Montréal : cité électronique ?

[Invité]

Salut JayJay

Ok, pas ce soir, ça sera quand tu veux.

C?est vrai que pour la carte soleil ça prend 3 mois ou plus alors il faut se dépêcher.

Je te souhaite bonne journée

[JayJay]

Un spécial pour Fafou... comme promis?

Visiblement, le cybergouvernement a parfois mauvaise presse, y compris chez des gens qui paradoxalement "publient" des tas d'infos sur eux-même dans les forums... Le e-gouvernement suscite méfiance, suspicion? On a tendance à imaginer tout de suite le petit hacker de 16 ans qui « cracker » le réseau et voler votre identité ou détourner vos allocations?

Pourtant, le e-gouvernement est inévitable. Une part incroyable de nos liens sociaux se déroule sur Internet. Nos transactions commerciales, bancaires, se déroulent également sur Internet. C?était simplement logique que le gouvernement suive le pas.

Il ne faut pas s?illusionner : le fait que nos informations personnelles soient sur papier dans d?antiques classeurs en métal, peut-être verrouillés, peut-être pas, ne les rendent pas plus « en sécurité ». D?abord, la majorité des incidents qui mettent en jeu la sécurité d?un système proviennent de l?intérieur (au-delà de 70 % selon le Gartner Group). Erreur de manipulation, mauvaise éducation, etc. Et puis les classeurs sont également vulnérables : incendie, vol, yeux un peu trop curieux? Ce qui fait qu?à bien des égards, l?information est beaucoup plus en sécurité si elle est protégée par 1) des signatures numériques et 2) une PKI (public key infrastructure). La politique du Gouvernement canadien a adopté ce standard qui est déjà la référence en matière de sécurité sur les réseaux.

Comment fonctionne le PKI ?

Traditionnellement, la sécurité était fondée sur le cryptage.

Un message crypté contient une clé (un « code ») ; en trouvant cette clé, on peut arriver à décrypter un message. Ce qui explique qu?avec une certaine analyse, tout message peut être décodé puisque la clé est donnée avec le message encrypté. Dans le passé, la clé était remise lors d?un « face à face » antécédent à une transaction. On pouvait être sûr ainsi que la clé n?était pas accessible par d?autres. Mais dans les transactions de nos jours, c?est impossible. Les deux parties ne se voient jamais.

Le PKI fonctionne différemment. D?abord, c?est pas un software. Comme son nom l?indique, c?est une infrastructure composée de produits, de services, de politiques, de procédures.

Grosso modo :

Il s?agit d?une paire de clés « cryptées ». Une des clés est « privée » (cryptographie symétrique), et l?autre « publique » (cryptographie asymétrique). Chaque partie reçoit une clé publique et une clé privée lors d?un processus d?inscription, antécédent à toute transaction. Ces clés sont obtenues via une 3è partie digne de confiance. Lors d?un échange d?informations, le PKI donne un certificat numérique qui identifie hors de tout doute un utilisateur ou une organisation. Ce certificat contient l?information sur la clé publique. Il est d?abord vérifié par l?autorité responsable du Certificat (vous avez peut-être vu déjà de tels certificats; leurs auteurs sont VeriSign et Entrust). Ensuite, une autre autorité « double-checks » l?information vérifiée par la première autorité.

La clé privée n?est donnée qu?à la personne qui en fait la demande ; elle seule connaîtra cette information ? elle n?est jamais partagée, jamais envoyée sur Internet. La clé publique, en revanche, fait partie d?un répertoire auquel ont accès les 2 parties concernées par l?échange.

Un exemple concret (c?est l?instructeur, lors de mon cours, qui a utilisé cet exemple) : Bonnie et Clyde (le fameux couple de voleurs de banque) veulent braquer une banque. Bonnie veut transmettre à Clyde l?adresse de la banque et la date du braquage. Mais le shérif est à l?affût et il risque d?intercepter cette information. Bonnie va utiliser une clé pour encrypter un message à Clyde. Pour ça elle doit s?assurer que la clé publique qu?elle utilisera pour crypter ce message est bien celle de Clyde, et pas celle du shérif qui ferait semblant d?être Clyde. Elle va utiliser un certificat numérique qui va lui prouver que cette clé publique appartient bien à Clyde. C?est leur avocat qui va lui fournir ce certificat (au figuré bien sûr ? en réalité, cette autorité est Entrust, ou VeriSign, etc.). Cette autorité possède un « certificate policy » qui détaille ses méthodes et ses procédures de sécurité. L?opération est cependant transparente pour l?utilisateur, dont la préoccupation reste la validité du certificat. Pour revenir à l?exemple, Bonnie utilise la clé publique de Clyde et d?elle-même pour crypter un message. Lorsque Clyde reçoit le message et le certificat authentifiant l?identité de Bonnie, il s?authentifie en utilisant sa clé privée, et décrypte le message avec la clé publique de Bonnie et de lui-même. La clé privée, elle, ne passe pas dans le « public » (sur Internet). Il est donc impossible de se faire passer pour quelqu?un d?autre. La seule clé publique ne suffit pas pour s?authentifier et ainsi décrypter le message.

Voilà les grandes lignes du PKI. Ne me demande pas d?expliquer les algorithmes utilisées pour définir une signature numérique? là ça devient vraiment bcp trop théorique pour moi. Par contre, si je n?ai pas été suffisamment claire (et c?est possible étant donné que ce n?est pas du tout mon domaine), il y a un article intéressant qui réussit assez bien à vulgariser le sujet ici : http://www.techonline.com/community/tech_t.../internet/20689

[djvice]

Comme le dit JayJay, les gouvernements travaillent fort sur la PKI. C'est la technologie du futur. Cela permettra de sécuriser les communications citoyen-ministère et ministère-ministère. Le but étant d'alléger le service publique en informatisant à grande envergure (résultat:beaucoup moins de fonctionnaires...).

Gouvernements du Canada et du Québec travaillent fort là dessus.

Mais bon, tout ça, c'est pas pour demain. Les PKI gouvernementales sont encore à l'état de projet sur papier.

Faut dire que c'est super compliqué à mettre en oeuvre et à déployer. La moindre faille dans le système le rendrait corrompu.

Personnellement, j'ai déjà travaillé sur le sujet et me suis apercu que c'est un bordel pas possible. Aussi bien au niveau technologique qu'humain.

Vous me croirez plutot pessimiste mais je pense bien que le jour où chaque citoyen aura son propre certificat numérique pour effectuer des transactions avec le gouvernement, voter, etc. ne viendra pas avant une bonne dizaine d'années.

Certes, plusieurs projets de PKI ministérielles sont deja en place (à la SAAQ, au ministère de la Justice par exemple) mais ce sont que des projets à petite échelle. Pas plus de 50000 certificats délivrés On est loin des 9 millions de certificats utiles pour le Québec, ou des 30 millions pour le Canada.

Petite précision: les gouvernements canadiens et québécois ne travaillent pas du tout ensemble pour leur PKI.

[Invité]

Salut JayJay

Merci beaucoup de prendre le temps de me répondre c'est très gentil de ta part.

En fait je m'intéresse a ce sujet parce que ça fait quelque années j?ai touché un peu a ce domaine lors de l'installation d'un serveur de transaction bancaire pour une banque.

Merci de m'avoir aidé à rafraîchir les idées.