La PKI ouvre de plus en plus de portes

Traditionnellement associée à l’accès logique et à la signature numérique de documents, l’infrastructure PKI est désormais également utilisée pour contrôler l’accès physique.

L’infrastructure à clé publique – PKI (Public Key Infrastructure) s’impose rapidement comme l’une des méthodes les plus utilisées aux Etats-Unis pour contrôler l’accès physique, essentiellement du fait des spécifications de contrôle d’accès physique FIPS 201 du gouvernement américain qui recommandent la PKI au niveau des portes. Recommandations depuis 2005, ces directives devraient même devenir obligatoires avec les spécifications FIPS 201-2 prévues cette année.

En plus de normaliser les types d’informations devant être stockés sur une carte d’identification, les spécifications FIPS établissent également les meilleures pratiques pour vérifier l’authentification du titre et que celui-ci se trouve bien en possession de la bonne personne, explique Kevin Graebel, directeur produit de HID Credentials chez HID Global, l’un des principaux fabricants de solutions de contrôle d’accès physique et logique. « Un certificat numérique est placé sur la carte, avec les principales informations / niveaux d’accès de l’utilisateur. Ensuite, le processus PKI envoie ces informations via un pont électronique à une autorité de certification fédérale, qui s’assure que l’accès n’a pas été révoqué ou que les informations ne sont pas falsifiées. »

Pour résumer, l’infrastructure PKI utilise une paire de clés mathématiquement liées, l’une étant désignée comme publique, l’autre privée. Cette liaison assure que les informations traitées avec une clé peuvent uniquement être décodées ou validées à l’aide de l’autre clé.

« Le premier avantage d’un système d’accès basé sur PKI est qu’il ne dépend pas d’une clé secrète partagée mais qu’il utilise à la place une paire de clés asymétriques », explique M. Graebel. « Dans les systèmes d’accès traditionnels, le lecteur et la carte partagent une clé symétrique qu’ils utilisent pour s’authentifier l’un l’autre. Cela nécessite une grande coordination entre les cartes et les lecteurs, en particulier lorsque les cartes peuvent être utilisées à plusieurs endroits. Avec PKI, seule la clé publique de la carte doit être partagée. De plus, elle peut facilement être révoquée ou modifiée en cas de violation d’accès. La clé privée est stockée en toute sécurité à l’intérieur de la carte. »

De nombreuses avancées dans le déploiement de la PKI ont amélioré son efficacité et son interopérabilité, faisant de cette infrastructure un choix naturel pour le contrôle d’accès logique mais aussi physique. « Une entreprise peut utiliser une seule et même carte à puce PKI, par exemple une carte PIV (Personal Identity Verification) à la fois pour le contrôle d’accès physique à un bâtiment ou à certaines pièces, et pour l’accès logique aux stations de travail, serveurs, réseaux privés, et autres », note Dave Coombs, directeur Procédures et normes PKI chez Carillon Information Security, société canadienne de conseils en gestion d’identité pour le transport aérien et l’aérospatial. « Cela réduit la complexité de la gestion du contrôle d’accès : plutôt que d’avoir à octroyer ou retirer manuellement les droits d’accès d’une personne dans des dizaines de systèmes différents, il n’y a plus qu’un seul et même droit à émettre ou révoquer. »

En outre, les récents progrès réalisés dans l’interopérabilité permettent à une entreprise qui accepte les cartes PIV de lire l’identité d’un visiteur possédant une carte PIV émise par une autre société.

Malgré toutes ses promesses, l’infrastructure PKI peut également comporter des inconvénients, notamment le coût et la vitesse. « Au minimum, les entreprises devront créer ou avoir accès à une Autorité de Certification pour gérer la génération et la validation des certificats, poursuit M. Graebel. En fonction du déploiement choisi, cela peut nécessiter un recablâge onéreux et la mise à niveau de tous les lecteurs. »

La vitesse peut également constituer un point bloquant dans les applications de contrôle d’accès physique. Pour des raisons de durabilité et de vandalisme, il est plus pratique d’utiliser une technologie sans contact plutôt qu’une communication par contact entre la carte et le lecteur. La communication peut alors prendre entre 1,5 à 2 secondes. Cela ne vous semble peut-être pas long mais pour des utilisateurs habitués à des temps de lecture d’une fraction de seconde avec des technologies comme Prox ou iCLASS, cette vitesse peut poser problème.

« Nous entendons parler d’un autre inconvénient : la lenteur perçue de l’infrastructure PKI à la porte », observe M. Coombs. « Cette lenteur peut être atténuée en entrant des informations de révocation ou des réponses OCSP (Online Certificate Status Protocol), ou même en pré-validant chaque matin tous les droits d’accès qui ont été utilisés sur le même site le jour précédent. » Il prédit que dans les années à venir, « de plus en plus de sociétés privées et publiques choisiront cette voie, en particulier du fait du travail actuellement mené aux Etats-Unis. »

Naturellement, de nombreux pays développent en parallèle leurs propres méthodologies PKI.

Le gouvernement français délivre des certificats PKI chaque année à ses citoyens pour leur permettre de déclarer leurs revenus. Il a également élaboré un référentiel général de sécurité (RGS) qui définit un ensemble de règles pour la sécurisation des systèmes d’informations de grande taille basés sur l’infrastructure PKI. « Les Belges ont fait plus ou moins la même chose avec leur carte eID », poursuit M. Coombs. « Il s’agit d’une carte à puce PKI délivrée aux citoyens belges pour authentifier leur accès aux systèmes et programmes gouvernementaux en ligne. »

Dans le même temps, le gouvernement allemand ouvre la voie en appliquant la directive européenne relative aux certificats de « signature qualifiée », le seul type de signature numérique légalement reconnu en Europe.

Comment

You must be logged in to post a comment.