Méthodes stockage de certificats client

Méthodes stockage de certificats client - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 16-02-2008 à 16:19:22    

Bonjour,
 
J'étudie une solution d'authentification forte (et de signature de contrats) via des certificats clients (A). J'ai à peu près fait le tour de la question sur l'intérêt de la chose. Hormis peut-être juridiquement, puisqu'il semble que valider un formulaire après identification peut très bien faire office de signature au titre de la loi, à partir du moment où le client s'y était préalablement engagé.
 
Bref, ma question est ailleurs ^_^ Pour des clients lambda (ie. des pros/TPE voire des particuliers, pas nécessairement des entreprises), le principe semble être généralement de télécharger un certificat à la volée et de le stocker sur le poste du client. C'est assez "facile" à gérer et moins cher, mais en terme de sécurité ça semble léger : n'importe qui chopant des login/pass (donc une simple ident) peut générer à la volée le certificat de la personne. Dans ce cas, je pense qu'il s'agit juste d'avoir une signature électronique pour ceux qui n'ont pas prévu de clause contractuelle (ce que je disais plus où : permettant alors qu'un simple formulaire face office d'engagement).
Parmi les autres solutions : supports externes (type token USB). Assez chéro, mais pourquoi pas. Carte à puce ça me parait un peu sioux. Téléphone mobile encore plus, malgré l'idée intéressante de rupture de média.
 
J'en arrive à ma question : j'ai assisté à une présentation sur le sujet (dont je tairai l'auteur, se présentant toutefois comme spécialiste du sujet), indiquant qu'un stockage à distance des certificats était tout aussi sécurisé qu'un stockage sur support externe. En gros stocké sur un bunker d'une pierce partie type acteurs spécialisés. Donc :  
1. je n'ai pas trouvé grand chose sur le web à ce sujet
2. stockage à distance ? Comment fait-on pour y accéder ? par mot de passe (donc ident de base et aucun gain de sécurité) ? Comment s'effectue l'authentification ou l'acte de signature : par utilisation du certificat à distance également ? ou via téléchargement "temporaire" du certificat ?
 
Merci d'éclairer ma lanterne  :jap:

Reply

Marsh Posté le 16-02-2008 à 16:19:22   

Reply

Marsh Posté le 24-02-2008 à 10:47:05    

Bonjour,
 
Ton topic m'intéresse beaucoup. Hélas, je ne sais pas répondre à tes questions. J'aimerais juste savoir ce que tu as trouvé concernant les certif ssl sur support physique comme le token usb ou le téléphone par exemple. Nous aimerions beaucoup pouvoir mettre des certificat sur un support externe et non pas sur le navigateur.
 
Si je trouve qqch sur le stockage à distance je te l'indique.
 
En te remerciant par avance,
 
Maryy

Reply

Marsh Posté le 24-02-2008 à 11:42:17    

Bonjour Maryy,
 
J'ai trouvé un certain nombre de réponses :
1. tout d'abord auprès d'autres consultants de ma société, dont certains ont mis en place de près ou de loin des certificats clients pour l'authentification à des sites bancaires entreprises (pour mémo : c'est une obligation légale pour télédéclarer la TVA, quand le CA dépasse 750 M€).
Parmi les entreprises, la plupart ont un stockage de certificat sur token USB ou carte à puce.
2. via des juristes + étude sur le net. Le stockage à distance du certificat peut revenir : soit à un téléchargement logiciel sur le PC du client (avec mot de passe spécifique), soit gravure sur un CD d'authent (qques tests réels ont été effectués). Sinon ça peut revenir à une signature à distance côté serveur (ce que fait un organisme de crédit) : c'est alors légalement totalement caduque, en plus d'être peu sécurisé.
 
J'espère que cela t'aidera :) La plupart des prestataires de certification maîtrise les supports externes standard.N'hésite pas si tu souhaites des infos complémentaires.
Dans quel secteur travaille-tu ? Mon étude avance bien, il faudrait que je te vende mes services :lol:


Message édité par Juju- le 24-02-2008 à 11:43:56
Reply

Marsh Posté le 01-03-2008 à 20:34:35    

Salut !
 
Je te remercie pour ces informations, c'est très gentil. Excuse-moi de ne pas être revenue plus tôt.  
 
Dans notre cas, c'est pour accéder à une application web qui demande une authentification par certificat. Certaines personnes voudraient simplement accéder au site en utilisant le pc de leur client, c'est pourquoi le support externe m'intéresse. Nous ne sommes donc pas au niveau d'une banque mais c'est tout de même un sujet très intéressant.
 
J'ai trouvé le package framakey que l'on installe sur clé usb (où il y a firefox dessus). Je pense mettre le certificat sur ce firefox sur clé mais ça me chiffonne du point de vue de la forte probabilité de l'oubli ou perte de la clé. Je suis la première à égarer régulièrement la clé usb alors j'ai du mal à ne pas penser à cette éventualité ! Donc il faudrait peut-être que je trouve une clé avec authentification par empreinte (je sais que j'ai déjà vu ça quelque part) ou quelque chose dans le genre.
 
Tu bosses à ton compte ?  
 
A plus !

Reply

Marsh Posté le 01-03-2008 à 21:47:03    

Votre site est déjà compatible avec authent par certificat logiciel ?  Dans ce cas, si tu ne veux pas modifier le site, le système que tu proposes semble intéressant. En cas de perte, il est tjs possible de révoquer le certificat au même titre qu'une opposition CB.
 
Après, le certificat sur clé USB (sans firefox ^^) est assez standard chez les fournisseurs de solutions (type keynectis,  dictao, ...). La clé est conçue de telle manière que le certificat n'est ni copiable ni modifiable ; c'est aussi - et surtout - facile à utiliser, surtout en déplacement chez un client.
 
Au delà des certificats, les authent par empreintes sont à ma connaissance chères et rares.  
Mais cela existe, par exemple chez eSmart : http://www.e-smart.com/products_ssc.html (exemple sur une carte de paiement)
 
En autres solutions tu as par exemple :  
- la carte à puce sur laquelle est stockée le certificat (nécessitant un lecteur de carte...),  
- la carte "bataille navale" (une carte avec série de chiffres, à partir de laquelle le site web te demande de saisir une combinaison aléatoire de chiffres présents sur ta carte). Plus contraignant à utiliser (la combinaison de chiffre à retrouver sur la carte change à chaque fois) mais plus simple techniquement (pas de certificat à gérer).
- le "certificat CD-ROM" qui est aussi testé. Cela consiste en un CD contenant une mini-application. Dès que le CD est lancé, il télécharge et se grave un certificat téléchargé de manière sécurisé sur serveur. Ensuite, le CD fait office de stockage du certificat, comme la clé.
- d'autres méthodes, dont une que j'ai vu cette semaine en veille : http://www.atelier.fr/banque-assur [...] 6116-.html
 
Sinon pour la petite histoire, je bosse chez CSA Consulting. On n'est pas dans la sécurité (nous sommes spécialisés banque / finance), mais j'ai en charge l'offre web : les problématiques de ce type sont donc assez courantes, surtout dans la banque !


Message édité par Juju- le 01-03-2008 à 21:50:33
Reply

Marsh Posté le 06-03-2008 à 18:06:15    

Salut !
 
Concernant le certificat sur la clé, comment firefox va-t-il chercher le certif sur la clé ?  
 
Tu as une connaissance du sujet qui est bien vaste ! Je te remercie de partager tes connaissances !
 
A plus !

Reply

Marsh Posté le 12-04-2008 à 15:28:45    

Salut,
le sujet sur lequel vous discutez est très interressant pour moi, en fait je viens de mettre en place un IGC (Interface de Gestion de Clés) je veux mnt concevoir un support sécurisé pour y mettre les certificats, a priori j'ai opté pr une clé USB (token), qlq'un a une idée sur une méthodes de conception de cette clé USB???????????????? :??:  

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed