Une autorité de certification a pour but de s'assurer de l'identité du correspondant. Il s'agit d'un "tiers de confiance" qui assure à chacun que son correspondant est bien celui qu'il prétend être.
Avec cette autorité racine, l'administration n'a plus besoin de faire appel à des organismes privés tels que Thawte, Certinomis, Baltimore, Certplus, Entrust.net, Verisign, GlobalSign, Certificate Center, Cybertrust... On trouvera dans le lien securite.teamlog cette liste non exhaustive des principaux organismes reconnus nativement par les navigateurs. Il faudra donc que tous les navigateurs reconnaissent maintenant ce nouvel organisme de certification de façon à éviter la mésaventure de l'ASSEDIC.
En plus de la sécurité et de l'indépendance, c'est une économie non négligeable pour l'administration française. Il s'agit d'une démarche cohérente avec le RGI dont nous attendons avec impatience les arrêtés d'applications.
Aller plus loin
- Serveur Thématique Sécurité des Systèmes d'Information (239 clics)
- Publication au Journal Officiel (166 clics)
- Qu'est-ce qu'une autorité de certification ? (287 clics)
- Dernière information sur le RGI (65 clics)
- Introduction au RGI et au RGS (162 clics)
- Le site web de l’Assedic desservi par son certificat de sécurité (248 clics)
# Obtenir un certificat signé
Posté par Sébastien Koechlin . Évalué à 6.
[^] # Re: Obtenir un certificat signé
Posté par Sytoka Modon (site web personnel) . Évalué à 10.
Idem pour les universités qui ont des certificats auto-signés pour la plupart. Avec cette nouvelle autorité, les universités vont pouvoir, je l'espère, mettre en place chez eux la PKI du CNRS sans réinventer la roue. En effet, il n'était pas envisageable pour une université d'avoir un certificat CNRS, c'est impensable ;-)
Pour le grand-public, cela ne change pas grand chose pour le moment et pour ces serveurs là, c'est surtout pour les intranets que nous allons voir une différence.
A terme, c'est la généralisation des certificats dans le secteur public. Les sites web seront tous signés et nous seront donc sur d'être face à un site officiel.
Bref, c'est moins cliquant que le Web 2 mais peut être tout aussi important.
[^] # Re: Obtenir un certificat signé
Posté par Antoine Beck . Évalué à 9.
Dans la vraie vie des vrais gens qui produisent, les certifications servent essentiellement à pouvoir accéder à divers sites de déclarations en ligne, typiquement les impôts pour les sociétés.
Actuellement il faut passer par un organisme privé pour obtenir le jeux de clés de tels sites et bien entendu c'est payant.
Si l'état est maintenant à meme de produire ces certificats sans dépendre de sociétés tierces, on peut espérer un service gratuit. La mise en place d'une hotline est-elle aussi au programme, comme c'est le cas avec les organismes privés ?
[^] # Re: Obtenir un certificat signé
Posté par fabien . Évalué à 1.
est-ce a cause de la petite phrase sur les etudiants ? certains n'ont pas d'humour ici ou pas ?
[^] # Re: Obtenir un certificat signé
Posté par rhizome . Évalué à -4.
[^] # Re: Obtenir un certificat signé
Posté par Boa Treize (site web personnel) . Évalué à 1.
Heu, non, tu ne passes pas par un tel organisme pour acheter « la clé d'un autre site ».
Tu passes par un tel organisme pour obtenir ton jeu de clés à toi, qui te permet de garantir à de tels sites que tu es bien toi-même. Normalement, tu devrais pouvoir te servir de la même clé pour pas mal de sites différents.
Je pense que l'État n'a pas voulu faire une autorité de certification initialement parce qu'il n'en avait pas les compétences, notamment pour suivre les évolutions technologiques, et parce qu'il voulait laisser une chance à un secteur privé de se créer et d'innover.
Maintenant, vu que la technologie est plutôt stable, vu qu'un nombre croissant d'entreprise fait ses démarches en lignes, vu que de plus en plus d'entreprises, de plus en plus petites, sont légalement obligées de le faire, vu que les prix n'ont manifestement pas baissé, vu que l'expérience avec la déclaration d'IR en ligne (où la DGI offre des certificats à des particuliers) est positive, l'ambiance est effectivement à la délivrance de certificats à un peu tout le monde, à moindre frais.
Tant mieux ! :-)
[^] # Re: Obtenir un certificat signé
Posté par Yann 'Ze' Richard (site web personnel) . Évalué à 4.
Depuis juin 2003 le Comité Réseau des Universités (CRU) ( http://www.cru.fr/ ) offre aux universités un service de certificats et possède sa propre infrastructure de gestion de clés (PKI). ( http://igc.cru.fr/ )
Depuis l'année dernière, elle propose (à travers un accord entre TERENA et GlobalSign) des certificats reconnus dans les navigateurs ( http://www.cru.fr/services/scs/index ). Depuis janvier le CRU encourage son utilisation massive pour les serveurs de la communauté universitaires.
Les universités utilisant encore des certificats auto-signés pour des services en production sont vraiment à la traîne ...
[^] # Re: Obtenir un certificat signé
Posté par Pierre Jarillon (site web personnel) . Évalué à 2.
[^] # Re: Obtenir un certificat signé
Posté par Pol' uX (site web personnel) . Évalué à 5.
(yé souis partii !) --> [ ]
Adhérer à l'April, ça vous tente ?
[^] # Re: Obtenir un certificat signé
Posté par ultimat . Évalué à 1.
# Et les navigateurs ?
Posté par yoho (site web personnel) . Évalué à 2.
[^] # Re: Et les navigateurs ?
Posté par Douglas Rafferty . Évalué à 2.
[^] # Re: Et les navigateurs ?
Posté par Jacquot Raphael . Évalué à 2.
[^] # Re: Et les navigateurs ?
Posté par ondex . Évalué à 2.
Je dirais plutôt qu'il faudrait l'installer au niveau de OpenSSL mais je ne sais pas comment on fait. À vue de nez, /usr/lib/ssl/certs/ sur Debian Etch.
[^] # Re: Et les navigateurs ?
Posté par Jakie Kasperwsky . Évalué à 3.
Pour les navigateurs libres, il suffit de rajouter quelques lignes dans le source pour que ce soit automatique. C'est le rôle de l'autorité nouvellement crée de proposer les modifs auprès des devs Mozilla, Gnome, KDE, .... et que cela apparaisse dans les prochaines mises à jours
Pour IE, MS doit faire la démarche de son plein gré pour que les administrés puissent utiliser ce système de certificat après le passage à Vista ;)
C'est une très bonne nouvelle. Je me suis posé pendant la question de pourquoi cela n'existait pas. Et c'est enfin chose faite. Je me rejouis que l'état français modernise de manière fiable son système d'information.
[^] # Re: Et les navigateurs ?
Posté par Pierre Jarillon (site web personnel) . Évalué à 5.
On peut se référer à Bernard Lietaer, économiste belge et l'un des pères de l'euro qui explique dans "millénaire des entreprises", que le scénario où les multinationales prennent le pouvoir est le plus crédible. Le fait de vouloir reprendre le pouvoir aux entreprises est vraiment une très bonne nouvelle car une entreprise a pour seul et unique but de faire des bénéfices; les aspects éthiques, moraux et sociaux ne sont pas de sa responsabilité (tant que ça ne nuit pas aux bénéfices) mais de celle des gouvernements.
[^] # Re: Et les navigateurs ?
Posté par anonyme512 . Évalué à 5.
on verra bien, mais je doute fortement que microsoft insère ce certificat racine dans son OS sans le faire (fortement) payer. après tout il font payer très cher les verisign et autres thawte, et il faut bien compenser leur manque à gagner.
ensuite, concernant l'adoption par l'administration proprement dite, je pense que ça va être beaucoup plus folklorique. en effet, la plupart ont déjà leurs propres PKI. en théorie, il suffirait donc de signer les AC des ces PKI avec cette nouvelle AC racine. En pratique, si je lis bien le JO, il faut une validation de la DCSSI. Qui va sûrement exiger une conformité PRIS v2 (voire v 2.1). Et là, ça va tout de suite être beaucoup moins immédiat. La DCSSI va aussi surement exiger d'autres choses plus ou moins cachées et qui dépendent de la sensibilité de l'administration visée.
enfin, il me semblerait aussi normal que les particuliers et les entreprises puissent bénéficier de cette nouvelle racine (moyennant paiement, évidemment, mais à un tarif préférentiel pour les résidents français et les entreprises payant leurs impots en france). en faire exclusivement l'AC Racine de l'Etat français n'a en soit que peu d'intérêt, économiquement et techniquement parlant.
La PRIS:
http://synergies.modernisation.gouv.fr/rubrique.php3?id_rubr(...)
[^] # Re: Et les navigateurs ?
Posté par Raphaël SurcouF (site web personnel) . Évalué à 4.
Sauf si ça pousse l'État français a adopté Firefox pour l'ensemble de ses postes de travail parce que le certificat racine y aura été intégré de base...
De toutes façons, l'intégration d'un tel certificat par l'éditeur du logiciel concerne surtout les particuliers car, dans les entreprises, un administrateur digne de ce nom devrait pouvoir l'installer par défaut, avec ses systèmes, pour ses utilisateurs.
[^] # Re: Et les navigateurs ?
Posté par anonyme512 . Évalué à 1.
non, non, c'est pas l'enjeu. il faut te rendre compte que plein d'administrations ont des applications web IE-dépendantes. ils déploieront simplement le nouveau certificat racine sur les postes de travail. dans un environnement contrôlé, ça se fait, comme tu le notes d'ailleurs ;-))
je suis entièrement d'accord, l'enjeu se situe au niveau des postes de travail des particuliers. mais les usagers de l'administration semblent être visés dans le décret publie au JO :
"Ils ont vocation à être intégrés dans les logiciels de communication installés sur les ordinateurs des usagers et des administrations."
[^] # Re: Et les navigateurs ?
Posté par Joël Saunier . Évalué à 2.
Le but n'est certainement pas de faire une AC Racine pour délivrer des certificats à tout le monde, comme je pense que tu t'en doutes (vu tes précédantes remarques, tu sembles être bien dans le bain), mais d'éviter aux usagers de charger 36 AC Racines, juste en chargeant l'AC Racine nationale la 1ière fois.
Cette AC Racine va probablement servir a signer les nouvelles AC Racines des administrations, et à sursigner les existantes, aux exigences de sécurité de la DCSSI près bien sûr.
A noter qu'un usager est une personne accédant légitimement à un systèmes d'information d'une administration suivant ses droits et ses besoins pour y effectuer une action, sans pour autant faire partie de cette administration. Ainsi une personne qui effectue un paiement d'impôt en ligne est un usager. L'agent des impôt qui accédera à une application permettant de contrôler des éléments de cet usager est un utilisateur. Bien sûr cette notion est fluctuante: ainsi un usager d'une administration peut être aussi un utilisateur d'une autre.
Comme tu l'écris, les utilisateurs ne sont pas un problème réél, puisque leur environnement est à peu près maîtrisé. Ce qui n'est pas le cas des usagers.
[^] # Re: Et les navigateurs ?
Posté par Nicolas Évrard (site web personnel) . Évalué à 5.
<ma_vie>
J'ai fait de la consultance pour une boite qui a contribué à apache afin de lui permettre de faire un reverse proxy d'authentification pour la carte d'identité belge.
</ma_vie>
Tout naturellement, les gens ont proposé un patch à l'équipe Mozilla pour inclure le certificat racine Belge : Et ben pas du tout, il faut toujours importer à la main le certificat. J'ignore pourquoi le patch a été refusé, d'après un développeur, ce ne serait pas du à sa qualité mais plutôt à la taille du "marché" belge, je n'ai pas vraiment creuser cette histoire mais j'ai été un peu déçu pour le coup.
# question dérivée : nos clefs privées de simples citoyens
Posté par bubar🦥 (site web personnel) . Évalué à 3.
à vous, merci
[^] # Re: question dérivée : nos clefs privées de simples citoyens
Posté par Jacquot Raphael . Évalué à 2.
[^] # Re: question dérivée : nos clefs privées de simples citoyens
Posté par ondex . Évalué à 2.
Si chaque carte d'identité possède sa petite clé privée avec la clé publique certifiée par l'ACR de la France, il est possible d'authentifier de manière fiable un utilisateur qui voudrait se connecter sur le site des impôts par exemple.
Évidement, il ne faut pas se faire voler sa carte d'identité (ou signaler le vol très rapidement). Mais bon, avec un code PIN sur la carte d'identité, on a un peu de temps.
Dernier pré-requis, chaque ordinateur possède un petit lecteur de carte et toutes les applications savent l'utiliser. Il y avait un article la dessus dans GLMF il y a quelques mois.
[^] # Re: question dérivée : nos clefs privées de simples citoyens
Posté par davux (site web personnel) . Évalué à 2.
Exemple : auprès de ta banque, si tu veux demander un virement, tu ne peux généralement pas faire la demande par mail : on te demande un fax, parce qu'il faut un document signé...
Pourtant, en théorie (depuis janvier 2001, sauf erreur), la signature numérique a la même valeur légale que la signature papier. Le problème est qu'il est difficile d'établir un lien entre ta clé et ton identité. Si ce lien était attesté par l'État, les banques n'auraient plus vraiment de moyen de refuser, car la boucle serait bouclée.
[Attention, je ne dis pas que je trouve une attestation par l'État plus légitime que le reste... (par exemple je trouve con de signer une clé GPG sur présentation de carte d'identité, mais c'est un autre débat), mon propos est ici que les administrations, institutions et autres, elles, donneraient une légitimité incontestable à une signature numérique dont le lien avec l'identité réelle est attesté par l'État.]
[^] # Re: question dérivée : nos clefs privées de simples citoyens
Posté par anonyme512 . Évalué à 3.
non, non, c'est plus compliqué. en résumé simplifié, la loi distingue signature non qualifiée et signature qualifiée, et ça n'a pas la même valeur juridique qu'une signature papier, dans aucun des deux cas. en gros, une signature non qualifiée est considérée comme moins fiable en général qu'une signature papier, alors qu'une signature qualifiée est considérée comme plus fiable. Le problème c'est que la signature qualifiée est incroyablement plus compliquée à mettre en oeuvre (en pratique personne le fait, car l'AFNOR vient tout juste d'accoucher de la méthode de certification, et c'est vraiment pas simple).
bref, concernant une éventuelle carte d'identité numérique, le problème qui se pose est donc de savoir si l'état pourrait mettre en place un système permettant de délivrer des certificats qualifiés pour faire de la signature, et vu comment c'est lourd à faire, c'est pas pour demain.
quand à délivrer des certificats non qualifiés aux usagers, l'état le fait déjà (déclaration d'impôts).
[^] # Re: question dérivée : nos clefs privées de simples citoyens
Posté par Alex G. . Évalué à 3.
Après tout la carte d'identité sert bien à m'identifier dans les aéroport, etc...., pourquoi ne pas étendre ce service dans le numérique.
[^] # Re: question dérivée : nos clefs privées de simples citoyens
Posté par anonyme512 . Évalué à 1.
Je suis d'accord. D'ailleurs c'est fait en Belgique.
Pour répondre plus précisément à ta question cependant, j'attire ton attention sur le fait que authentification/identification != signature, tant techniquement que juridiquement.
[^] # Re: question dérivée : nos clefs privées de simples citoyens
Posté par Boa Treize (site web personnel) . Évalué à 2.
On doit quand même être pas mal nombreux à avoir des certificats créés par la Direction Générale des Impôts dans notre navigateur, pourquoi ne pas déjà s'en servir ? :-)
(Y'a même une CRL, c'est la première fois que j'importe une CRL dans Firefox. :-))
[^] # Re: question dérivée : nos clefs privées de simples citoyens
Posté par Boa Treize (site web personnel) . Évalué à 1.
Sauf erreur de ma part, c'est d'une autorité de certification qu'il s'agit, pas d'un trousseau de clés.
Elle va délivrer des certificats (avec quelques niveaux hiérarchiques intermédiaires, probablement), pas contre-signer le truc auto-généré de tout un chacun.
[^] # Re: question dérivée : nos clefs privées de simples citoyens
Posté par bubar🦥 (site web personnel) . Évalué à 1.
Et c' était tout à fait le sens de mon sous-entendu. Au dela de la question d' un simple dépot de nos clefs privées (sans les signer...en somme un serveur de clefs -mais clefs privées!- d' Etat) se posait la question de l' attribution d' une clef, comme la plupart des gens ont continués le "débat", les infos, ici. et avec conscience sur les implications éventuelles
En essayant de rester hors du troll, il me semblerai intéressant de pouvoir effectivement disposer de clefs fournies, tout comme on nous fournit un certificat des impôts...
# Commentaire supprimé
Posté par Anonyme . Évalué à 7.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Télécharger le certificat IGC/A sans HTTPS ni empreinte !
Posté par Alex . Évalué à 1.
Pourquoi tu veux que Mr Bayrou (l'homme du milieu... bon désolé... le bouton de moisage est en bas...) veuille chopper la clée ?
En fait il faudrait également une paire de clées par utilisateur, envoyé par un moyen sécurisé (vu qu'il y a une clée privé dans le lot) et puisse ainsi validé l'AC (en validant les signatures de toute la chaine de certification)
En fait une ac racine ne sert pas à authentifier un serveur, elle doit juste créer des AC qui elles créeront des clées qui authentifieront des serveurs, c'est donc normal qu'elle soit autosigné.
En fait si ( http://www.ssi.gouv.fr/fr/sigelec/igca/installer.html ) ils expliquent qu'il faut vérifier l'emprunte, et que cette emprunte est dispo dans le Journal Officiel ( http://www.legifrance.gouv.fr/WAspad/UnTexteDeJorf?numjo=PRM(...) )
Bien sur l'homme du milieu pourrait très bien modifier le pdf, d'où l'interet d'integrer le bon certif dans les outils le necessitant, et de bien verifier leur checksum, sans parler bien sur de la confiance nécéssaire à apporter au packager de ton appli.
[^] # Re: Télécharger le certificat IGC/A sans HTTPS ni empreinte !
Posté par jcs (site web personnel) . Évalué à 2.
Pour être plus précis, dans une autorité racine, ce qui est important c'est son nom (champ Subject DN du certificat) et sa clé. Alors comment distribuer un nom lié à une clé ? Et bien il existe une solution standard : le certificat X509. Seulement voilà un certificat doit posséder un champ signature, donc traditionnellement on auto-signe le certificat. Mais ce n'est qu'un effet de bord lié au moyen de distribuer la paire clé/nom. En théorie même on pourrait tout à fait remplacer cette signature par une série de zéros (mais je suis sûr que certains décodeurs planteraient lamentablement)
[^] # Re: Télécharger le certificat IGC/A sans HTTPS ni empreinte !
Posté par madflo . Évalué à 1.
Un exemple :
ftp://ftp.mozilla.org/pub/mozilla.org/firefox/releases/latest/MD5SUMS
ftp://ftp.mozilla.org/pub/mozilla.org/firefox/releases/latest/SHA1SUMS
De plus, elles sont toutes signées. Les clés :
ftp://ftp.mozilla.org/pub/mozilla.org/firefox/releases/latest/KEY
Exemple de signature :
ftp://ftp.mozilla.org/pub/mozilla.org/firefox/releases/latest/source/firefox-2.0.0.3-source.tar.bz2.asc
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.