Lumière sur les failles et avantages Infrastructure à clés publiques au Cameroun
A la lumière du projet ''infrastructure à clé publique'' , lequel vise à sécuriser les échanges des données, documents ...entre les administrations camerounaises ,
Connectikpeople a voulu vous présenter les failles possibles et avantages d'un tel dispositif .Non dans un esprit belliqueux , mais simplement pour sensibiliser et attirer l'attention des promoteurs et utilisateurs du projet .
En réalité ,
Comme dans le cadre de la cryptographie symétrique, les faiblesses peuvent tout d'abord venir des faiblesses de l'algorithme de chiffrement (voir Cryptanalyse).
Le risque principal dans l'utilisation des clés asymétriques est celui de l'attaque de l'homme du milieu,
c'est-à-dire la possibilité qu'une partie adverse intercepte les clés
publiques échangées pour les remplacer par les siennes. Il pourrait
alors déchiffrer et signer tous les messages échangés. La résolution de
cette faiblesse nécessite une infrastructure à clés publiques afin de certifier que les clé publiques appartiennent bien aux parties.
Cependant , la cryptographie asymétrique répond à un besoin majeur de la cryptographie symétrique : le partage sécurisé
d'une clé entre deux correspondants, afin de prévenir l'interception de
cette clé par une personne tierce non autorisée, et donc la lecture des
données chiffrées sans autorisation.
Les mécanismes de chiffrement symétrique étant moins coûteux en temps de calcul,
ceux-ci sont préférés aux mécanismes de chiffrement asymétrique.
Certains experts pensent qu'aujourd'hui, dans un monde ouvert, il faut prendre certaines précautions avant de déployer une ICP, faute de quoi il y a des risques de pillage. Avant d'aborder les questions techniques, il faut par exemple se demander quels sont les utilisateurs, et si le cadre juridique est prêt.
Lorsque l'entreprise échange beaucoup de données avec des partenaires en extranet, comme c'est le cas des entreprises étendues ou des pôles de compétitivité, la question de la sécurisation de l'interopérabilité se pose.
Dans ces grandes communautés, l'information d'autorité doit être gérée dans des registres de métadonnées publics. Le certificat électronique peut alors être associé, dans le registre, à l'identifiant, afin de circonscrire le patrimoine informationnel partagé par la communauté de pratique.
Voir par exemple : Dictionnaire de métadonnées pour le référentiel des publications CNRS
Par ailleurs, Il est conseillé de déployer les certificats sur support matériel (carte à puce) car le vol de certificat logiciel fait désormais partie des possibilités des malwares.
Certains experts pensent qu'aujourd'hui, dans un monde ouvert, il faut prendre certaines précautions avant de déployer une ICP, faute de quoi il y a des risques de pillage. Avant d'aborder les questions techniques, il faut par exemple se demander quels sont les utilisateurs, et si le cadre juridique est prêt.
Lorsque l'entreprise échange beaucoup de données avec des partenaires en extranet, comme c'est le cas des entreprises étendues ou des pôles de compétitivité, la question de la sécurisation de l'interopérabilité se pose.
Dans ces grandes communautés, l'information d'autorité doit être gérée dans des registres de métadonnées publics. Le certificat électronique peut alors être associé, dans le registre, à l'identifiant, afin de circonscrire le patrimoine informationnel partagé par la communauté de pratique.
Voir par exemple : Dictionnaire de métadonnées pour le référentiel des publications CNRS
Par ailleurs, Il est conseillé de déployer les certificats sur support matériel (carte à puce) car le vol de certificat logiciel fait désormais partie des possibilités des malwares.
Comments