Christophe Le Bot

Pratique de la conception numérique

L’État français crée sa propre autorité de certification racine

Voilà une nouvelle que j’attendais depuis 6 ans ! Avant d’expliquer pourquoi, voici la définition d’une autorité de certification (selon le site de sécurité de Teamlog) :

Une Autorité de Certification appelée aussi AC ou CA (Certificate Authority) est chargée d’émettre et de gérer des certificats numériques.

Elle est responsable de l’ensemble du processus de certification et de la validité des certificats émis. Une Autorité de Certification doit définir une Politique de certification qui va établir l’ensemble des règles de vérification, de stockage et de confidentialité des données appartenant à un certificat ainsi que la sécurité de stockage de sa propre clef privée nécessaire à la signature des certificats.

Les certificats émis par ces autorités permettent d’accéder à des services web sécurisés (paiement en ligne, consultation de comptes bancaires, services administratifs), mais aussi de signer des documents numériques pour en certifier l’origine et le contenu (e-mails, contrats, certificats de déclaration). Ils garantissent donc l’authenticité, la sécurité et la confidentialité des informations.

Le problème, c’est que les autorités de certification racine (celles qui certifient les autorités de certification, dites « autorités de certification déléguées ») sont toutes des sociétés de droit privé étrangères (pour ne pas dire américaines…). Dès lors, comment garantir le contrôle, la confidentialité et la fiabilité des échanges sécurisés de l’État français ? Pourquoi dépenser des sommes importantes dans la sécurisation des échanges, si la base est faillible ? J’ai souvent été confronté à ce dilemne lors de mes interventions dans des institutions publiques… sans avoir d’autre choix que d’installer des certificats américains sur des serveurs de l’administration française !

En devenant lui-même autorité de certification racine (grâce au RGS, Référentiel Général de Sécurité, qu’il vient de créer), l’État français gagne enfin son indépendance. Dorénavant, les services administratifs pourront obtenir des certificats du RGS pour permettre aux agents et aux administrés d’échanger des données en toute confiance.

Cependant, il reste deux zones d’ombre :

  • Les navigateurs web vont devoir intégrer la reconnaissance du certificat racine du RGS (pour Firefox, ce sera vite fait, pour Internet Explorer, je suis beaucoup moins sûr…).
  • Les entreprises privées et les particuliers doivent toujours assurer la sécurité de leurs informations sur des certificats racine délivrés par des sociétés américaines.

Source : linuxfr.org

Aucun commentaire

* Informations obligatoires