PKI: on signe pour la vie?

Début avril, le CRP Henri Tudor a publié son Etude d'opportunité d'une infrastructure à clé publique pour le Luxembourg, dans le cadre du programme d'action eLuxembourg. Le pavé est disponible sur www.nmo.lu, et les acteurs concernés par la PKI (Public Key Infrastructure, voir encadré page 078), tel EuroSignCard, attendent avec une impatience non dissimulée que la situation grand-ducale évolue: entre la théorie brillamment présentée et les applications qui résulteront des choix du gouvernement, la route peut encore être longue. La balle est dans le camp de l'Etat?

Eric Dubois, co-directeur du CITI au CRP Henri Tudor et co-auteur de l'étude, explique les tenants et aboutissants de cette dernière: "Au départ, notre travail devait uniquement concerner les besoins des administrations entre elles et avec l'extérieur (citoyens et secteur privé). En cours de route, nous avons étendu notre étude aux autres initiatives existantes. En particulier, LuxTrust, le concept de l'ABBL qui a fédéré un certain nombre de banques et l'EPT pour mettre en place une PKI sectorielle. Une PKI coûte très cher, surtout si l'on veut qu'elle soit très sûre et ait un haut 'branding', c'est-à-dire offrir de hautes garanties d'assurance. Rentabiliser la PKI signifie vendre des certificats? dont le nombre doit être très important si on a une PKI très chère, évidemment. Les banques se sont rendu compte qu'à elles seules cela représentait un investissement trop important. Elles se sont dit qu'elles pourraient le faire avec l'Etat. C'est ce qui a marqué le début d'une réorientation de notre étude: pourquoi ne pas mettre en place une seule PKI, cross-sectorielle'"

Une idée à laquelle Emile J. Lorang, managing director d'EuroSignCard, n'a pas de mal à adhérer: "Le Luxembourg est trop petit pour que plusieurs PKI ouvertes aux différents secteurs puissent s'établir. Avoir un seul certificat n'est donc pas utopique". Mais, pour la communication interne à une banque et la communication interbancaire, les solutions de PKI fermées existent et existeront toujours. On pense à la PKI de Swift (voir notre article p. 018), qui ne s'applique qu'à ses messages, et demeurera complémentaire à la ou les PKI ouverte(s) choisie(s).

Cavalier seul

Le moins que l'on puisse dire, c'est que l'étude innove par cet aspect de PKI généralisée, vu qu'aucune initiative comparable à ce jour n'a été choisie dans les pays étrangers, où l'on trouve en parallèle des PKI relevant du secteur public (comme la carte d'identité en Finlande), de secteurs (santé,?), ou d'une organisation (Shell,?).

Eric Dubois pointe le danger réel qui se cache derrière tout cela : "L'anarchie. Pour schématiser, on va se retrouver avec plusieurs certificats ?en poche?, c'est-à-dire plusieurs cartes magnétiques, et chaque fois que l'on sera en relation avec un secteur différent, il va falloir sortir la bonne carte". Si l'on poursuit l'analogie avec les cartes de crédit, on remarquera qu'au début des années 70, il en existait 10 à 15 types, et qu'il n'y en a maintenant plus que 3 ou 4 dans le monde. Ce qui est plutôt encourageant pour l'idée défendue par le CRP Henri Tudor, mais Eric Dubois ne s'emballe pas: "Actuellement, il existe une multitude de certificats, et il faut encore déterminer lesquelles (ou lequel) vont (va) s'imposer".

Dans les pays voisins, la création de PKI à partir de zéro ? il ne s'agit pas de développer des logiciels de certification, lesquels existent déjà, mais d'acheter différents "morceaux" et de construire une infrastructure sur le sol sans se soucier de ce qui se passe dans le monde ? se sont soldées par des échecs plus ou moins cuisants. Tout récemment, la Deutsche Post annonçait qu'elle allait procéder à la dissolution de sa solution Deutsche Post Sign Trust et, à la fin de l'année dernière, l'initiative privée suisse SwissKey a mis la clé sous la porte.

La Finlande, particulièrement dynamique, a créé il y a quelques années une carte d'identité? qui fonctionne pour les relations entre le citoyen et l'Etat, mais n'est pas très populaire. Eric Dubois ajoute: "Ce qu'ils ont manqué, c'est le lien avec le secteur privé. On retombe dans le monde multi-signature. Un autre exemple: le projet des médecins belges? chaque médecin aura, par exemple, un certificat pour transmettre aux milieux hospitaliers des protocoles d'examens, mais il ne conviendra pas en dehors de son activité professionnelle".

Au Grand-Duché, EuroSign-Card et la Chambre de Commerce vendent des certificats. Cette dernière en fournit à destination du e-commerce, et plus spécifiquement aux entreprises qui exportent et doivent s'identifier vis-à-vis d'agents extérieurs, mais "il n'y a pas encore vraiment d'utilisation massive sur le sol luxembourgeois de certificats, ce qui constitue une opportunité", conclut Eric Dubois.

Recommandations

Le CRP Henri Tudor a déterminé les conditions qui permettraient de créer cette PKI unique, sorte de LuxTrust sécurisé. Des conditions à la fois matérielles, parce que les standards préconisés ne sont pas complètement suivis, mais aussi des décisions d'ordre organisationnel. Que va-t-on mettre dans le certificat (c'est le minimum!)? Va-t-on effectivement en choisir un seul' Pour quelle utilisation' Dans quels secteurs? Quel sera le branding demandé (sécurité des ordinateurs qui fabriquent la clé, sécurité des infrastructures, et surtout les assurances liées aux certificats, qui font encore cruellement défaut, reconnaissance automatique par les browsers,?)? Eric Dubois continue: "Le citoyen peut être rassuré par la carte d'identité que son administration va lui donner, parce qu'il a une certaine confiance, mais est-ce que ce sera le même cas pour le client situé à l'étranger vis-à-vis d'un certificat luxembourgeois? Il faut s'en assurer".

On dispose de toute une gamme de solutions à différents prix, et c'est là qu'il faut un positionnement des secteurs. Les banques souhaitent avoir des certificats anonymes, mais l'anonymat n'est pas réel jusqu'au bout: derrière le certificat, il y a des informations sur la personne, et le secteur préférerait certainement qu'elles soient gérées sur le territoire luxembourgeois, et pas à l'étranger? ce qui signifie un coût, puisqu'il faut une solution sur place, note-t-on dans l'étude.

Le co-directeur du CITI synthétise la solution optimale que le CRP Henri Tudor préconise: "Il faudrait un seul certificat pour tous les secteurs et déterminer si on va l'utiliser au niveau national uniquement, ou si on désire aussi le vendre à l'international, ce qui est l'objectif des banques. Nous avons décrit quatre scénarios qui constituent une montée progressive en charge".

Le scénario numéro un est le "non scénario", la situation anarchique. Les trois autres scénarios s'enchaînent, l'implémentation du deuxième laissant la porte ouverte au troisième, puis au quatrième: approche globale pour l'Etat (avec une carte d'identité électronique reprenant l'identifiant associé à la personne), puis pour tous les secteurs au Luxembourg (avec un seul certificat qualifié mais anonyme, ainsi les banques restent en course? à condition que leur centre de décision à l'étranger suive le projet), et enfin approche internationale. Cette dernière phase parie sur l'exportation des services PKI luxembourgeois, ce qui nécessite l'association avec des acteurs internationaux qui disposent d'un niveau de branding très élevé nécessitant de mettre en avant des exigences fortes d'accréditation et d'assurance.

C'est justement ce quatrième scénario, le plus ambitieux, que défend EuroSignCard à travers son concept global de PKI: "Nous permettrions de créer avec un partenaire important international ? DST, Digital Signature Trust, en l'occurrence - une infrastructure sur le territoire luxembourgeois qui serait déjà conçue pour être inter-opérable et qui rejoindrait des programmes de certificats déjà largement répandus à travers le monde".

Sur l'enchaînement des applications concrètes destinées aux utilisateurs, EuroSignCard marque un désaccord avec le CRP Henri Tudor. En effet, Emile J. Lorang ne conseillerait pas de démarrer avec une carte de citoyen. Il s'explique: "Nous l'avons pensé pendant un certain temps. Avec le recul, on constate qu'installer un lecteur et un logiciel de lecture de PKI chez tout un chacun peut déjà poser problème. En Allemagne, on l'a même constaté auprès d'une population pourtant sensibilisée d'étudiants universitaires".

Par quoi commencer, dès lors? "L'Etat pourrait faire le premier pas notamment avec l'application de la TVA électronique. Nous avons d'ailleurs un système qui pourrait très rapidement être implémenté, permettant de signer tout genre de formulaire (html, pdf, doc,?). Il a été conçu pour des administrations qui en reçoivent jusqu'à des millions aux USA, cela fonctionne très bien' A partir de là, on pourrait commencer à faire entrer la PKI dans différents secteurs professionnels, puis offrir des cartes de citoyens". Puis arriver à une situation idéale: une carte de citoyen contenant un certificat dont la racine serait déjà dans les navigateurs, ce qui assurerait l'interopérabilité technologique. "Si en plus ce label était utilisé par les plus grandes banques dans le monde et un certain nombre de gouvernements, évidemment, ce serait encore mieux", ponctue Emile J. Lorang.

Acteurs de la chaîne

Les préceptes sont posés sur la table, encore faut-il répartir les principaux rôles. Aux yeux du CRP Henri Tudor, il ne faut qu'un seul PSC ("prestataire de service de certification', ou CA, "autorité de certification', voir l'encadré p.078), qui va également opérer l'infrastructure technique et donc choisir le TTA ("trust centre technical agent"), situé au Luxembourg ou non, et se devra de répondre à des normes de sécurité infaillibles. Mais qui sera ce PSC' Les avis divergent, évidemment. Eric Dubois: "Pour des raisons d'interopérabilité technique, c'est clair qu'il n'en faut qu'un. Il doit regrouper des représentants des différents secteurs associés. Aujourd'hui, s'il y avait une initiative commune entre les banques et l'Etat, il y aurait au moins ces deux acteurs".

EuroSignCard partage l'idée d'unicité, mais se verrait bien tenir elle-même les rênes en investissant le siège jusqu'ici jamais occupé d'une autorité de certification luxembourgeoise officielle: "C'est notre ambition confie Emile J. Lorang. La PKI ne doit pas nécessairement être attachée à un secteur particulier, car aucun ne représente les intérêts de tous les autres. La proposition que nous défendons depuis notre création est la suivante: créer un nouveau créneau de services. Que l'Etat dote une société luxembourgeoise des moyens lui permettant de développer une nouvelle activité à partir du Grand-Duché".

Pour se donner les moyens de cette ambition, EuroSignCard remplit déjà des conditions essentielles. Emile J. Lorang lève un coin du voile: "Nous avons développé un business plan qui décrit un modèle à mettre en place. Nous sommes prêts! Nous avons réuni un certain nombre d'éléments qui permettraient, en six mois, d'établir une PKI interopérable avec le monde offrant un certain nombre de services de signature électronique et des applications concrètes. Ce qui compte, ce n'est pas de pouvoir émettre, gérer et révoquer des certificats? tout le monde peut le faire aujourd'hui en achetant un logiciel. L'important, c'est que les utilisateurs puissent faire confiance aux certificats, et donc à l'autorité de certification'. EuroSignCard offre donc déjà un certain nombre d'applications qui fonctionnent avec les certificats EuroSignID, aujourd'hui gérés par DST, qui pourront demain fonctionner avec d'autres certificats luxembourgeois, pourvu qu'ils soient interopérables avec les certificats internationaux.

Les besoins sont là? on y répond quand'

"Le commerce électronique ne pourra pas véritablement démarrer sans une infrastructure PKI digne de ce nom, qui induira que les parties s'engagent irréversiblement, dans des transactions non répudiables", estime Emile J. Lorang. Le réseau Internet n'est pas du tout sûr, et le problème de la confiance se pose pour beaucoup d'utilisateurs (et évidemment en BtoB) à partir d'un certain montant?

Outre le e-commerce, au niveau des principaux besoins, on note bien sûr la TVA online ? que le gouvernement veut lancer d'ici début 2003 - , la déclaration d'impôts online, mais aussi les procédures commodo ? incommodo (il faut être sûr que ce n'est pas un concurrent de la société qui demande à voir l'état du dossier!), ? Emile J. Lorang insiste aussi sur le fait que la mise en pratique de certains textes européens demandera l'usage de la PKI, comme la facturation électronique. Côté banque, la sécurisation de la relation client est urgente elle aussi, ce n'est pas pour rien que les PKI internes existent déjà.

En fait, un certain nombre d'applications sont déjà dans les tiroirs? mais il faut agir vite, comme le rappelle Eric Dubois: "Les secteurs sont bloqués. Le Luxembourg a une idée originale, unique, il s'agit de la concrétiser au plus vite. Si le gouvernement ne réagit pas rapidement, c'est-à-dire dans les prochaines semaines, chacun va continuer son chemin seul'. Ou rien n'avancera.

On attend donc que les acteurs intéressés soient conviés à la table. Le CRP Henri Tudor recommande en tout cas de ne pas "foncer" sur une solution technique tant qu'un business case n'a pas été clairement établi. Emile J. Lorang approuve totalement ce point de vue: "La PKI n'est pas un problème technologique ? même s'il s'agit d'une condition sine qua non - mais de procédures, d'assurance, de reconnaissance mondiale. Finalement: qui va faire confiance au certificat? C'est la vraie question. Quel va être le business plan, qui va investir'" D'autant que le succès n'est pas garanti, en raison notamment de l'étroitesse du marché luxembourgeois (d'où la nécessité de diversifier les revenus, voir l'encadré p. 079). Une étroitesse qui a toutefois l'avantage de permettre de réunir d'autres secteurs susceptibles d'être concernés, comme la santé, les assurances, voire un SES (on parlerait dès lors de millions de foyers, qui utiliseraient le certificat dans le cadre des chaînes cryptées) ou un Arcelor.

Dernier point critique: la sensibilisation. Dans leur enquête sur le e-commerce menée de fin novembre 2000 à mi-février 2001 auprès de 7.116 entreprises, la Chambre de Commerce et le Centre de Recherche Public Gabriel Lippmann avaient eu la désagréable surprise de constater que pas moins de? 80% des décideurs interrogés ne savaient pas ce qu'était un certificat numérique?

Séance de rattrapage: derrière l'acronyme PKI

Dans la vie "réelle", tous nos actes importants sont signés. Aujourd'hui, c'est la signature manuscrite qui fait foi et garantit l'identité du signataire. La directive européenne en matière de signature électronique demande à tous les pays de transcrire dans leur législation nationale l'équivalence en termes légaux et contractuels entre une signature électronique et une signature manuscrite.

Dans le monde d'Internet vers lequel nous nous dirigeons à petits pas, la signature électronique est incontournable: il n'y a pas d'autre solution pour donner une vraie valeur ? c'est-à-dire une validité juridique - aux actes posés par le citoyen ou les professionnels sur Internet.

Signer de manière électronique est une procédure nettement plus complexe que la signature d'un papier, qu'il conviendra d'expliquer aux utilisateurs afin qu'ils comprennent toute la valeur que peut avoir cette signature.

Les éléments d'une signature électronique se trouvent sur une puce elle-même insérée sur une carte. La puce contient un certificat, une paire de clés qui permettent de signer et/ou d'encrypter des actes.

Un "subscriber" demande un certificat à une "RA" (autorité d'enregistrement), qui authentifie le demandeur. Lors de la signature, le certificat indique l'identité de la personne qui signe. Encore faut-il que celui qui reçoit cette signature (le "relying party") sache qui a émis ce certificat, pour pouvoir avoir confiance en cette identité. S'il ne connaît pas l'autorité de certification ("CA") qui l'a émis, soit il lui fait tout de même confiance (!), soit son navigateur reconnaît automatiquement cette autorité (c'est déjà le cas de DST, GlobalSign,?). Si ce n'est pas le cas, il peut demander à une autorité en laquelle il a confiance de se renseigner.

De plus, le certificat est toujours émis pour une durée de validité, qui varie entre un et deux ans, pour des raisons technologiques (certains algorithmes d'encryption se cassent) et/ou administratives. Il faut donc encore vérifier dans le répertoire de la CA que le certificat est toujours valable.

En pratique, beaucoup ne vérifient pas la validité du certificat en temps réel. Ceci peut poser problème par la suite au niveau de la validité juridique de la signature.

Rentabiliser: Emile J. Lorang, managing director d'EuroSignCard

"Si l'on met en place une CA (ndlr: autorité de certification) ouverte aux citoyens et aux différents secteurs, il faut à mon avis compter sur au moins 40 employés? et donc impérativement diversifier les revenus, puisqu'il semble presque impossible de rentabiliser une infrastructure de PKI et sa maintenance si l'on ne se base que sur la gestion de certificats (émission, renouvellement, révocation). Pour un petit pays comme le Luxembourg, on peut imaginer un marché se situant dans les centaines de milliers de certificats (cartes d'identité, clients de banques, autres secteurs qui embrayeraient). Cela reste insuffisant.

Nous pensons que la CA doit pouvoir donner la garantie que si le relying party a fait la vérification du certificat en temps réel, il est couvert par une assurance, ce qui est rarement le cas actuellement. Chaque fois que le relying party va vérifier la validité du certificat, il va donc payer un certain montant. Aujourd'hui, aux Etats-Unis, avec DST, cela se situe entre 6 cents et 3 dollars pour les grosses transactions hypothécaires. Ceci peut certainement constituer une source importante de revenus pour la CA.

Autre source de revenus: les services et applications. Certains pourraient être rapidement implémentés par EuroSignCard, comme le courrier express électronique (pratiquement instantané), très intéressant pour les professions libérales, qui ne veulent pas individuellement investir trop d'argent, mais désirent bénéficier d'un haut niveau de sécurité et de garantie lorsqu'ils transmettent des dossiers vers des tribunaux, hôpitaux,? Il s'agit d'une application Web based, qui assure la validité juridique. Le serveur envoie un e-mail au destinataire pour le prévenir qu'un 'paquet' l'attend. Il a été déposé et encrypté sur le serveur, qui a vérifié la signature et la validité du certificat du destinateur en temps réel suivant le protocole OCSP et le fera également lorsque le destinataire viendra sur le serveur.

Le 'desktop signing and encrypting application' fonctionne quant à lui déjà avec nos certificats et sécurise des documents sur un PC. On peut sélectionner n'importe quel document, le signer et l'encrypter, puis l'envoyer par e-mail. Cela fonctionne aussi avec OCSP. Lorsque le document est séparé du mail, il garde sa signature et son encryptage".

Pratique

Outre les consultants et le représentant neutre que constitue le CRP Henri Tudor, voici les principaux acteurs de la signature électronique au Luxembourg (voir aussi www.paperjam.lu, rubrique "Who's who"):

EuroSignCard (certificats EuroSignID et concept complet de PKI)

17, rue des Pommiers L-2343 Luxembourg

26 20 72 0, 26 20 72 62 (fax), www.eurosigncard.lu

Pour l'initiative LuxTrust:

ABBL

20, rue de la poste, B.P. 13 L-2010 Luxembourg

46 36 60 1, 46 09 21 (fax), www.abbl.lu

Cetrel

10, Parc d'Activité Syrdall L-5365 Munsbach

35 56 61, 35 56 68 20 (fax), www.cetrel.lu

Pour les certificats GlobalSign:

Chambre de Commerce du Grand-Duché de Luxembourg

Service Commerce Extérieur

31, boulevard Konrad Adenauer L-2981 Luxembourg

42 39 39 1, 43 83 26 (fax), www.cc.lu

GlobalSign

1426, chaussée de Haecht B-1130 Bruxelles

+32 2 724 36 36, +32 2 724 36 37 (fax)

http://fr.globalsign.net/projects/index.cfm, http://fr.globalsign.net/pki/index.cfm