1.

INTRODUCTION

En cryptographie, une autorité de certification (AC ou CA pour Certificate Authority

en anglais) est un tiers de confiance permettant d’authentifier l’identité des
correspondants. Une autorité de certification délivre des certificats décrivant des
identités numériques et met à disposition les moyens de vérifier la validité des
certificats qu’elle a fournis. Les services des autorités de certification sont
principalement utilisés dans le cadre de la sécurisation des communications
numériques via le protocole Transport Layer Security(TLS) utilisé par exemple pour
sécuriser les communications web ou email, ainsi que pour la sécurisation des
documents numériques (par exemple au moyen de signatures électroniques avancées
telles que PADES pour les PDFs, ou via le protocole S/MIME pour les emails ). Dans
la suite de notre exposé, il sera question de présenter d’abord ce qu’est la certification,
de par sa définition et son principe de fonctionnement, ensuite on parlera de quelques
structures de certification au Cameroun et les services offerts par celles-ci, enfin on
parlera des failles de la certification.

1
 2. QU’EST-CE QUE LA CERTIFICATION
ÉLECTRONIQUE

A. PRESENTATION

D’une manière générale, la certification électronique est un moyen de garantir la sécurité des
communications électroniques dans le réseau public internet, basé essentiellement sur le billet des
certificats électroniques.

Un certificat électronique (aussi appelé certificat numérique ou certificat de clé publique) peut être
vu comme une carte d'identité numérique. Il est utilisé principalement pour identifier et
authentifier une personne physique ou morale, mais aussi pour chiffrer des échanges

Il est signé par un tiers de confiance qui atteste du lien entre l'identité physique et l'entité
numérique (virtuelle). Par exemple, pour un site web il s'agit d'un certificat SSL. Le standard le
plus utilisé pour la création des certificats numériques est le X.509. Le principe de fonctionnement
des certificats électroniques est basé sur le chiffrement d'informations et sur la confiance. Pour
cela, il existe deux méthodes de chiffrement : symétrique et asymétrique.

B. MODE OPERATOIRE
I. LE CHIFFREMENT SYMETRIQUE

Cette technique consiste à utiliser une clef de chiffrement pour chiffrer son message avant de
l’envoyer dans le réseau, ainsi seul le récepteur, muni de la même clef pourra déchiffrer et lire le
message. Le message en claire, après avoir été chiffré, transite dans le réseau étant crypter de tel
sorte toute personne qui interceptera ce dernier serais incapable de lire et de comprendre son
contenue.

Par exemple : si Anne (A) veut envoyer un message chiffré à Bob (B) elle doit lui
communiquer un mot de passe (clé de chiffrement). Comme l'algorithme de chiffrement est
symétrique, on a la relation suivante : Texte Codé = chiffrement du message par la clé.

2
 Ainsi, Anne peut aussi déchiffrer un message en provenance de Bob avec la même clé. Mais
il faut au préalable trouver un moyen sûr de transmettre la clé à l'abri des regards. La situation
peut cependant devenir complexe, si Anne doit envoyer un message chiffré à Bob et à Charlie
mais qu'elle ne souhaite pas donner la même clé à Charlie. Plus le nombre de personnes est grand,
plus il est difficile de gérer les clés symétriques. D'autant qu'il faut au préalable trouver un moyen
sûr de transmettre la clé.

C'est le même fonctionnement dans le cadre du protocole TLS/SSL.

TLS signifie Transport Layer Security (sécurité de couche de transmission) et est le

successeur du protocole SSL (Secure Sockets Layer, couche de sockets de sécurité). Le protocole
TLS/SSL est un système de règles communes suivies aussi bien par les clients que par les serveurs
lorsqu’un client visite un site web sécurisé par HTTPS. Avant que le client et le serveur ne
puissent initier une communication sécurisée, ils doivent passer par une procédure nommée
« négociation TLS » – le résultat étant une clé de session sûre, symétrique permettant des
transmissions de données chiffrées entre le serveur et le client. La clé de session est symétrique
comme elle est utilisée par le client et par le serveur pour chiffrer et déchiffrer des transmissions.
La clé de session est nommée clé, pourtant, en réalité, elle est également une serrure. En d’autres
mots, la clé de session est un ensemble unique d’instructions informatiques masquant – ou en
termes plus simples chiffrant – les contenus d’origine d’une transmission de données, de sorte que
seuls ceux ayant la clé de session identique puissent déchiffrer et lire ces contenus

II. LE CHIFFREMENT ASYMETRIQUE

Pour résoudre le problème de l’échange de clés, la cryptographie asymétrique a été mise au point
dans les années 1970. Elle se base sur le principe de deux clés :

3
  Une publique, permettant le chiffrement
 Une privée, permettant le déchiffrement.

Comme son nom l’indique, la clé publique est mise à la disposition de quiconque désire chiffrer
un message. Ce dernier ne pourra être déchiffré qu’avec la clé privée, qui doit rester
confidentielle.

Ceci dit le rôle des clés est interchangeable : on peut chiffrer avec une clé privées et déchiffrer
avec une clé publique.

Quelques algorithmes de cryptographie asymétrique très utilisés :

 RSA (chiffrement et signature);

 DSA (signature);
 Protocole d’échange de clés Diffie-Hellman (échange de clé);
 et d’autres ; voir cette liste plus complète d’algorithmes de cryptographie asymétrique.

Le principal inconvénient de RSA et des autres algorithmes à clés publiques est leur grande
lenteur par rapport aux algorithmes à clés secrètes. RSA est par exemple 1000 fois plus lent que
DES. En pratique, dans le cadre de la confidentialité, on s’en sert pour chiffrer un nombre
aléatoire qui sert ensuite de clé secrète pour un algorithme de chiffrement symétrique. C’est le
principe qu’utilisent des logiciels comme PGP par exemple.

La cryptographie asymétrique est également utilisée pour assurer l’authenticité d’un message.
L’empreinte du message est chiffrée à l’aide de la clé privée et est jointe au message. Les
destinataires déchiffrent ensuite le cryptogramme à l’aide de la clé publique et retrouvent
normalement l’empreinte. Cela leur assure que l’émetteur est bien l’auteur du message. On parle
alors de signature ou encore de scellement.

La propriété des algorithmes asymétriques est qu’un message chiffré par une clé publique n’est
lisible que par le propriétaire de la clé privée correspondante. À l’inverse, un message chiffré par
une clé privée sera lisible par tous ceux qui possèdent la clé publique correspondante.

Ainsi avec sa clé privée, Anne :

 Signe ses messages ;

4
 Lit (déchiffre) les messages qui lui sont adressés.

5
 3. LES INFRASTRUCTURES DE CERTIFICATION AU
CAMEROUN

Les autorités ou encore infrastructures de certification sont des organismes enregistrés et

certifiés auprès d’autorités publiques et/ ou de gouvernance de l’internet qui établissent leur
viabilité comme intermédiaire fiable. Ces organismes diffusent leurs propres clés publiques.
Etant certifiées fiables, ces autorités sont en contact avec les principaux producteurs de
système d’exploitation et de navigateurs web qui incluent nativement les listes de clés des
autorités de certification. C’est cette relation qui est à la base de la confiance. Dans le cadre
du Cameroun, l’infrastructure chargée de certification est l’ANTIC.

À propos de l'ANTIC

L’Agence Nationale des Technologies de l’Information et de la Communication, en

abrégé ANTIC, est un établissement public administratif doté d’une autonomie
financière. Elle est créée par le décret présidentiel n°2002/092 du 8 avril 2002 modifié
et complété par le décret n°2012/180 du 10 avril 2012 qui fixe l’organisation et son
fonctionnement.

L’ANTIC est placée sous la tutelle technique du Ministère chargé des

Télécommunications et sous la tutelle financière du Ministère chargé des Finances.

L’Agence est administrée par Un Conseil d’Administration dont le Président est Dr.
FOGUI Jean-Pierre et dirigée par une Direction Générale. Le siège de l’ANTIC est
fixé à Yaoundé.

L’ANTIC a entre autres missions :

- La promotion et le suivi de l’action des pouvoirs publics en matière des

Technologies de l’Information et de la Communication ;

- La régulation des activités de sécurité des réseaux de communications

électroniques et des systèmes d’information, ainsi que des ressources de nommage
(noms de domaine en .cm) et d’adressage (les adresses IP) ;

6
 - La veille sécuritaire ;

- L’audit de sécurité ;

- La certification électronique.

L’ANTIC compte à ce jour 7 Directions opérationnelles dans les services centraux. Il

s’agit de :

- la Division de la Normalisation et de la Coopération

- la Division des Etudes et du Développement des TIC

- le Centre d’infrastructure à Clé Publique

- le Centre de Réponses aux Incidents de Sécurité Informatique

- la Division des Audits de Sécurité

- la Division des Affaires Juridiques

- la Direction des Affaires Générales

En ce qui concerne son organisation en matière de cybersécurité, l’ANTIC compte en

son sein un centre de veille sécuritaire : le CIRT (Computer Incidence Response
Team), une Division d’audit de sécurité des systèmes d’information dont le rôle est de
tester les systèmes des organismes afin d’y détecter les failles et les vulnérabilités.
Elle fait des recommandations qui visent à assurer leur sécurité. Un Centre de
certification encore appelé Centre PKI (Public Key Infrastructure) qui permet de
sécuriser les applications du cyberespace camerounais.

L’ANTIC s’appuie sur ces trois directions pour remplir sa mission de lutte contre la
cybercriminalité et assurer la sécurité du cyberespace camerounais.

7
 SERVICES

Statut du certificat en temps réel

Dans son fonctionnement de base, l’Infrastructure Nationale à Clé Publique de

l’Agence Nationale des Technologies de l’Information et de la Communication met à
la disposition de ses clients une liste de certificats révoqués toutes les 24 heures en
temps normal. Seulement, avec les avancées technologiques et la perspicacité des
cybercriminels, beaucoup de choses peuvent se passer pendant ce temps. Un pirate
peut très bien faire révoquer son certificat et continuer à l’utiliser dans des
transactions avec ses partenaires qui devront attendre 24 heures pour vérifier sa
validité. C’est pourquoi l’ANTIC a ajouté au service CRL un autre service : l’OCSP
(Online Certificate Status Protocol). Il s’agit d’une autorité de validation qui permet
de dire en temps réel si le certificat avec lequel vous vous engagez dans une
transaction électronique est valide, suspendu ou révoqué.

Ce service supplémentaire est nécessaire et utile lorsqu’on s’engage dans une

transaction financière ou un contrat d’affaires. C’est le cas de tous les services qui
font le commerce électronique ou les services administratifs qui exigent le paiement
des frais comme l’extrait de casier judiciaire bulletin N°03, bref les services qui
entrent dans le chapitre de l’économie numérique.

Pour bénéficier de ce service, il suffit de souscrire à celui-ci au niveau du Centre de

certification de l’ANTIC.

8
 4. LES APPORTS ET LES FAILLES DE LA
CERTIFICATION

Avant de présenter les failles, nous présenterons les apports de la certification dans la
sécurisation des transactions. La certification apporte trois éléments importants dans
les transactions.

 L’authentification forte c’est-à-dire la possibilité d’identifier de façon

univoque l’auteur de la transaction.
 La signature électronique c’est-à-dire la possibilité de certifier les
documents et envois électroniques en imposant une empreinte numérique
ayant la même valeur juridique qu’une signature manuscrite.
 Le chiffrement c’est-à-dire la possibilité de rendre illisible un document par à
personnes autres que le véritable destinataire.

La certification présente deux types principaux de failles. Les failles

organisationnelles touchent aux moyens dont disposent les sociétés de certification
ainsi qu’au processus de certification lui-même. Dans sa version commerciale, l’audit
minimise les chances de détection de fraudes. La visite est annoncée à l’avance,
laissant à l’organisation auditée le temps nécessaire pour préparer les zones de son
activité qui seront auditées. Dans sa conception même, la certification est ouverte au
phénomène des villages Potemkine du nom d’un ministre russe de Catherine II dont
la façade, conforme aux attentes institutionnelles, occulte l’activité réelle. La
différence ne résulte pas toujours d’une volonté de frauder, mais de la nécessité
de s’écarter de la norme pour continuer à fonctionner efficacement : la normalisation
n’est pas nécessairement synonyme de gain d’efficacité pour les organisations, bien
au contraire.

Les sociétés de certification connaissent aussi des failles institutionnelles : si elles

n’ont aucun intérêt à refuser la certification à leurs clients (qui pourraient se tourner
vers la concurrence), elles doivent maintenir leur réputation afin de poursuivre leur
activité. Trouver l’équilibre est subtil. Des clauses exonératoires de responsabilité
visent à prévenir tout risque. Le contexte institutionnel et culturel, le niveau de
corruption du pays, les vices cachés… sont autant de pare-feu limitant la
responsabilité de ces sociétés face à un juge ou des enquêteurs.

9
La normalisation et la certification n’améliorent pas automatiquement la qualité des
processus. Elles peuvent même aller à l’encontre de l’effet recherché. Et les valeurs
plus ou moins implicites incluses dans les référentiels des initiatives de certification, à
prétention universelle, peuvent entrer en contradiction avec celles du contexte local
dans une vision relativiste des valeurs.

Les failles de la certification ne font pas l’objet de statistiques officielles. Reste que, si
les scandales de la certification semblent assez peu nombreux, leurs conséquences
peuvent être dévastatrices, comme dans le cas du Rana Plaza ou des prothèses Pip,
sans parler des effets de la crise des subprimes sur l’économie réelle.

10
5. CONCLUSION

Au terme de ce travail, ce qu’on peut retenir vient de cette question qu’on se pose.
« Pourquoi avoir un certificat d’une autorité de certification ? » Pour répondre à
cette question, on dira que la signature et les MACs ne résolvent pas entièrement
le problème d’authenticité de clé publique, d’où on introduit la notion de certificat
qui viendra prouver de l’authenticité d’une clé publique, établir un environnement
de confiance entre deux entité ayant besoin de communiquer et échanger des
informations non-répudiables et confidentielles. En définitif, un certificat délivré
d’une autorité de certification, notamment l’ANTIC dans le cas du Cameroun
viendra prouver que la clé publique utilisée pour chiffrer un document appartient
bien à la personne avec qui on souhaite communiquer. L’ANTIC aura donc pour
rôle de l’émission, la publication, le renouvellement, le changement
d’informations, la suspension et la révocation des certificats électroniques.

11
6. BIBLIOGRAPHIE

 Antic.cm
 Techsmi.com
 zdnet.fr
 journaldunet.com

12