LA CERTIFICATOIN ELECTRONIQUE :

DEFIS ET ENJEUX
Formation des Formateurs pour la Gouvernance de l’Internet (FFGI 2016)

Hôtel Golden Tulip le Silmandé

29 août – 02 septembre 2016
Ouagadougou, Burkina Faso

Par Dr. Serge Roland SANOU – DSI – Arcep /

Aout 2016 serge.sanou@arcep.bf
Agenda

 Environnement des TICs

 Historique de la signature
 Contexte de la Certification Electronique (CE)
 Définitions
 Aspects techniques et règlementaires de la CE
 Infrastructure à clé publique (PKI ou IGC ou ICP)
 Enjeux, Défis et Gouvernance
Environnement des TICs
 Caractérisé par des mutations technologiques rapides
 Une économie numérique régie par les transactions
électroniques en évolution croissante
 Applications variées :
 E-commerce
 Télémédecine
 E-Administration, E-Gov
 Télé-enseignement
 Web 2.0 (Réseaux sociaux)
 Web 3.0 (IoT, Internet des Objets)
 Environnement des TICs

 Une offre Internet haut débit à travers diverses

technologies en évolution…
Agenda

 Environnement des TICs

 Historique de la signature
 Contexte de la Certification Electronique (CE)
 Définitions
 Aspects techniques et règlementaires de la CE
 Infrastructure à clé publique (PKI ou IGC ou ICP)
 Enjeux, Défis et Gouvernance
 Historique de la signature
3000 ans avant JC, en Mésopotamie
Utilisation de signes de validation des écrits juridiques (sceaux
cylindriques que l’on déroule pour marquer une empreinte sur une
tablette d’argile).
Moyen âge
Utilisation de marques graphiques de validation tels que les
sceaux, les souscriptions avec ruches…
XVIème siècle
Ordonnance d’Henri II en 1554 qui enjoint aux notaires de faire
signer les parties contractantes « s’ils savent écrire ».
Evolution
Petit à petit, le nom patronymique s’impose comme signe
graphique pour la signature. 6
Agenda

 Environnement des TICs

 Historique de la signature
 Contexte de la Certification Electronique (CE)
 Définitions
 Aspects techniques et règlementaires de la CE
 Infrastructure à clé publique (PKI ou IGC ou ICP)
 Enjeux, Défis et Gouvernance
 Contexte

 Au début : Traditionnellement, l’usage des sceaux ou des signatures a permis de

garantir l’authenticité des documents. Avec l’utilisation croissante des outils de
communication « immatériels », que sont les réseaux de télécommunication ou
l’Internet, le problème de la protection de nos échanges est devenu
particulièrement critique.
 Les progrès scientifiques : Les progrès conjugués des mathématiques et de
l’informatique ont permis, depuis les années 1970, de disposer progressivement
d’un panel complet de solutions et de standards adaptés à la certification de nos
documents électroniques.
 Le cadre juridique : Avec la criticité croissante de nos échanges et la disponibilité
de solutions techniques avérées, la mise en place progressive d’un cadre juridique
adapté est venu compléter l’ensemble.

8
 Contexte

De nouveaux usages avec la signature / certification électronique

 Signer et sécuriser son courrier électronique

 Signer des documents électroniques (Rapports, Etudes

confidentielles, etc.)
 Envoyer des factures dématérialisées sécurisées,

 Utiliser les télé procédures (TéléTVA, Impôts, Télémédecine,

Téléenseignement, etc.)
 Consulter et répondre aux appels d’offres

 Numériser les archives nationales

 Sécuriser les sites web

 Sécuriser les échanges privées sur Internet (VPN)

9
 Contexte
 Objectifs recherchés :

1. Garantir les identités dans les transactions électroniques (CIB électronique),

2. Signer électroniquement des déclarations, documents, avec la même valeur que la
signature manuscrite,
3. Sécuriser les échanges sur Internet en toute intégrité et confidentialité.
4. Dématérialiser les échanges : La dématérialisation a pour objet de gérer de façon
totalement électronique des données ou des documents métier (correspondances,
contrats, factures, brochures, contenus techniques, supports administratifs,…) qui
transitent au sein des entreprises et/ou dans le cadre d’échanges avec des
partenaires (administrations, clients, fournisseurs…). La dématérialisation, c’est le
remplacement des documents papier par des fichiers informatiques, entraînant la
mise en œuvre du fameux « bureau sans papier » .
10
Agenda

 Environnement des TICs

 Historique de la signature
 Contexte de la Certification Electronique (CE)
 Définitions
 Aspects techniques et règlementaires de la CE
 Infrastructure à clé publique (ICP ou PKI)
 Enjeux, Défis et Gouvernance
 Définitions
 Certificat électronique:
 Un document sous forme électronique attestant le lien entre les données de vérification de
signature électronique et un signataire ;
 Service de certification électronique :
 Tout service consistant à délivrer des certificats électroniques ou à fournir d’autres services en matière
de signature électronique ;
 Service d’horodatage électronique :
 Tout service visant à dater des ensembles de données électroniques ;
 Signature électronique :
 Une donnée qui résulte de l’usage d’un procédé fiable d’identification garantissant son lien avec
l’acte auquel elle s’attache ;
 Autorité de Certification / d’Accréditation : (AC)
 Service administratif ou société chargé de créer, de délivrer et de gérer des certificats
électroniques.
 Autorité d'Enregistrement (AE) :
 Une Autorité d’Enregistrement (AE) est une autorité qui a en charge la vérification de l’identité, les
droits et la qualité du demandeur du certificat électronique. Ces éléments seront inscrits dans le
certificat. Cette vérification se fait selon les conditions et les modalités déterminées par l’AC. 12
 Définitions
 Confidentialité :
 L’assurance qu’une personne étrangère ne
pourra accéder au contenu.
 La confidentialité est assurée par le
chiffrement ;
 Authentification :
 identification de l'origine de l'information.
 Non-répudiation :
 l'émetteur des données ne pourra pas nier
être à l'origine du message.
 Intégrité :
 fonction permettant d'assurer que
l'information n'a pas subi de modification .

Authenticité = Authentification + Intégrité

13
 Définitions
 Chiffrement, C’est rendre un texte illisible (cryptogramme).
Il y a deux types de chiffrement possible :
 Chiffrement à clé secrète (symétrique) :
L’émetteur utilise une clé pour chiffrer le message et le destinataire utilise la même clé (le
même algorithme mis en sens inverse) pour déchiffrer le message.
 Chiffrement à clé publique (asymétrique) :
Un message chiffré avec une clé publique donnée ne peut être déchiffré qu’avec la clé
privée correspondante.
La Cryptographie :
 Etude des procédés de chiffrement et de déchiffrement.
La Cryptanalyse :
 Etude des procédés de décryptage et de la sécurité des algorithmes de chiffrement.
La Cryptologie :
 Cryptographie + Cryptanalyse + autres axes de recherches.
14
Agenda

 Environnement des TICs

 Historique de la signature
 Contexte de la Certification Electronique (CE)
 Définitions
 Aspects techniques et règlementaires de la CE
 Infrastructure à clé publique (PKI ou IGC ou ICP)
 Enjeux, Défis et Gouvernance
 Technique : Cryptographie symétrique

Utilisateur A Utilisateur B

____ ____
____ ____
____ ____
___ ___

Clé Secrète
Canal sûr

 Problème : Transmission de la clé secrète par un canal sur !

 Technique : Cryptographie asymétrique
Privée

Publique

Le signataire dispose de 2 clés liées mathématiquement l'une à l'autre (bi-clé) :

une clé privée que le signataire conserve secrète et qui lui sert à signer un
fichier numérique (plus précisément un condensé de ce fichier)
une clé publique associée, connue de tous, permettant à chacun de vérifier
l'intégrité du document signé : le fichier a bien été signé avec la clé privée
correspondant à la clé publique et il n'a pas été modifié depuis.

Avantages
– Pas de partage de secret
– Pas de problème de distribution des clés publiques
 Technique : Cryptographie asymétrique

Bonjour Chers Amis Bonjour Chers Amis Bonjour Chers Amis

de FFGI 2016…. de FFGI 2016…. de FFGI 2016….

Hash = empreinte
de longueur fixe

Décryptage
Cryptage
Ma Clé PUBLIQUE
Ma Clé PRIVEE Hash = empreinte Hash = empreinte
SIGNATURE de longueur fixe de longueur fixe
électronique

- L'authenticité du signataire est vérifiée

- l'expéditeur ne peut nier avoir envoyé le message
(non répudiation de l'expéditeur), la signature a bien été créée avec la clé privé
dont on détient la partie publique OUI NON
Identiques
le message n'a pas été altéré donc
- vérification de l'intégrité du message Le message a été altéré …
si le message avait été crypté alors on aurait assuré la confidentialité DANGER
 Technique : Cryptographie asymétrique

A ce stade l'intégrité du fichier est garantie mais pas l'identité du signataire (l’attaque
du « man in the middle » diffuse une fausse clé). Il faut en effet être assuré que le bi-
clé dont on a vérifié le lien mathématique appartient bien au signataire. Ce problème
est résolu par l'utilisation d'une carte d'identité électronique délivrée et signée par
un tiers de confiance, appelé Autorité de Certification. Cette carte d'identité est
associée à la clé publique et s'appelle certificat de clé publique (on le désignera par le
terme : « certificat »).
Ainsi chacun sera assuré de l'identité du signataire dès lors :
qu'il fera confiance à l'AC ayant émis le certificat du signataire
et qu'il aura vérifié, en consultant une liste publiée tenue à jour et signée par
l'Autorité de Certification, que ce certificat n'a pas été révoqué à l'instant de la
signature (penser à l'analogie de la mise en opposition d'une carte bancaire).
Technique : Cryptographie asymétrique

Bonjour Cher Ami Bonjour Cher Ami Bonjour Cher Ami

Aujourd'hui le prog Aujourd'hui le prog Aujourd'hui le prog

…. …. ….

Hash = empreinte de
longueur fixe

Cryptage Ma Clé PUBLIQUE

Ma Clé PRIVEE
SIGNATURE Ma Clé publique est extraite du message
électronique mais la confiance ne peut s'instaurer car
mon destinataire n'a pas le certificat de
l'autorité de certification pour valider ma
clé …
La confiance n'est instaurée que par
les Autorités de Certification, pas par Soit je le lui envoie ou bien il va le
les utilisateurs ... chercher sur le site de l'AC
 Technique : Normes de certification
 Les normes de certification (certificats)
X509 (RFC 2459) : La norme la plus universellement utilisée. Reprise dans le monde de l’Internet
. Définie un format de certificat numérique. Est issue du CCITT / UIT.

PKCS1 : recommandations pour l’implémentation de systèmes crypto utilisant RSA

PKCS3 : échange de clés par Diffie Hellman
PKCS5 : utilisation de mot de passe en cryptographie
PKCS6 : syntaxe pour des certificats étendus
PKCS7 : syntaxe de messages cryptographiques (certificat…)
PKCS8 : syntaxe pour des données mémorisant des clés privés
PKCS10 : syntaxe pour une requête de certification
PKCS11 : API "Cryptoki" pour des équipements qui contiennent des informations cryptogr
aphiques et réalisent des fonctions cryptographiques
PKCS12 : syntaxe d'échange d'informations personnelles
 Technique : Norme X509
Le certificat électronique X509 V3 (UIT) :
• N° de version du certificat (correspondant à la version de la norme : valeur
2 pour X509V3)
• N° de série : n° de série du certificat pour une AC donnée
• Signature : signature de l’AC pour authentifier le certificat
• Emetteur : nom de l’AC qui a créée le certificat
• Validité : date de début et date de fin du certificat
• Sujet : nom de l’abonné
• Clé publique : clé publique de l’abonné et identifiant de l’algorithme utilisé
• Extensions…
Technique : Exemple de certificat

Certificat électronique sous Windows :

 Technique : types de certificats
 Quelques types de certificats électroniques :

• Certificat de signature électronique

• Certificat serveur
• Certificat VPN
• Certificat de signature de code
• Etc.

24
 Technique : Avantages
 Les avantages des certificats électroniques :
Dématérialiser avec un certificat électronique, c’est :
+ de productivité
+ de temps
+ de place
+ de sécurité dans vos échanges
+ de respect pour l’environnement

Et c’est aussi :
– de papiers
– de frais postaux
– de tâches administratives sans valeur ajoutée
(mise sous pli, archivage…)

25
 Technique : Supports

 Les supports du certificat électronique (clefs, hsm,..)

Un support cryptographique (USB ou Carte à puce) contient une puce
électronique qui empêche l’export du certificat. En outre, si quelqu’un tente d’y
accéder, le support se bloque après la saisie répétée de codes d’accès (codes
PIN) erronés. C’est le même système que votre carte bancaire ou que votre carte
SIM de téléphone portable. Aussi, il n’est pas possible d’accéder à votre certificat
électronique à votre insu.
Un Hardware Security Module HSM (Module Matériel de Sécurité) est un appareil
considéré comme inviolable offrant des fonctions cryptographiques.

26
Aspects réglementaires

27
Aspects réglementaires
 Un ensemble de règles générales :

28
Agenda

 Environnement des TICs

 Historique de la signature
 Contexte de la Certification Electronique (CE)
 Définitions
 Aspects techniques et règlementaires de la CE
 Infrastructure à clé publique (PKI ou IGC ou ICP)
 Enjeux, Défis et Gouvernance
 Infrastructure à clé publique
PKI (Public Key Infrastructure) ou ICP ou IGC est un système de gestion des clés
publiques qui permet de gérer des listes importantes de clefs publiques et
d'en assurer la fiabilité, pour des entités généralement dans un réseau. Elle
offre un cadre global permettant d'installer des éléments de sécurité tels que
la confidentialité, l'authentification, l'intégrité et la non-répudiation tant au
sein de l'entreprise que lors d'échanges d'information avec l'extérieur.

Une infrastructure PKI fournit donc quatre services principaux :

1. fabrication de bi-clés.
2. certification de clé publique et publication de certificats.
3. Révocation de certificats.
4. Gestion de la fonction de certification.
30
Infrastructure à clé publique
Une PKI est une infrastructure de confiance fournissant
des services de sécurité à des applications

Messagerie Formulaires Commerce Applications

sécurisée signés électronique VPN spécifiques

Infrastructure de confiance
Certificats S/MIME – SSL – SET – IPSEC – cartes à puce

Infrastructure de communication
IP – GSM - …

31
Infrastructure à clé publique

 Sécurité des PKI :

 Infrastructure à clé publique : acteurs

Source : Devoteam
33
Infrastructure à clé publique
 L’Autorité de Certification (AC) :

34
 Infrastructure à clé publique
 Fonctionnement simple de la PKI

35
 Infrastructure à clé publique
Avantages :
 La gestion centralisée de l’ensemble du cycle de vie des
certificats
 La compatibilité avec les différents standards de Token
(soft, carte puce, jeton USB) offrant différents niveaux de
sécurité pour la protection des clés privées
 La distribution sûre des clés publiques grâce au format
de certificat normalisé X.509
 Le support des mécanismes de gestion des droits et
privilèges (Certificats d’attributs, BD de gestions des droits,
Annuaires, …)
 La compatibilité avec les applications majeures de sécurité
(SSL, S/mime, IPSec, VPN…)
36
 Infrastructure à clé publique
Inconvénients :
 Le coût : le coût d’exploitation de la PKI est élevé car :

 Elle doit respecter des exigences de sécurité très fortes

 Elle nécessite une infrastructure réseaux, annuaires, TTS, ..
 Elle nécessite des équipes compétentes

 La diversité des standards :

 Plusieurs protocoles de gestion des certificats
 Plusieurs formats de requêtes , pkcs#10, crmf,..
 Plusieurs protocoles de validation OCSP, DSV, ….
 Plusieurs tendances de standardisation PKIX, SPKI, ..
37
 Infrastructure à clé publique
 Le Projet PKI avec 2 visions bien différentes :
La vision du vendeur de PKI est la suivante :
• 70 % Technique
• 25-30 % Organisation
• 0-5 % Juridique.
La réalité d’un projet typique dit « PKI » :
• 20-30 % Technique
• 30-60 % Organisation
• 20-30% Juridique

Les produits PKI marchent sur un modèle économique

basé sur le nombre de certificats vendus
38
 Infrastructure à clé publique
 Le Projet PKI :

requiert de nombreuses ressources

selon le type d’infrastructure
souhaitée. Cela s’accompagne, le
plus souvent, d’une nécessaire
restructuration de l’Organisation …
 Benchmark PKI : international
PAYS CADRE APC RAC AC AE OC
REGLEMENTAI (ACCREDIT
RE ATION)

Korea E-Signature Act Ministère de Secteur publique

E-Government l’administratio : GCMA
Act n publique et Secteur privé :
de la sécurité
Arabie E-Transaction Act Secteur public : M. Intérieur : citoyens
Saoudite Loi sur les e- NCDC M. Commerce : Entreprises
Transactions Secteur privé : M. TIC : Administration
Les OC Entreprises : Secteur privé

Tunisie Loi sur le FSCEs (Fournisseurs de Services de

commerce et les
échanges
Certification Electronique
électroniques
Maroc Loi 53-05 Prestataires de service de certification électronique
Décret N°2-08-
518

40
 Benchmark PKI : régional
PAYS CADRE APC RAC AC AE OC
REGLEMENTAI (ACCREDIT
RE ATION)
Burkina Loi n° 045- PSCEs (Prestataires de Services de Certification
Faso 2009/AN sur les Electronique
transactions
électroniques
4 Décrets
d’application
Cote Loi N° 2013-546 PSCEs (Prestataires de Services
d’Ivoire relative aux de Certification Electronique
transactions
électroniques
Sénégal Loi n° 2008-08 FSCEs (Fournisseurs de Services de Certification
sur les Electronique
transactions
électroniques.
Ghana Electronic
Transactions Act,
NITA Certifying Agency
2008 act 772
Agenda

 Environnement des TICs

 Historique de la signature
 Contexte de la Certification Electronique (CE)
 Définitions
 Aspects techniques et règlementaires de la CE
 Infrastructure à clé publique (PKI ou IGC ou ICP)
 Enjeux, Défis et Gouvernance
Enjeux, défis et gouvernance
Certificat

AUTHENTIFICATION
Signature Chiffrement

INTEGRITE CONFIDENTIALITE
PKI

NON-REPUDIATION

Signature et Certificat
Enjeux, défis et gouvernance
 Politiques pour définir la stratégie du gouvernement en matière de
développement de l’administration publique et des services publics en ligne,
pour mettre en place le cadre institutionnel chargé de l’exécution de cette
stratégie,
 Juridiques et réglementaires afin de promouvoir la transparence des actions
publiques, définir le cadre juridique de la cyber sécurité et des Échanges
électroniques ou encore développer les partenariats public-privé,
 Organisationnels pour définir les normes et référentiels communs aux
différentes structures de l’administration,
 Technologiques visant d’une part le renforcement des infrastructures de
télécommunication et les équipements électroniques, et d’autre part
l’intégration des SI et leur adaptation pour les rendre interactifs,
 Educatifs visant la sensibilisation des usagers des services publics en ligne, la
mise ˆ niveau des fonctionnaires, la formation et le développement des
compétences TIC des futurs diplômés de l’université.
Enjeux et Défis : Politiques
 Adoption de référentiels en matières de sécurité des
systèmes d’information (RGS, RGI, Normes, Bonnes
pratiques, etc.)
 Définition des Stratégies, des Plans d’action
 Définition des Politiques spécifiques au PKI :
 politique d’enregistrement
 politiques de certification (RFC 2527)
 politique de révocation
 politique de recouvrement
 politique de sécurité
 audit des politiques
 Enjeux et Défis : Règlementaires

 Au niveau national :
 Loi en matière de Cybersécurité / cybercriminalité
 Loi en matière de Transactions électroniques
 Loi en matière de Commerce électronique (E-commerce)
 Loi en matière de Protection des données personnelles
 Etc.

 Au niveau régional :
 Textes communautaires (Directives UEMOA, Actes additionnels CEDEAO,
Textes de l’Union Africaine, Etc.

 Au niveau international (mondial) :

 Enjeux et Défis : Organisationels

 Les aspects organisationnels découlent directement des

aspects politiques et règlementaires
 L’organisation à mettre en place dépend des ressources
disponibles (moyens)
 L’organisation cible doit être prévue pour le Long terme
 Définir les Processus et Workflows associés
 Etc
 Enjeux et Défis : Technologiques

Les enjeux concernent :

 La sécurité des réseaux de télécommunication
 La sécurité des systèmes d’information

Choix technologiques en certification :

 L’auto-certification (sans tiers de confiance)

 Choix d’une solution avec un produit du marché

 Utiliser les services d’un tiers de confiance externe (AC)

 Utiliser les services d’un Opérateur de Certification

(OC)
Enjeux et Défis : Technologiques
Exemples :
Produits :

Tiers de confiance :

OC :

Auto-certification :
Enjeux et Défis : Technologiques
Offres de constructeurs PKI :
Baltimore : UniCERT 5.0

Entrust Technologies : Security Manager 6.0

VeriSign : OnSite

RSA Security : RSA Keon 5.7

Sagem : Confidence

OpenCA : OpenCA 0.9.0

Enjeux et Défis : Educatifs
 Formation des acteurs
 Formation des Décideurs (Gouvernants)

 Renforcement de capacité

 Sensibilisation

 Communication

 Promotions

 Cursus scolaires et universitaires

 Etc.
Gouvernance électronique
 Gouvernance électronique
Développement des services en ligne et contenus
 Gouvernance électronique
UNITED NATIONS
E-GOVERNMENT SURVEY 2016

OSI: Online Service

Index

HCL: Human Capital

Index

TII:
Telecommunication
Infrastructure Index

EGDI : E-
governance
Development Index

Source : www.un.org
Conclusion

 Questions ?