Ils ont vocation à être intégrés dans les logiciels de communication installés sur les ordinateurs des usagers et des administrations."
[^]Re: Et les navigateurs ?
J'ai pas lu le décret, mais je pense qu'on parle des AC Racines, ce qui permettra alors aux usagers de se connecter aux serveurs Web des administrations de manière sécurisée (comme chacun le sait), en les embêtant le moins possible.
Le but n'est certainement pas de faire une AC Racine pour délivrer des certificats à tout le monde, comme je pense que tu t'en doutes (vu tes précédantes remarques, tu sembles être bien dans le bain), mais d'éviter aux usagers de charger 36 AC Racines, juste en chargeant l'AC Racine nationale la 1ière fois.
Cette AC Racine va probablement servir a signer les nouvelles AC Racines des administrations, et à sursigner les existantes, aux exigences de sécurité de la DCSSI près bien sûr.
A noter qu'un usager est une personne accédant légitimement à un systèmes d'information d'une administration suivant ses droits et ses besoins pour y effectuer une action, sans pour autant faire partie de cette administration. Ainsi une personne qui effectue un paiement d'impôt en ligne est un usager. L'agent des impôt qui accédera à une application permettant de contrôler des éléments de cet usager est un utilisateur. Bien sûr cette notion est fluctuante: ainsi un usager d'une administration peut être aussi un utilisateur d'une autre.
Comme tu l'écris, les utilisateurs ne sont pas un problème réél, puisque leur environnement est à peu près maîtrisé. Ce qui n'est pas le cas des usagers.
[^]Re: Et les navigateurs ?
Même pour firefox ce n'est pas évident.
<ma_vie>
J'ai fait de la consultance pour une boite qui a contribué à apache afin de lui permettre de faire un reverse proxy d'authentification pour la carte d'identité belge.
</ma_vie>
Tout naturellement, les gens ont proposé un patch à l'équipe Mozilla pour inclure le certificat racine Belge : Et ben pas du tout, il faut toujours importer à la main le certificat. J'ignore pourquoi le patch a été refusé, d'après un développeur, ce ne serait pas du à sa qualité mais plutôt à la taille du "marché" belge, je n'ai pas vraiment creuser cette histoire mais j'ai été un peu déçu pour le coup.
Le scheme c'est bien.