écrit par Arnaud GARRIGUES et Florent COTTEY
Cher lecteur, nous allons te faire découvrir aujourd'hui le lien qui unie la sécurité sur Internet et les enjeux politiques des Etats les plus modernisés. Pour cela nous nous appuierons sur l'actualité, riche comme à l'accoutumée, venue nous suggérer cet article. Il y a quelque temps, un des conseillers au plus haut niveau du Président OBAMA a présenté un plan visant à créer un nouvel « écosystème » de l'identité sur Internet.
Pour comprendre les enjeux sous-jacents, il faut avoir en tête qu'Internet est d'une part une immense galerie marchande. D'autre part, avec le développement des services publics en ligne ou plus généralement des services rendus à l'individu, au citoyen, au consommateur, la protection de l'identité de citoyens « numériques » devient indispensable. Cela nécessite notamment de nouveaux moyens de faire respecter la loi.
Voila pourquoi le « cyberczar » du Président américain, Howard SCHMIDT, vient de publier un document sur la stratégie nationale des Etats-Unis à propos l'identité de confiance dans le Cyberspace.
Le « cyberczar » est l'individu chargé de coordonner les efforts de sécurité sur Internet menés par l'administration américaine actuelle. Ce n'est donc pas un document à prendre à la légère car il s'agit d'un personnage de premier plan, placé directement auprès du Président des Etats-Unis. Il s'inscrit dans une ambitieuse politique qui comporte un volet militaire et un volet civil et qui tend à sécuriser Internet
Son équivalent français pourrait être Mme Nathalie Kosciusko-Morizet, dans son ancien rôle de Secrétaire d'Etat chargée de la prospective et du développement de l'Economie Numérique.
Nous allons commencer par présenter les défis à relever et les opportunités à créer. Puis nous en reviendrons à l'importance que tout cela peut avoir pour un gouvernement ou, plus généralement, pour les différents types d'organisations que l'on rencontre sur Internet.
1) Défis et opportunités
Le premier défi est de remplacer le classique duo « login/password » dont les limites sont depuis longtemps connues : on peut le casser par analyse, énumération, en contournant l'identification (système des questions secrètes)...1.1) Le login/password
Le problème est loin d'être simple car la multiplicité des activités et des services sur Internet (banque, impôts, mail...) obligent les utilisateurs à retenir plusieurs mots de passe ou, plus généralement, à limiter les mots de passe à des termes simples qu'ils réutiliseront.
Pour répondre à ce problème il existe désormais de multiples initiatives permettant de centraliser l'identité. OpenID, SAML ou encore Liberty Alliance sont les exemples les plus courants. Leur fonctionnement est assez simple : un unique enregistrement et cet opérateur de confiance qui vous authentifiera auprès d'un service partenaire (par ex. votre webmail favori).
Cela permet donc de ne retenir qu'un couple « login/password » et de rendre celui-ci moins prédictible et plus compliqué, le tout avec un taux d'erreur moindre.
Le corollaire est qu'il est nécessaire d'avoir confiance envers ce « tiers » qui fournit le service d'identification. On parlera plus généralement de SSO (Sigle Sign-On), outil bien plus fréquemment utilisé en entreprise. Ce tiers de confiance peut par exemple être votre opérateur Internet (http://www.orange.fr/bin/frame.cgi?u=http%3A//openid.orange.fr/).
Il reste alors aux partenaires à implémenter la même solution (OpenID, SAML, ...) pour que les utilisateurs puissent bénéficier de l'authentification unique fournit par ce tiers de confiance.
Notons que ce type de solution est assez souvent utilisé dans les grandes entreprises. Ainsi, par exemple, l'AD ou « Active Directory » de Microsoft fournit cette fonctionnalité. Une fois authentifié, il est possible d'accéder aux différents services du SI de votre entreprise.
Un des défis liés à l'identité est la protection des données personnelles : celles-ci ont une forte valeur et le comportement parfois peu réfléchi de l'utilisateur les met en danger. Ce blog a consacré de nombreux articles à ce sujet, notamment sur les dangers de Facebook.1.2) La protection des données
Nous pouvons faire une comparaison entre l'écosystème de confiance et Facebook. Nous vous renvoyons à l'article de nos confrères qui ont démontré que les applications gadget de Facebook peuvent accéder à toutes les données des utilisateurs. C'est exactement ce que vise à empêcher le document américain et l'ensemble de solutions, ou écosystème, qu'il décrit.
Ce document a pour ambition de proposer un cadre réglementaire permettant d'équilibrer :1.3) A quoi répond cette proposition ?
- les besoins en information des organisations
- la protection des données personnelles par la stricte limitation des informations échangées
- la protection globale des échanges
Ainsi les utilisateurs n'auront aucune crainte et seront mêmes encouragés à utiliser ces services pour ne pas avoir à suivre un processus complet d'inscription chez chaque partenaire et donc de fournir de nombreuses informations supplémentaires pour prouver son identité.
Plus la confiance dans les utilisateurs est grande, plus leurs droits seront importants. Par exemple commander des médicaments sous ordonnance via Internet. Il est alors nécessaire de sécuriser toute la chaîne de communication en proportion.1.4) La protection de la chaîne de communication
Tout d'abord il faut être certain d'obtenir la bonne adresse du serveur grâce à DNSSEC, puis il faut s'assurer que la communication n'est pas interceptée en cours de route avec BGPSEC et pour finir il faut protéger les données échangées avec le serveur en utilisant IPSEC.
Conclusion
Cet ensemble d'acteurs et de processus apporte de vrais nouveaux éléments en matière de gestion éclairée et raisonnable de l'identité sur Internet, dans un contexte d'accélération des usages légaux et administratifs. Il se base de plus sur une forte base technique, existante ou en cours de développment, ce qui en renforce la crédibilité. Nous détaillerons pourtant dans un prochain article les impacts et les limites de cette solution.
Edit from the Orange Business team: Hervé left the Orange Group since he wrote his last posts.