L'État français se dote d'une autorité de certification racine

Posté par (page perso) . Modéré par Thomas Petazzoni.
Tags :
0
28
mar.
2007
Sécurité
Cette information, parue au Journal officiel de la République française n°41 du 17 février 2007, est passée presque inaperçue, même pour la plupart des administrations. Elle est pourtant essentielle, Il s'agit du fondement du RGS (Référentiel Général de Sécurité).

Une autorité de certification a pour but de s'assurer de l'identité du correspondant. Il s'agit d'un "tiers de confiance" qui assure à chacun que son correspondant est bien celui qu'il prétend être.

Avec cette autorité racine, l'administration n'a plus besoin de faire appel à des organismes privés tels que Thawte, Certinomis, Baltimore, Certplus, Entrust.net, Verisign, GlobalSign, Certificate Center, Cybertrust... On trouvera dans le lien securite.teamlog cette liste non exhaustive des principaux organismes reconnus nativement par les navigateurs. Il faudra donc que tous les navigateurs reconnaissent maintenant ce nouvel organisme de certification de façon à éviter la mésaventure de l'ASSEDIC.

En plus de la sécurité et de l'indépendance, c'est une économie non négligeable pour l'administration française. Il s'agit d'une démarche cohérente avec le RGI dont nous attendons avec impatience les arrêtés d'applications.
  • # Obtenir un certificat signé

    Posté par . Évalué à 6.

    Sait-on sous quelles condition il sera possible d'obtenir un certificat signé par cette autorité ? Pour qui ? Avec quelles garanties ?
    • [^] # Re: Obtenir un certificat signé

      Posté par (page perso) . Évalué à 10.

      Je pense par exemple que la PKI du CNRS va passer sous cette autorité à terme donc petit à petit l'ensemble de tous les serveurs du CNRS. A ma connaissance, la PKI du CNRS est une des plus grosse en France.

      Idem pour les universités qui ont des certificats auto-signés pour la plupart. Avec cette nouvelle autorité, les universités vont pouvoir, je l'espère, mettre en place chez eux la PKI du CNRS sans réinventer la roue. En effet, il n'était pas envisageable pour une université d'avoir un certificat CNRS, c'est impensable ;-)

      Pour le grand-public, cela ne change pas grand chose pour le moment et pour ces serveurs là, c'est surtout pour les intranets que nous allons voir une différence.

      A terme, c'est la généralisation des certificats dans le secteur public. Les sites web seront tous signés et nous seront donc sur d'être face à un site officiel.

      Bref, c'est moins cliquant que le Web 2 mais peut être tout aussi important.
      • [^] # Re: Obtenir un certificat signé

        Posté par . Évalué à 9.

        Ahh ces étudiants ....

        Dans la vraie vie des vrais gens qui produisent, les certifications servent essentiellement à pouvoir accéder à divers sites de déclarations en ligne, typiquement les impôts pour les sociétés.

        Actuellement il faut passer par un organisme privé pour obtenir le jeux de clés de tels sites et bien entendu c'est payant.

        Si l'état est maintenant à meme de produire ces certificats sans dépendre de sociétés tierces, on peut espérer un service gratuit. La mise en place d'une hotline est-elle aussi au programme, comme c'est le cas avec les organismes privés ?
        • [^] # Re: Obtenir un certificat signé

          Posté par . Évalué à 1.

          et oui, tout a fait, obtenir des clefs pour la déclaration TVA en ligne coute cher... pourquoi est-ce qu'il est moinsé Antoine ?

          est-ce a cause de la petite phrase sur les etudiants ? certains n'ont pas d'humour ici ou pas ?
          • [^] # Re: Obtenir un certificat signé

            Posté par (page perso) . Évalué à -4.

            Je ne sais pas où tu vois de l'humour dans son post. Ça ressemble plutôt à une de ces reflexions poujadistes qu'on entends malheuresement régulièrement en France, surtout dans les entreprises. Là c'est les étudiants, d'autres fois ce sont les fonctionnaires ou les femmes qui, c'est bien connu, ne sont pas des vrais gens, vivent dans leur petit monde protégé déconnecté des réalités du seul vrai monde, celui de l'entreprise capitaliste.
        • [^] # Re: Obtenir un certificat signé

          Posté par (page perso) . Évalué à 1.

          Actuellement il faut passer par un organisme privé pour obtenir le jeux de clés de tels sites et bien entendu c'est payant.

          Heu, non, tu ne passes pas par un tel organisme pour acheter « la clé d'un autre site ».

          Tu passes par un tel organisme pour obtenir ton jeu de clés à toi, qui te permet de garantir à de tels sites que tu es bien toi-même. Normalement, tu devrais pouvoir te servir de la même clé pour pas mal de sites différents.

          Je pense que l'État n'a pas voulu faire une autorité de certification initialement parce qu'il n'en avait pas les compétences, notamment pour suivre les évolutions technologiques, et parce qu'il voulait laisser une chance à un secteur privé de se créer et d'innover.

          Maintenant, vu que la technologie est plutôt stable, vu qu'un nombre croissant d'entreprise fait ses démarches en lignes, vu que de plus en plus d'entreprises, de plus en plus petites, sont légalement obligées de le faire, vu que les prix n'ont manifestement pas baissé, vu que l'expérience avec la déclaration d'IR en ligne (où la DGI offre des certificats à des particuliers) est positive, l'ambiance est effectivement à la délivrance de certificats à un peu tout le monde, à moindre frais.

          Tant mieux ! :-)
      • [^] # Re: Obtenir un certificat signé

        Posté par (page perso) . Évalué à 4.

        Juste pour info:

        Depuis juin 2003 le Comité Réseau des Universités (CRU) ( http://www.cru.fr/ ) offre aux universités un service de certificats et possède sa propre infrastructure de gestion de clés (PKI). ( http://igc.cru.fr/ )

        Depuis l'année dernière, elle propose (à travers un accord entre TERENA et GlobalSign) des certificats reconnus dans les navigateurs ( http://www.cru.fr/services/scs/index ). Depuis janvier le CRU encourage son utilisation massive pour les serveurs de la communauté universitaires.

        Les universités utilisant encore des certificats auto-signés pour des services en production sont vraiment à la traîne ...
  • # Et les navigateurs ?

    Posté par (page perso) . Évalué à 2.

    Quand est-ce que cette autorité sera reconnue par défaut dans les naigateurs ?
    • [^] # Re: Et les navigateurs ?

      Posté par . Évalué à 2.

      Oui, et de façon plus générale, comment on met en place un certificat racine sur un système afin que toute application puisse l'utiliser ?
      • [^] # Re: Et les navigateurs ?

        Posté par . Évalué à 2.

        il suffit d'importer le certificat de l'autorité dans le navigateur, et de sélectionner les catégories de trucs pour lesquelles on reconnait l'autorité compétente (sites web, applications, mails...)
        • [^] # Re: Et les navigateurs ?

          Posté par . Évalué à 2.

          Là ça ne concerne que le navigateur. Si je veux les utiliser dans Evolution, ça ne marche pas.

          Je dirais plutôt qu'il faudrait l'installer au niveau de OpenSSL mais je ne sais pas comment on fait. À vue de nez, /usr/lib/ssl/certs/ sur Debian Etch.
      • [^] # Re: Et les navigateurs ?

        Posté par . Évalué à 3.

        On peut ajouter les autorités reconnus à la main.

        Pour les navigateurs libres, il suffit de rajouter quelques lignes dans le source pour que ce soit automatique. C'est le rôle de l'autorité nouvellement crée de proposer les modifs auprès des devs Mozilla, Gnome, KDE, .... et que cela apparaisse dans les prochaines mises à jours

        Pour IE, MS doit faire la démarche de son plein gré pour que les administrés puissent utiliser ce système de certificat après le passage à Vista ;)

        C'est une très bonne nouvelle. Je me suis posé pendant la question de pourquoi cela n'existait pas. Et c'est enfin chose faite. Je me rejouis que l'état français modernise de manière fiable son système d'information.
        • [^] # Re: Et les navigateurs ?

          Posté par (page perso) . Évalué à 5.

          C'est bien là le point le plus sensible. C'est l'État français qui dicte la conduite à tenir et les multinationales doivent s'y plier. On ne peut que se féliciter de cette très bonne nouvelle qui est un pas important dans la bonne direction et on ne devrait pas revenir en arrière.
          On peut se référer à Bernard Lietaer, économiste belge et l'un des pères de l'euro qui explique dans "millénaire des entreprises", que le scénario où les multinationales prennent le pouvoir est le plus crédible. Le fait de vouloir reprendre le pouvoir aux entreprises est vraiment une très bonne nouvelle car une entreprise a pour seul et unique but de faire des bénéfices; les aspects éthiques, moraux et sociaux ne sont pas de sa responsabilité (tant que ça ne nuit pas aux bénéfices) mais de celle des gouvernements.
        • [^] # Re: Et les navigateurs ?

          Posté par . Évalué à 5.

          y'a qu'à faut qu'on...

          on verra bien, mais je doute fortement que microsoft insère ce certificat racine dans son OS sans le faire (fortement) payer. après tout il font payer très cher les verisign et autres thawte, et il faut bien compenser leur manque à gagner.

          ensuite, concernant l'adoption par l'administration proprement dite, je pense que ça va être beaucoup plus folklorique. en effet, la plupart ont déjà leurs propres PKI. en théorie, il suffirait donc de signer les AC des ces PKI avec cette nouvelle AC racine. En pratique, si je lis bien le JO, il faut une validation de la DCSSI. Qui va sûrement exiger une conformité PRIS v2 (voire v 2.1). Et là, ça va tout de suite être beaucoup moins immédiat. La DCSSI va aussi surement exiger d'autres choses plus ou moins cachées et qui dépendent de la sensibilité de l'administration visée.

          enfin, il me semblerait aussi normal que les particuliers et les entreprises puissent bénéficier de cette nouvelle racine (moyennant paiement, évidemment, mais à un tarif préférentiel pour les résidents français et les entreprises payant leurs impots en france). en faire exclusivement l'AC Racine de l'Etat français n'a en soit que peu d'intérêt, économiquement et techniquement parlant.

          La PRIS:
          http://synergies.modernisation.gouv.fr/rubrique.php3?id_rubr(...)
          • [^] # Re: Et les navigateurs ?

            Posté par (page perso) . Évalué à 4.

            on verra bien, mais je doute fortement que microsoft insère ce certificat racine dans son OS sans le faire (fortement) payer. après tout il font payer très cher les verisign et autres thawte, et il faut bien compenser leur manque à gagner.


            Sauf si ça pousse l'État français a adopté Firefox pour l'ensemble de ses postes de travail parce que le certificat racine y aura été intégré de base...
            De toutes façons, l'intégration d'un tel certificat par l'éditeur du logiciel concerne surtout les particuliers car, dans les entreprises, un administrateur digne de ce nom devrait pouvoir l'installer par défaut, avec ses systèmes, pour ses utilisateurs.
            • [^] # Re: Et les navigateurs ?

              Posté par . Évalué à 1.

              Sauf si ça pousse l'État français a adopté Firefox pour l'ensemble de ses postes de travail parce que le certificat racine y aura été intégré de base...


              non, non, c'est pas l'enjeu. il faut te rendre compte que plein d'administrations ont des applications web IE-dépendantes. ils déploieront simplement le nouveau certificat racine sur les postes de travail. dans un environnement contrôlé, ça se fait, comme tu le notes d'ailleurs ;-))
              je suis entièrement d'accord, l'enjeu se situe au niveau des postes de travail des particuliers. mais les usagers de l'administration semblent être visés dans le décret publie au JO :
              "Ils ont vocation à être intégrés dans les logiciels de communication installés sur les ordinateurs des usagers et des administrations."
              • [^] # Re: Et les navigateurs ?

                Posté par . Évalué à 2.

                J'ai pas lu le décret, mais je pense qu'on parle des AC Racines, ce qui permettra alors aux usagers de se connecter aux serveurs Web des administrations de manière sécurisée (comme chacun le sait), en les embêtant le moins possible.

                Le but n'est certainement pas de faire une AC Racine pour délivrer des certificats à tout le monde, comme je pense que tu t'en doutes (vu tes précédantes remarques, tu sembles être bien dans le bain), mais d'éviter aux usagers de charger 36 AC Racines, juste en chargeant l'AC Racine nationale la 1ière fois.

                Cette AC Racine va probablement servir a signer les nouvelles AC Racines des administrations, et à sursigner les existantes, aux exigences de sécurité de la DCSSI près bien sûr.

                A noter qu'un usager est une personne accédant légitimement à un systèmes d'information d'une administration suivant ses droits et ses besoins pour y effectuer une action, sans pour autant faire partie de cette administration. Ainsi une personne qui effectue un paiement d'impôt en ligne est un usager. L'agent des impôt qui accédera à une application permettant de contrôler des éléments de cet usager est un utilisateur. Bien sûr cette notion est fluctuante: ainsi un usager d'une administration peut être aussi un utilisateur d'une autre.

                Comme tu l'écris, les utilisateurs ne sont pas un problème réél, puisque leur environnement est à peu près maîtrisé. Ce qui n'est pas le cas des usagers.
        • [^] # Re: Et les navigateurs ?

          Posté par (page perso) . Évalué à 5.

          Même pour firefox ce n'est pas évident.

          <ma_vie>
          J'ai fait de la consultance pour une boite qui a contribué à apache afin de lui permettre de faire un reverse proxy d'authentification pour la carte d'identité belge.
          </ma_vie>

          Tout naturellement, les gens ont proposé un patch à l'équipe Mozilla pour inclure le certificat racine Belge : Et ben pas du tout, il faut toujours importer à la main le certificat. J'ignore pourquoi le patch a été refusé, d'après un développeur, ce ne serait pas du à sa qualité mais plutôt à la taille du "marché" belge, je n'ai pas vraiment creuser cette histoire mais j'ai été un peu déçu pour le coup.
  • # question dérivée : nos clefs privées de simples citoyens

    Posté par . Évalué à 3.

    Une interrogation qui n' est pas directement liée à cette nouvelle, mais juste dérivée, et avec conscience sur les implications éventuelles : quelqu' un sait il si est d'ores et déjà possible de pouvoir déposer de manière volontaire, en tant que simple citoyen, sa ou ses clef(s) privée(s) ?

    à vous, merci
    • [^] # Re: question dérivée : nos clefs privées de simples citoyens

      Posté par . Évalué à 2.

      pour quoi faire ?
      • [^] # Re: question dérivée : nos clefs privées de simples citoyens

        Posté par . Évalué à 2.

        Authentification forte ?

        Si chaque carte d'identité possède sa petite clé privée avec la clé publique certifiée par l'ACR de la France, il est possible d'authentifier de manière fiable un utilisateur qui voudrait se connecter sur le site des impôts par exemple.

        Évidement, il ne faut pas se faire voler sa carte d'identité (ou signaler le vol très rapidement). Mais bon, avec un code PIN sur la carte d'identité, on a un peu de temps.

        Dernier pré-requis, chaque ordinateur possède un petit lecteur de carte et toutes les applications savent l'utiliser. Il y avait un article la dessus dans GLMF il y a quelques mois.
      • [^] # Re: question dérivée : nos clefs privées de simples citoyens

        Posté par (page perso) . Évalué à 2.

        Un des usages que je vois serait de pouvoir utiliser la signature numérique auprès des administrations et autres.

        Exemple : auprès de ta banque, si tu veux demander un virement, tu ne peux généralement pas faire la demande par mail : on te demande un fax, parce qu'il faut un document signé...

        Pourtant, en théorie (depuis janvier 2001, sauf erreur), la signature numérique a la même valeur légale que la signature papier. Le problème est qu'il est difficile d'établir un lien entre ta clé et ton identité. Si ce lien était attesté par l'État, les banques n'auraient plus vraiment de moyen de refuser, car la boucle serait bouclée.

        [Attention, je ne dis pas que je trouve une attestation par l'État plus légitime que le reste... (par exemple je trouve con de signer une clé GPG sur présentation de carte d'identité, mais c'est un autre débat), mon propos est ici que les administrations, institutions et autres, elles, donneraient une légitimité incontestable à une signature numérique dont le lien avec l'identité réelle est attesté par l'État.]
        • [^] # Re: question dérivée : nos clefs privées de simples citoyens

          Posté par . Évalué à 3.

          Pourtant, en théorie (depuis janvier 2001, sauf erreur), la signature numérique a la même valeur légale que la signature papier. Le problème est qu'il est difficile d'établir un lien entre ta clé et ton identité. Si ce lien était attesté par l'État, les banques n'auraient plus vraiment de moyen de refuser, car la boucle serait bouclée.


          non, non, c'est plus compliqué. en résumé simplifié, la loi distingue signature non qualifiée et signature qualifiée, et ça n'a pas la même valeur juridique qu'une signature papier, dans aucun des deux cas. en gros, une signature non qualifiée est considérée comme moins fiable en général qu'une signature papier, alors qu'une signature qualifiée est considérée comme plus fiable. Le problème c'est que la signature qualifiée est incroyablement plus compliquée à mettre en oeuvre (en pratique personne le fait, car l'AFNOR vient tout juste d'accoucher de la méthode de certification, et c'est vraiment pas simple).
          bref, concernant une éventuelle carte d'identité numérique, le problème qui se pose est donc de savoir si l'état pourrait mettre en place un système permettant de délivrer des certificats qualifiés pour faire de la signature, et vu comment c'est lourd à faire, c'est pas pour demain.
          quand à délivrer des certificats non qualifiés aux usagers, l'état le fait déjà (déclaration d'impôts).
          • [^] # Re: question dérivée : nos clefs privées de simples citoyens

            Posté par . Évalué à 3.

            Moi perso je trouve qu'une application du RGS pourrait effectivement être la possibilité pour chaque citoyen d'obtenir une clé privé signée par cette autorité . Donc une clé gratuite pour chaque citoyen, à titre privé.

            Après tout la carte d'identité sert bien à m'identifier dans les aéroport, etc...., pourquoi ne pas étendre ce service dans le numérique.
            • [^] # Re: question dérivée : nos clefs privées de simples citoyens

              Posté par . Évalué à 1.

              Après tout la carte d'identité sert bien à m'identifier dans les aéroport, etc...., pourquoi ne pas étendre ce service dans le numérique.


              Je suis d'accord. D'ailleurs c'est fait en Belgique.
              Pour répondre plus précisément à ta question cependant, j'attire ton attention sur le fait que authentification/identification != signature, tant techniquement que juridiquement.
        • [^] # Re: question dérivée : nos clefs privées de simples citoyens

          Posté par (page perso) . Évalué à 2.

          Un des usages que je vois serait de pouvoir utiliser la signature numérique auprès des administrations et autres.

          On doit quand même être pas mal nombreux à avoir des certificats créés par la Direction Générale des Impôts dans notre navigateur, pourquoi ne pas déjà s'en servir ? :-)

          (Y'a même une CRL, c'est la première fois que j'importe une CRL dans Firefox. :-))
    • [^] # Re: question dérivée : nos clefs privées de simples citoyens

      Posté par (page perso) . Évalué à 1.

      quelqu' un sait il si est d'ores et déjà possible de pouvoir déposer de manière volontaire, en tant que simple citoyen, sa ou ses clef(s) privée(s)

      Sauf erreur de ma part, c'est d'une autorité de certification qu'il s'agit, pas d'un trousseau de clés.

      Elle va délivrer des certificats (avec quelques niveaux hiérarchiques intermédiaires, probablement), pas contre-signer le truc auto-généré de tout un chacun.
      • [^] # Re: question dérivée : nos clefs privées de simples citoyens

        Posté par . Évalué à 1.

        Sauf erreur de ma part, c'est d'une autorité de certification qu'il s'agit, pas d'un trousseau de clés. Oui c' est pourquoi je disais en premier lieu : "Une interrogation qui n' est pas directement liée à cette nouvelle, mais juste dérivée" ...

        Et c' était tout à fait le sens de mon sous-entendu. Au dela de la question d' un simple dépot de nos clefs privées (sans les signer...en somme un serveur de clefs -mais clefs privées!- d' Etat) se posait la question de l' attribution d' une clef, comme la plupart des gens ont continués le "débat", les infos, ici. et avec conscience sur les implications éventuelles

        En essayant de rester hors du troll, il me semblerai intéressant de pouvoir effectivement disposer de clefs fournies, tout comme on nous fournit un certificat des impôts...
  • # Commentaire supprimé

    Posté par . Évalué à 7.

    Ce commentaire a été supprimé par l'équipe de modération.

    • [^] # Re: Télécharger le certificat IGC/A sans HTTPS ni empreinte !

      Posté par . Évalué à 1.


      Pour installer le certificat dans son navigateur, il nous propose de le télécharger via une connexion non sécurisée :
      => pb d'attaque de type Homme du milieu


      Pourquoi tu veux que Mr Bayrou (l'homme du milieu... bon désolé... le bouton de moisage est en bas...) veuille chopper la clée ?

      En fait il faudrait également une paire de clées par utilisateur, envoyé par un moyen sécurisé (vu qu'il y a une clée privé dans le lot) et puisse ainsi validé l'AC (en validant les signatures de toute la chaine de certification)


      * Certificat d'autorité autosignée
      Ici le certificat est autosigné, je peux faire aussi un serveur avec le même nom !


      En fait une ac racine ne sert pas à authentifier un serveur, elle doit juste créer des AC qui elles créeront des clées qui authentifieront des serveurs, c'est donc normal qu'elle soit autosigné.


      * Pas de lien vers l'empreinte du certificat
      http://www.ssi.gouv.fr/fr/index.html ne propose l'empreinte ci-dessous afin de valider le certificat !!!!
      60 d6 89 74 b5 c2 65 9e 8a 0f c1 88 7c 88 d2 46 69 1b 18 2c
      => pb d'attaque de type Homme du milieu, ...


      En fait si ( http://www.ssi.gouv.fr/fr/sigelec/igca/installer.html ) ils expliquent qu'il faut vérifier l'emprunte, et que cette emprunte est dispo dans le Journal Officiel ( http://www.legifrance.gouv.fr/WAspad/UnTexteDeJorf?numjo=PRM(...) )
      Bien sur l'homme du milieu pourrait très bien modifier le pdf, d'où l'interet d'integrer le bon certif dans les outils le necessitant, et de bien verifier leur checksum, sans parler bien sur de la confiance nécéssaire à apporter au packager de ton appli.
      • [^] # Re: Télécharger le certificat IGC/A sans HTTPS ni empreinte !

        Posté par (page perso) . Évalué à 2.

        En fait une ac racine ne sert pas à authentifier un serveur, elle doit juste créer des AC qui elles créeront des clées qui authentifieront des serveurs, c'est donc normal qu'elle soit autosigné.


        Pour être plus précis, dans une autorité racine, ce qui est important c'est son nom (champ Subject DN du certificat) et sa clé. Alors comment distribuer un nom lié à une clé ? Et bien il existe une solution standard : le certificat X509. Seulement voilà un certificat doit posséder un champ signature, donc traditionnellement on auto-signe le certificat. Mais ce n'est qu'un effet de bord lié au moyen de distribuer la paire clé/nom. En théorie même on pourrait tout à fait remplacer cette signature par une série de zéros (mais je suis sûr que certains décodeurs planteraient lamentablement)
    • [^] # Re: Télécharger le certificat IGC/A sans HTTPS ni empreinte !

      Posté par . Évalué à 1.

      Il y a des sommes MD5, SHA-1 pour toutes les releases Mozilla. De plus, les fichiers sont signés. Tu est sûr que ce n'est pas plutôt toi qui a oublié de chercher un peu ?

      Un exemple :
      ftp://ftp.mozilla.org/pub/mozilla.org/firefox/releases/latest/MD5SUMS
      ftp://ftp.mozilla.org/pub/mozilla.org/firefox/releases/latest/SHA1SUMS

      De plus, elles sont toutes signées. Les clés :
      ftp://ftp.mozilla.org/pub/mozilla.org/firefox/releases/latest/KEY

      Exemple de signature :
      ftp://ftp.mozilla.org/pub/mozilla.org/firefox/releases/latest/source/firefox-2.0.0.3-source.tar.bz2.asc

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.