Par A.Inizan - The Expert Digital Factory chez SQUAD
D’abord présentées comme des solutions miracles, puis reléguées au second plan avant de revenir sur le devant de la scène, les infrastructures de gestion de clés (« IGC », plus connu sous le terme anglais « PKI ») n’ont pas connu une histoire simple. Pourtant, ces outils permettent de disposer d’un socle de confiance sur lequel s’appuient de nombreux usages. Et les perspectives ne manquent pas. Petit tour d’horizon.
Des débuts compliqués pour les PKI
Apparues au début des années 90, les solutions PKI étaient annoncées comme le graal de la sécurité. Elles devaient résoudre une grande partie des problématiques de sécurité. Pourtant, elles furent vite étiquetées comme des solutions lourdes et compliquées. Elles nécessitaient dès le départ d’étranges procédures d’initialisation (cérémonie de clés). Ces aspects ont largement participé au rejet de la part des professionnels de l’IT.
En fait, la promesse marketing était en avance sur des outils peu adaptés. Les éditeurs ont donc fait des efforts pour proposer des solutions facilitant la gestion et le cycle de vie des certificats. En effet, ils masquaient la complexité, en introduisant par exemple des CMS (Credential Management Software). Des outils natifs furent aussi intégrés aux systèmes d’exploitation. Le virage s’est doucement amorcé, poussé par l’adoption de ces solutions par des gouvernements et de grandes organisations.
Un défi pour l’organisation
La mise en place d’une PKI en entreprise est cependant loin d’être évidente et s’avère en réalité un projet complexe. Et les aspects techniques ne sont généralement pas les plus problématiques. Le vrai défi est surtout organisationnel. Et oui, ce type de projet implique de nombreux acteurs et services : Direction, Sécurité opérationnelle, RSSI, Support technique, Juridique, Communication et bien sûr les utilisateurs.
Techniquement, la phase d’intégration implique généralement de faire cohabiter différents modules, parmi lesquels : Autorité de certification (AC), Autorité d’enregistrement (AR), Module de sécurité Physique (HSM). Ce dernier étant capable d’effacer ses zones mémoires si un accès physique est détecté. De nombreux autres outils s’interfacent ensuite pour former tout un écosystème de confiance. Il s’appuie généralement sur des référentiels d’entreprise (ex : Active Directory).
Figure 1- Architecture simplifiée d’une PKI
Une réflexion préalable sur la hiérarchie de certification est nécessaire avant la mise en place :
- Autorité racine : c’est l’élément le plus sensible, point d’ancrage des chaines de confiance,
- Autorités intermédiaires : elles permettent d’introduire des sous niveaux de certification,
- Autorités opérationnelles : elles signent les demandes de certificats (utilisateurs, serveurs, …),
Le premier niveau et certains sous niveaux sont généralement hors ligne (chaque clé privée, ultra-sensible, est stockée sur un support physique dans un coffre). En revanche, le dernier niveau doit être en ligne, de préférence dans un HSM, afin de signer les demandes au quotidien. Les chemins de certification correspondent généralement à des cas usages spécifiques.
Figure 2- Exemple de hiérarchie de certification
Des modèles de certificat sont aussi définis afin de respecter des exigences ou pour répondre à des besoins précis. Un certificat d’authentification et/ou de signature ne répond pas aux mêmes critères qu’un certificat de chiffrement. Dans ce dernier cas, la clé privée est souvent séquestrée pour des besoins légaux (accéder aux informations chiffrées d’un collaborateur) et pour pouvoir recouvrir les informations en cas de perte de la clé privée par l’utilisateur. Mais dans le cadre de la signature, il est primordial que la clé privée ne soit connue que de son propriétaire. Cela garantira la non répudiation des signatures associées.
L’étape « référentiel documentaire », fastidieuse mais incontournable, décrit justement ces pratiques : Politique de Certification (PC), Déclaration des Pratiques de Certification (DPC)… La difficulté consiste ici à couvrir toutes les pratiques et aspects légaux liés à la certification. La sémantique de chaque phrase a son importance !
Enfin, il faut définir les bons workflows afin que l’enrôlement et la gestion des demandes collent au plus près aux process déjà existants au sein de l’organisation. Il reste ensuite à former les opérateurs PKI et le helpdesk, à rédiger les procédures de support et de communication. Il faut bien sûr impliquer également les utilisateurs de l’IT et du métier.
Le challenge est donc de réussir à fédérer autour du projet en mettant en place une conduite du changement pour favoriser l’adoption de la solution par l’ensemble des acteurs de l’entreprise. La mise en place d’une PKI constitue donc un projet très transverse. Cela nécessite un soutien fort au plus haut niveau pour s’intégrer dans l’organisation.
Opportunités et perspectives
Une fois en place, l’utilisation et l’administration de la PKI s’avèrent relativement simples. Pour les grandes organisations, ce type de solution représente donc une véritable opportunité et un retour sur investissement quasi assuré. En effet, les cas d’utilisation sont conséquents : SSL/TLS, S/MIME, HTTPS, WS-Security, EAP, IPSec…
Il devient aussi plus facile de faire appliquer par la suite des politiques de sécurité renforcées. On peut par exemple bannir l’usage de mots de passe, ou au moins favoriser les mots de passe complexes en s’appuyant sur des mécanismes de SSO et d’authentification forte, où l’utilisateur n’a pas à définir ni à retenir ses mots de passe. Le gain sécurité est énorme, pour une utilisation facilitée.
Par ailleurs, les perspectives sont très nombreuses. La mobilité représente un enjeu majeur à l’heure actuelle, et les technologies MDM (Mobile Device Management) peuvent s’interfacer avec les outils PKI pour enrôler des certificats pour leurs besoins d’authentification et de confidentialité. Les solutions de gestion d’identité se démocratisent. Là aussi, les échanges automatisés avec une PKI permettent des gains de sécurité et de productivité indéniables.
Par ailleurs, l’internet des objets (IoT) est un domaine très porteur. Il faudra bien pouvoir authentifier ces milliers d’objets interconnectés et répondre aux besoins de sécurité. On pense d’ailleurs trop souvent à la confidentialité alors que l’intégrité et l’authenticité sont souvent plus critiques. Si on prend l’exemple de la domotique, on peut douter de l’importance de la confidentialité du contenu de votre micro-onde ! En revanche, si on s’intéresse à la santé, il est plus important et même absolument crucial qu’un appareil cardiaque puisse s’assurer de l’authenticité et de l’intégrité des commandes reçues depuis un dispositif externe. On imagine facilement le risque (mortel) d’informations venant d’un programme malveillant.
Les secteurs concernés sont multiples et variés : industrie, télécom, santé, automobile… Et de nouvelles problématiques font leur apparition, comme la validation de chaines de certification à grande échelle et l’amélioration des performances pour plus de réactivité. Les fabricants de processeur ont par exemple enrichi leur jeu d’instruction depuis plusieurs années. Ils ont ainsi implémenter directement certains algorithmes de cryptographie (ex : AES-NI).
Enfin, l’actualité et la médiatisation de certaines affaires (TV5Monde, Présidentielle E.U) continuent de mettre en lumière la nécessité pour les organisations de renforcer leurs dispositifs d’authentification et de protection de données. Au vu de ces enjeux et des besoins toujours plus important, on peut raisonnablement affirmer que les solutions PKI ont un bel avenir ! Il faudra, pour de très nombreuses entreprises, investir sur ces solutions dans le cadre de leur développement.
Bonus
Le mystère qui entoure parfois les PKI pourrait se résumer à la cérémonie de clé, étape incontournable à toute mise en place d’une PKI « sérieuse » (comprendre : « Où la confiance est primordiale »). Ce qui implique souvent :
- Un maitre de cérémonie, des assistants et un ou des témoins (principalement pour des questions d’audit)
- Un ou des secrets divisés entre plusieurs personnes, et dont le « quorum » de seulement quelques-unes suffit pour le ou les reconstituer. Exemple : 3 personnes parmi 5 détenteurs de « morceaux de secret » suffisent pour reconstituer le secret initial (algorithme de Shamir)
- Du matériel inspecté, étiqueté, séquestré, parfois détruit de façon à ne laisser aucun doute,
- Plus globalement, toute procédure ou élément permettant de renforcer la garantie du bon respect du plan initial et donc de la confiance,
Dans ce domaine, la cérémonie de clé et l’organisation de la gestion des clés permettant de signer les enregistrements DNS racine de l’ICANN sont des références en la matière (https://www.cloudflare.com/dns/dnssec/root-signing-ceremony/