Articles : L'État français se dote d'une autorité de certification racine
Posté par Pierre Jarillon (page perso, ). Modéré le 28 mars 2007.
Une autorité de certification a pour but de s'assurer de l'identité du correspondant. Il s'agit d'un "tiers de confiance" qui assure à chacun que son correspondant est bien celui qu'il prétend être.
Avec cette autorité racine, l'administration n'a plus besoin de faire appel à des organismes privés tels que Thawte, Certinomis, Baltimore, Certplus, Entrust.net, Verisign, GlobalSign, Certificate Center, Cybertrust... On trouvera dans le lien securite.teamlog cette liste non exhaustive des principaux organismes reconnus nativement par les navigateurs. Il faudra donc que tous les navigateurs reconnaissent maintenant ce nouvel organisme de certification de façon à éviter la mésaventure de l'ASSEDIC.
En plus de la sécurité et de l'indépendance, c'est une économie non négligeable pour l'administration française. Il s'agit d'une démarche cohérente avec le RGI dont nous attendons avec impatience les arrêtés d'applications.
![[fr]](../images/fr.png)
Serveur Thématique Sécurité des Systèmes d'Information (914 hits)-
Publication au Journal Officiel (462 hits)
-
Qu'est-ce qu'une autorité de certification ? (495 hits)
-
Dernière information sur le RGI (255 hits)
-
Introduction au RGI et au RGS (342 hits)
-
Le site web de l’Assedic desservi par son certificat de sécurité (1499 hits)
> Lire la dépêche (35 commentaires, moyenne: 2,8).
Vous avez demandé le commentaire #816735.
Run by 
Cette page a été générée par Templeet en 0.0589s (dont 0.0053 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
question dérivée : nos clefs privées de simples citoyens
Une interrogation qui n' est pas directement liée à cette nouvelle, mais juste dérivée, et avec conscience sur les implications éventuelles : quelqu' un sait il si est d'ores et déjà possible de pouvoir déposer de manière volontaire, en tant que simple citoyen, sa ou ses clef(s) privée(s) ?
à vous, merci
[^]Re: question dérivée : nos clefs privées de simples citoyens
pour quoi faire ?
[^]Re: question dérivée : nos clefs privées de simples citoyens
Authentification forte ?
Si chaque carte d'identité possède sa petite clé privée avec la clé publique certifiée par l'ACR de la France, il est possible d'authentifier de manière fiable un utilisateur qui voudrait se connecter sur le site des impôts par exemple.
Évidement, il ne faut pas se faire voler sa carte d'identité (ou signaler le vol très rapidement). Mais bon, avec un code PIN sur la carte d'identité, on a un peu de temps.
Dernier pré-requis, chaque ordinateur possède un petit lecteur de carte et toutes les applications savent l'utiliser. Il y avait un article la dessus dans GLMF il y a quelques mois.
[^]Re: question dérivée : nos clefs privées de simples citoyens
Un des usages que je vois serait de pouvoir utiliser la signature numérique auprès des administrations et autres.
Exemple : auprès de ta banque, si tu veux demander un virement, tu ne peux généralement pas faire la demande par mail : on te demande un fax, parce qu'il faut un document signé...
Pourtant, en théorie (depuis janvier 2001, sauf erreur), la signature numérique a la même valeur légale que la signature papier. Le problème est qu'il est difficile d'établir un lien entre ta clé et ton identité. Si ce lien était attesté par l'État, les banques n'auraient plus vraiment de moyen de refuser, car la boucle serait bouclée.
[Attention, je ne dis pas que je trouve une attestation par l'État plus légitime que le reste... (par exemple je trouve con de signer une clé GPG sur présentation de carte d'identité, mais c'est un autre débat), mon propos est ici que les administrations, institutions et autres, elles, donneraient une légitimité incontestable à une signature numérique dont le lien avec l'identité réelle est attesté par l'État.]
[^]Re: question dérivée : nos clefs privées de simples citoyens
non, non, c'est plus compliqué. en résumé simplifié, la loi distingue signature non qualifiée et signature qualifiée, et ça n'a pas la même valeur juridique qu'une signature papier, dans aucun des deux cas. en gros, une signature non qualifiée est considérée comme moins fiable en général qu'une signature papier, alors qu'une signature qualifiée est considérée comme plus fiable. Le problème c'est que la signature qualifiée est incroyablement plus compliquée à mettre en oeuvre (en pratique personne le fait, car l'AFNOR vient tout juste d'accoucher de la méthode de certification, et c'est vraiment pas simple).
bref, concernant une éventuelle carte d'identité numérique, le problème qui se pose est donc de savoir si l'état pourrait mettre en place un système permettant de délivrer des certificats qualifiés pour faire de la signature, et vu comment c'est lourd à faire, c'est pas pour demain.
quand à délivrer des certificats non qualifiés aux usagers, l'état le fait déjà (déclaration d'impôts).
[^]Re: question dérivée : nos clefs privées de simples citoyens
Moi perso je trouve qu'une application du RGS pourrait effectivement être la possibilité pour chaque citoyen d'obtenir une clé privé signée par cette autorité . Donc une clé gratuite pour chaque citoyen, à titre privé.
Après tout la carte d'identité sert bien à m'identifier dans les aéroport, etc...., pourquoi ne pas étendre ce service dans le numérique.
[^]Re: question dérivée : nos clefs privées de simples citoyens
Je suis d'accord. D'ailleurs c'est fait en Belgique.
Pour répondre plus précisément à ta question cependant, j'attire ton attention sur le fait que authentification/identification != signature, tant techniquement que juridiquement.
[^]Re: question dérivée : nos clefs privées de simples citoyens
Un des usages que je vois serait de pouvoir utiliser la signature numérique auprès des administrations et autres.
On doit quand même être pas mal nombreux à avoir des certificats créés par la Direction Générale des Impôts dans notre navigateur, pourquoi ne pas déjà s'en servir ? :-)
(Y'a même une CRL, c'est la première fois que j'importe une CRL dans Firefox. :-))
[^]Re: question dérivée : nos clefs privées de simples citoyens
quelqu' un sait il si est d'ores et déjà possible de pouvoir déposer de manière volontaire, en tant que simple citoyen, sa ou ses clef(s) privée(s)
Sauf erreur de ma part, c'est d'une autorité de certification qu'il s'agit, pas d'un trousseau de clés.
Elle va délivrer des certificats (avec quelques niveaux hiérarchiques intermédiaires, probablement), pas contre-signer le truc auto-généré de tout un chacun.
[^]Re: question dérivée : nos clefs privées de simples citoyens
Sauf erreur de ma part, c'est d'une autorité de certification qu'il s'agit, pas d'un trousseau de clés. Oui c' est pourquoi je disais en premier lieu : "Une interrogation qui n' est pas directement liée à cette nouvelle, mais juste dérivée" ...
Et c' était tout à fait le sens de mon sous-entendu. Au dela de la question d' un simple dépot de nos clefs privées (sans les signer...en somme un serveur de clefs -mais clefs privées!- d' Etat) se posait la question de l' attribution d' une clef, comme la plupart des gens ont continués le "débat", les infos, ici. et avec conscience sur les implications éventuelles
En essayant de rester hors du troll, il me semblerai intéressant de pouvoir effectivement disposer de clefs fournies, tout comme on nous fournit un certificat des impôts...