 IT Forum 2005 - L'avenir des cartes à puce et des PKI sous Windows Vista / Longhorn
Accueil > Articles > Evènements
|
|
Auteurs
|
|
 |
|
|
23520
7/32
|
1. Introduction
David B. Cross, consultant système et spécialiste des
infrastructure à clef publiques a présenté ce mercredi une session intitulée
"The Rebirth of the Smart Card". Venu directement de Redmond, cet excellent
speaker avait d'ailleurs déjà animé lundi dernier une pré-conférence de 6 heures
sur le même sujet ! Cet article s'inspire de ses présentations.
Dans un premier temps nous aborderons la politique de
Microsoft en terme de sécurité et d'infrastructure PKI, puis dans un second
temps nous étudierons les nouvelles fonctions qui seront intégrées à la
prochaine version majeure du système à savoir Windows Vista / Longhorn Server !
2. gestion et déploiement des certificats
2.1 La politique de Microsoft sur les PKI
 |
Pour le géant du logiciel, l'infrastructure à clef publique
est une technologie fondamentale ! En effet, elle est de nos jours indispensable
pour assurer la sécurité...
-
des communication réseau (IPSec, SSL...)
-
des réseaux sans fils (protocoles PEAP, EAP-TLS...)
-
de l'authentifications des utilisateurs (cartes à puce,
EAP-TLS...)
-
des informations (signatures numériques, EFS, emails...)
-
de l'accès VPN (L2TP/Ipsec, mode tunnel IPSec...)
-
etc.
|
Malgré cela, les services de certificats sont encore peu
utilisés, d'une part à cause de la complexité de mise en œuvre et d'autre part à
cause du manque de documentation et d'information à ce sujet. Microsoft a donc
décidé de mettre tous les moyens possible en œuvre pour promouvoir cette
technologie ! Sa stratégie est simple :
-
simplification de la configuration des services de
certificats
-
intégration réelle de l'authentification par cartes à
puce dans le système
-
création de composants .net spécifique pour faciliter la
gestion des certificats
Ces améliorations qui feront partie intégrante de Windows Vista (cf. section
suivante) ont pour but de simplifier la vie des administrateurs, des
développeurs mais aussi des utilisateurs finaux !
2.2 Les nouveauté intégrées à Windows Vista
Côté client, l'interface permettant de gérer les certificats
sera entièrement revue ! On passera d'une console MMC (sous Windows XP/2003) à
un composant entièrement nouveau. Aucune autre modification d'importance en ce
qui concerne les certificats en eux-même n'est envisagée (sauf dans le domaine
des cartes à puce mais ce sujet est abordé dans la section 3.2).
|
Côté serveur l'ambition de Microsoft est clairement de
rendre
accessible à tous l'implémentation et la gestion des services de certificats.
Ainsi un système d'activation "en un clic" est à l'étude pour faciliter la
création d'une autorité de certification. Bien qu'une amélioration sensible ait
déjà été introduite dans Windows Server 2003 avec les listes de révocations de
certificats DELTA, la distributions des CRLs sera revue dans Longhorn Server
(intégration du service OCSP).
Une plus grande granularité sera aussi de mise au niveau de
la délégation des droits. Ainsi il sera possible de spécifier qu'un utilisateur
X a le droit d'attribuer (enroll) des certificats utilisateurs mais uniquement
aux membres du groupe G Allemagne par exemple.
|
 |
D'autres outils de gestion permettront d'avoir une meilleure
vue d'ensemble et un meilleur contrôle de l'infrastructure à PKI. On peut
notamment citer :
-
le package de gestion MOM 2005 - en effet avec Longhorn
Server chaque service réseau (DHCP, DNS, service de certificat...) disposera
de son propre package d'administration dans Microsoft Operation Manager - le
package MOM des services de certificat permettra, entre autre, de connaître
l'état des autorité de certification (en ligne / hors ligne / prêt à
délivrer...), le nombre de certificats délivrés...
-
le logiciel Alacris idNexus - une interface Web
permettant d'administrer les certificats et les cartes à puce (avec des
options très poussées)
2.3 L'externalisation de l'infrastructure à clef publique, un enjeu pour
l'avenir ?
 |
Selon Microsoft de nombreuses société hésitent à mettre en
place une infrastructure PKI à cause de la complexité de mise en œuvre
(notamment au niveau des systèmes de sauvegarde des clés privées et des
certificats). c'est pourquoi le géant de Redmond souhaite lancer un service de
carte à puce nommé Microsoft eID.
N'importe quelle entreprise pourrait souscrire à ce service
et acheter des cartes à puce (Microsoft se chargerait de l'attribution et de la
gestion des certificats associés). L'entreprise pourrait sans problème acquérir
des cartes à puce supplémentaire en fonction de la demande sans se préoccuper du
type et de la marque des cartes car le service eID sera compatible avec toutes
les technologies du marché !!!
|
Pour l'instant très peu d'informations ont filtré sur ce
produit (notamment en ce qui concerne les coûts et le licensing) mais nul doute
qu'il intéressera un grand nombre de société désirant obtenir une sécurité
accrue sans augmentation des coût ni gestion administrative contraignante
!
3. Gestion et déploiement des cartes à puces
3.1 Les cartes à puce, pourquoi faire ?
De manière générale, en informatique, l'authentification
consiste à saisir un identifiant (login) ainsi que le mot de passe (password)
qui lui est associé. On parle d'authentification mono-factorielle car basée sur
un seul facteur : des informations connues de l'utilisateur. Voici d'autres
facteurs pouvant être utilisés pour authentifier un individu :
-
un objet appartenant à l'utilisateur (badge,
cartes magnétiques, cartes d'identité...)
-
l'utilisateur lui-même (empreinte digitale, empreinte
rétinienne...)
Il est possible d'augmenter fortement la sécurité de
l'authentification en combinant plusieurs facteurs : on parle d'authentification
multifactorielle. Les cartes à puce sont un exemple d'authentification
multifactorielle car pour s'authentifier il faut : posséder la carte et
connaître le code pin associé ! Si un malfrat vole la carte, il ne peut pas
s'authentifier car il ne connaît pas la pin et inversement.
 
Bien entendu il est possible d'implémenter des systèmes
d'authentification à trois facteurs (avec la biométrie) mais le coût de ces
systèmes est actuellement très élevé et la mise en place encore hasardeuse ! Le
déploiement de cartes à puce (ou smart cards) permet quant à lui de renforcer la
sécurité de l'authentification avec un investissement modéré. Le seul
inconvénient reste la gestion de l'infrastructure à clé publique (en effet, les
cartes à puce utilisent les certificats numériques et nécessitent donc la
configuration d'une ou plusieurs autorités de certification).
3.2 Windows Vista : la renaissance des cartes à puce ?
Suite aux retours d'expériences de ses principaux clients,
Microsoft a décidé d'opérer de nombreuses modifications en ce qui concerne la
gestion des cartes à puce et des certificats numériques au sein de Windows
Vista.
 |
Pour commencer il sera possible d'associer une carte à puce
avec un compte d'utilisateur sans que le nom du compte utilisateur dans Active
Directory soit identique à celui du certificat d'authentification de la carte à
puce.
De plus une seule et même carte à puce pourra posséder plusieurs
certificats d'ouverture de session et donc être mappé à plusieurs comptes
d'utilisateurs simultanément (actuellement un administrateur qui travaille avec
un simple compte utilisateur et qui a besoin de se "logguer" de façon ponctuelle
en tant qu'administrateur doit posséder deux cartes à puce !!!).
|
Le principe de l'ouverture de session unique ou SSO (Sigle
Sign On) sera désormais aussi appliqué pour l'authentification par cartes à puce. En
effet, lorsque l'on se connecte à un serveur TSE avec une carte à puce, il faut
taper le code pin une première fois pour ouvrir la session locale sous Windows
XP, puis une seconde fois pour ouvrir la session RDP ! De plus la modification
du code pin sera totalement intégrée à l'interface utilisateur (comme c'est le
cas avec la modification du mot de passe et les stratégies de mots de passe sous
Windows XP).
|
Côté serveur, un ensemble de mécanisme sera disponible pour
automatiser et faciliter les tâches courantes en rapport avec les cartes à puce
comme renouveler un certificat, débloquer une carte (en cas d'un grand nombre
d'erreurs lors de la saisie du code pin)...
Enfin il sera aussi possible d'intégrer des certificats
d'autorité de certification sur les cartes à puce. Cette fonctionnalité se
révèlera très utiles pour que les machines sur lesquelles l'administrateur n'a
pas la main (ordinateurs des employés notamment) fasse confiance à la ou les
autorités de certification de l'entreprise.
|
 |
4. Conclusion
Microsoft souhaite vraiment démocratiser l'utilisation des
cartes à puce et de l'infrastructure à clé publiques. Etant donné les moyens mis
en œuvre, gageons que ce pari sera réussi ! Cependant seule la sortie de Windows
Vista édition cliente ET édition serveur permettront de mettre en place toutes
les nouvelles technologies annoncée ici...
En attendant rappelons la mise en place d'une
authentification par cartes à puce n'assure pas à elle seule la sécurité des
données de l'entreprise mais n'est qu'une mesure parmi d'autres permettant
d'augmenter la protection de ces mêmes données !
|
|
|
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
