Vous êtes sur la page 1sur 26

Les certificats numriques La Scurit par les certificats numrique

Introduction 1. Les certificats numriques 1.1 Prsentation 1.2 Pourquoi utiliser un certificat numrique 2. Implmenter une infrastructure cls publiques 2.1 Installation d'une PKI sous Windows Server 2003 2.2 Administrer une infrastructure cls publiques 3. Exemples de domaines d'application des certificats numriques 3.1 Scuriser sa messagerie 3.2 Protger son accs VPN l'aide de L2TP/IPSec 3.3 Crypter ses fichiers avec EFS Conclusion

R.Bouchema

1/26

Les certificats numriques


INTRODUCTION
Dans une socit o la scurit et la confidentialit des communications sont chaque jour plus important, les certificats numriques, vritables cartes d'identits pour les utilisateurs de rseaux informatiques, sont un domaine en plein essor. Les certificats numriques sont diffuss dans une infrastructure cls publiques, infrastructure de plus en plus rpandue dans les entreprises. Un exemple d'utilisation qui gagne chaque jour du terrain et bien entendu les cartes puces. . La premire partie de ce document prsente les certificats numriques, leur utilit ainsi que leur fonctionnement dans une infrastructure cls publiques. La deuxime partie prsente la mise en place et la gestion de ce type d'infrastructure l'aide du systme d'exploitation serveur de Microsoft : Windows Server 2003. Enfin, dans un dernier point, seront prsents quelques domaines dans lesquels les certificats sont de plus en plus utiliss pour scuriser la communication sur un rseau informatique.

1. Les certificats numriques 1.1 Prsentation


Un certificat numrique (aussi appel certificat lectronique) est un fichier permettant de certifier l'identit du propritaire d'une cl publique, un peu la manire d'une carte d'identit. Un certificat est gnr dans une infrastructure cls publiques (aussi appel PKI pour Public Key Infrastructure) par une autorit de certification (Certification Authority , CA) qui a donc la capacit de gnrer des certificats numriques contenant la cl publique en question. Actuellement, les certificats numriques sont reconnus la norme X.509 version 3. Ce format se compose entre autre de : la version du certificat X.509 (actuellement la V3) le numro de srie l'algorithme de signature le nom de l'metteur (autorit de certification) la date de dbut de fin de validit l'adresse lectronique du propritaire la cl publique transmettre le type de certificat

R.Bouchema

2/26

Les certificats numriques


l'empreinte du certificat (signature lectronique)

La signature lectronique est gnre par l'autorit de certification l'aide d'informations personnelles (telles que le nom, le prnom, l'adresse e-mail, le pays du demandeur, etc) en utilisant sa propre cl prive.

Exemple d'un certificat numrique Il existe de nombreux types de certificats numriques, rpondant chacun un besoin particulier. Les principaux types sont : Certificat de messagerie (permet de crypter et de signer ses e-mails) Authentification IPSec pour un accs distant par VPN Authentification Internet pour les pages Web scurises Cryptage des donnes avec EFS Signature de logiciel

1.2 Pourquoi utiliser un certificat numrique ?


Un certificat numrique intervient dans diffrents mcanismes permettant de scuriser l'change de donnes sur un rseau. On y retrouve le cryptage asymtrique ou encore la signature lectronique combine un contrle d'intgrit des donnes.

R.Bouchema

3/26

Les certificats numriques

1.2.1 Le cryptage
Il existe deux types de cryptage : le cryptage symtrique et le cryptage asymtrique. Seul le cryptage asymtrique ncessite l'utilisation de certificats numriques. Le cryptage symtrique

Le cryptage symtrique fonctionne l'aide d'une et unique cl, qui permet la fois de crypter les donnes et de les dcrypter. Pour changer des donnes cryptes symtriquement entre deux personnes, il faut que les deux personnes soient en possession de la cl de cryptage symtrique.

Sur ce schma, Pierre utilise une cl prive (un mot de passe par exemple) pour encrypter le message. Paul reoit le message crypt et doit donc disposer de la cl prive de Pierre ayant encrypt les donnes pour pouvoir y accder. Tout le problme du cryptage symtrique est qu'il faut pouvoir changer la cl prive travers le rseau de manire scurise et donc s'assurer qu'aucune personne malveillante n'est pu se procurer la cl lui permettant de dchiffrer le message. Le cryptage symtrique reposant sur le fait que l'expditeur ait communiqu au destinataire du message la cl prive lui permettant de dcrypter le message, il n'y a pas besoin de garantir l'identit de l'expditeur. Le cryptage asymtrique o Principe du cryptage asymtrique

Le cryptage asymtrique s'appui sur un couple de cls compos d'une cl publique permettant n'importe qui de crypter un message, un destinataire muni de sa propre cl prive. La cl publique est donc largement diffuse dans le rseau (local, Internet, ) et permet le cryptage du message alors que la cl prive, qui doit rester confidentielle, permet son possesseur de dchiffrer tous les messages encrypts l'aide de la premire.

R.Bouchema

4/26

Les certificats numriques

Le serveur de cls publiques va gnrer la demande de Paul un couple de cl publique / cl prive. Il transmettra la cl prive Paul et partagera tout le monde la cl publique. Pierre crypte le message avec la cl publique de Paul obtenu sur le serveur et transmet le message sur le rseau. Lorsque Paul le reoit, il pourra le dchiffrer grce sa cl prive. Des donnes cryptes en utilisant le cryptage asymtrique peuvent mettre jusqu' 1000 fois plus de temps pour tre dcryptes par rapport au cryptage symtrique. C'est pour cette raison que trs souvent, les deux cryptages sont utiliss simultanment : le cryptage asymtrique (plus scuris) permet d'changer la cl prive utilise par le cryptage symtrique entre les deux htes aprs quoi le cryptage symtrique (plus rapide) est alors utilis. Dans ce cas la cl prive est appele cl de session.

Pourquoi utiliser un certificat numrique pour scuriser le cryptage aysmtrique ?

Un certificat numrique permet, lors d'un cryptage asymtrique, de garantir lorsque cela s'avre ncessaire, l'identit des diffrents intervenants. Prenons l'exemple de l'envoi d'un message crypt de manire asymtrique entre deux utilisateurs.

R.Bouchema

5/26

Les certificats numriques

Dans ce cas, Pierre veut transmettre des informations confidentielles Paul. Il va donc rcuprer auprs du serveur de cls publiques la cl de cryptage qu'il pense tre celle de Paul. Malheureusement, sans certificat (donc sans carte d'identit) l'identit du propritaire de la cl publique n'est pas garantie. Pierre va donc crypter le message avec la cl publique qu'il pensera tre celle de Paul mais qui appartiendra en ralit Jacques le pirate. Jacques n'aura donc plus qu' rcuprer le message et pourra le dcrypter sans aucun problme avec sa propre cl prive. Dans le cas de l'utilisation d'un certificat numrique, Pierre se serait aperu que la cl publique ne pouvait pas appartenir Paul et n'aurait donc pas transmis son message.

1.2.2 Signature numrique et non rpudiation des donnes


Le rle d'une signature numrique et de la non rpudiation des donnes

Alors que le cryptage permet d'empcher une personne non autorise accder un contenu protg, la signature numrique est un procd qui permet de s'assurer que l'metteur d'un message est bien celui qu'il prtend tre.

R.Bouchema

6/26

Les certificats numriques

Pierre envoie un message Paul et le signe de son nom. Malheureusement un pirate, Jacques, intercepte le message sign par Pierre et le modifie. Il laisse la signature de Pierre et le renvoie Paul. Paul pensera donc lorsqu'il recevra le message, que c'est Pierre qui lui a envoy. La signature lectronique seule ne suffit donc pas. Il a fallu mettre en place un systme plus labor : la non-rpudiation des donnes. Pour ne plus que le message puisse tre modifi l'insu du destinataire, la signature du message dpendra du contenu du message. Ainsi, en cas de modification de la moindre des donnes, la signature ne correspondra plus celle initialement prvue. Fonctionnement d'une signature numrique La signature d'un message passe donc par deux tapes successives et complmentaires : la cration d'un condens du message puis sa signature.

Tout d'abord, l'metteur du message, Pierre, va crer un condens (en quelque sorte l'empreinte numrique de son message). Il va ensuite crypter ce condens l'aide de sa cl prive (que lui seul possde, ce qui garantit son origine) et joindre ce rsultat, appel la signature numrique du message, son message. Il pourra ensuite envoyer son message Paul. Lorsque Paul recevra le message, il va tout d'abord dcrypter le condens l'aide de la cl publique de Pierre. Ensuite il va crer un condens du message reu qu'il pourra enfin comparer au condens reu avec le

R.Bouchema

7/26

Les certificats numriques


message. Si son condens et celui reu sont identiques, cela signifie que le message est exactement le mme que Pierre a envoy.

R.Bouchema

8/26

Les certificats numriques


1.2.3 Les infrastructures cls publiques (PKI)
Une PKI (Public Key Infrastructure), aussi appele IGC (Infrastructure de Gestion de Cls) est une infrastructure rseau qui a pour but final de scuriser les changes entre les diffrents composants d'un rseau. Cette infrastructure se compose de quatre lments essentiels : Une Autorit d'Enregistrement (Registration Authorities) : c'est cette autorit qui aura pour mission de traiter les demandes de certificat manant des utilisateurs et de gnrer les couples de cls ncessaires (cl publique et cl prive). Son rle peut s'apparenter la prfecture lors d'une demande de carte d'identit. Une Autorit de Certification (Certification Authorities) : elle reoit de l'Autorit d'Enregistrement les demandes de certificats accompagnes de la cl publique certifier. Elle va signer l'aide de sa cl prive les certificats, un peu la manire de la signature de l'autorit sur une carte d'identit. Il s'agit du composant le plus critique de cette infrastructure en raison du degr de scurit requis par sa cl prive. Une Autorit de Dpt (PKI Repositories) : il s'agit de l'lment charg de diffuser les certificats numriques signs par la CA sur le rseau (priv, Internet, etc). Les utilisateurs de la PKI : ce sont les personnes effectuant des demandes de certificat mais aussi ceux qui souhaitent vrifier l'identit d'un certificat qu'ils ont reu.

Exemple de demande d'un certificat pour signer numriquement les e-mails de Pierre Lorsque l'Autorit de Certification reoit une demande de certificat par l'intermdiaire de l'Autorit d'Enregistrement, elle doit gnrer un certificat. Pour prouver que le certificat mane rellement de cette CA, il doit tre sign avec la cl prive de l'Autorit de Certification. Cela signifie que si un utilisateur arrive se procurer cette cl prive, il pourrait crer des certificats numriques valides en gnrant lui-mme le couple de cls. Il pourrait donc signer et dcrypter l'intgralit des donnes circulant. Il est donc primordial d'assurer la scurit et la confidentialit de la cl prive de l'Autorit de Certification. Dans une PKI assez importante, il peut tre judicieux de garder la cl prive sur un ordinateur autonome (non reli un rseau) et physiquement scuris sur lequel l'oprateur de certificat (personne de confiance) gnrera les certificats en apportant la cl publique signer sur une mmoire mobile et en rcuprant le certificat gnr de la mme manire.

R.Bouchema

9/26

Les certificats numriques


2. Implmenter une infrastructure cls publiques 2.1 Installation des Services de Certificats sous Windows Server 2003 2.1.1 Installation du service IIS
Si vous envisagez la diffusion de certificats par l'intermdiaire d'une page Web, il est prfrable d'installer IIS (Internet Information Services) avant l'installation de l'autorit de certification. De cette manire, IIS sera automatiquement configur pour diffuser des certificats. Pour installer IIS, il faut se rendre dans Ajout/Suppression de programmes dans le panneau de configuration. Slectionner Ajouter ou supprimer des composants Windows , double cliquer sur Serveur d'applications , sur Services IIS puis sur Services World Wide Web . Sur la fentre qui s'ouvre, cochez Active Server Pages (ASP) ainsi que Services World Wide Web puis cliquer sur le bouton OK. Lancez l'installation l'aide du bouton Suivant.

Une fois la copie des fichiers termine, ouvrez la page http://127.0.0.1 l'aide d'Internet Explorer. La page devrait tre marque : En chantier si IIS fonctionne correctement.

2.1.2 Installation des Services de certificats


Attention : aprs l'installation des services de certificats, il n'est plus possible de changer le nom ou le domaine du serveur. Pour installer une autorit de certification sous Windows Server 2003, il faut se rendre dans Ajout/Suppression de programmes dans le panneau de configuration. Slectionner Ajouter ou supprimer des composants Windows , cocher Services de certificats puis cliquer sur le bouton Suivant . La premire tape de l'installation consiste choisir le type d'autorit de certification.

R.Bouchema

10/26

Les certificats numriques

Il existe deux types principaux d'installation : Autorit d'entreprise : utiliser si l'autorit de certification doit dlivrer des certificats dans un domaine auquel appartient le serveur (se base sur l'annuaire d'Active Directory). Cette autorit doit-tre contrleur de domaine. Autorit autonome : permet de dlivrer des certificats dans un rseau comme Internet

Il existe deux niveaux fonctionnels pour chacun de ces deux types d'installation : Autorit racine : l'autorit de certification est la premire du rseau Autorit secondaire : dpend d'une autorit racine

Remarque : Il est possible de spcifier des paramtres avancs pour la gnration du couple de cls pour cette autorit de certification, en cochant Utiliser les paramtres personnaliss . Il faut ensuite choisir un nom pour cette autorit de certification ainsi que, dans le cas d'une autorit racine, la priode de validit des certificats dlivrs. Pour terminer, l'installation propose de changer l'emplacement de la base des certificats et des fichiers journaux. Aprs avoir valid cette dernire tape, la copie des fichiers ncessaires commence. Une fois l'installation effectue, un nouveau composant apparait dans le menu Outils d'administration : Autorit de certification.

R.Bouchema

11/26

Les certificats numriques


2.1.3 Scuriser IIS l'aide du protocole SSL
Il est possible de scuriser les pages Web du serveur IIS l'aide du protocole SSL (Secure Sockets Layer). Lors de l'utilisation du SSL, les donnes qui transiteront entre le demandeur d'un certificat et l'autorit de certification seront cryptes, dans notre cas, cela permettra de scuriser tous les changes avec l'autorit de certification. Pour activer SSL sur le serveur IIS, il faut d'abord ouvrir le Gestionnaire des services Internet (IIS) dans le menu Outils d'administration . Slectionnez l'ordinateur local, puis Sites Web . Effectuez un clique droit sur le Site Web par dfaut (qui contient le rpertoire virtuel CertSrv) et choisissez Proprits . Dans la fentre qui s'affiche, slectionnez l'onglet Scurit du rpertoire .

Sur la page qui s'affiche, cliquez sur le bouton Certificat de serveur . Suivez l'assistant pour Crer un certificat . Si votre serveur appartient un domaine, il est possible de transmettre directement la demande l'autorit de certification en cliquant sur Envoyer immdiatement la demande une autorit de certification en ligne . Dans le cas contraire choisissez Prparer la demande, mais ne pas l'envoyer maintenant . Choisissez ensuite un nom pour le nouveau certificat, l'organisation et l'unit d'organisation, le nom du site Web et enfin le pays, le dpartement et la rgion o se situe votre serveur. Si vous avez choisi de prparer une demande, il vous faudra l'enregistrer avant de pouvoir gnrer le certificat en vous rendant sur http://127.0.0.1/certsrv . Vous pourrez alors slectionner Demander un certificat , soumettre une demande de certificat avance et enfin soumettre une demande de certificat en utilisant un fichier CMC ou PCK#10 . Dans la zone de texte Demande enregistre , collez le contenu du fichier enregistr prcdemment (qui se trouve par dfaut dans c:\certreq.txt) puis cliquez sur le bouton Envoyer .

R.Bouchema

12/26

Les certificats numriques

Dans le cas d'une autorit de certification autonome, vous devrez autoriser manuellement la gnration de ce certificat en vous rendant dans Autorit de certification dans le menu Outils d'administration . Il vous faudra ensuite vous rendre dans les Demandes en attente , d'effectuer un clique droit sur la demande que vous venez d'mettre afin de pouvoir Dlivrer ce certificat. Une fois votre autorisation accorde, retournez l'accueil de la page Web puis Afficher le statut d'une requte de certificat en attente . Slectionnez votre demande puis Tlcharger le certificat sur votre disque dur. Fermez alors le navigateur Internet. Revenez dans les proprits du Site Web d'IIS, dans l'onglet Scurit du rpertoire . Cliquez nouveau sur le bouton Certificat de serveur puis Traitez la demande en attente . Slectionnez le certificat que vous venez d'enregistrer. Votre serveur IIS dispose donc maintenant de son propre certificat garantissant aux yeux des utilisateurs son identit et il ne reste plus qu' activer le protocole SSL sur ce site Web. Pour cela, toujours dans l'onglet Scurit du rpertoire , cliquez sur le bouton Modifier et cochez Requrir un canal scuris (SSL) ainsi qu' Exiger le cryptage 128 bits . Enregistrez la configuration et fermez le Gestionnaire des services Internet. L'interface Web de l'autorit de certification est dsormais accessible en entrant l'url suivante : https://nom-de-lautorite/certsrv.

R.Bouchema

13/26

Les certificats numriques

2.2 Administrer une infrastructure cls publiques 2.2.1 L'outil "Autorit de certification"
L'outil Autorit de certification , prsent dans les outils d'administration de Windows Server 2003, vous permet de grer votre autorit de certification : Liste des certificats rvoqus Liste des certificats dlivrs Demandes en attente Demandes ayant chou Administration des modles de certificats (uniquement sur une autorit d'entreprise)

La liste des certificats rvoqus contient tous les certificats rvoqus dans cette infrastructure. Il est possible de publier la liste des certificats rvoqus manuellement, en effectuant un clique droit sur Liste des certificats rvoqus puis en choisissant Publier dans Toutes les tches. Vous pouvez publier une liste de base ou seulement une liste delta. La liste des certificats dlivrs vous permet de consulter mais aussi de rvoquer les certificats mis par cette autorit de certification. Pour rvoquer un certificat, slectionnez-le puis effectuez un clique droit afin de choisir Rvoquer un certificat dans le menu Toutes les tches. Il est possible de choisir une raison pour cette rvocation. Le certificat apparait alors dans la liste voque prcdemment. Les demandes en attente, dans le cas d'une autorit de certification autonome, apparaissent ici. Il vous est alors possible de dlivrer ou non le certificat l'utilisateur. Pour cela, slectionnez le certificat puis effectuez un clique droit dessus. Choisissez Dlivrer ou Refuser dans le menu Toutes les tches. Ds lors, l'utilisateur peut aller consulter le nouvel tat de sa demande. Les demandes ayant chou reprsentent les certificats n'ayant soit pas t autoriss, soit n'ayant pas pu tre mis (demande de certificat avanc incorrecte, erreur de cration du certificat, etc). Dans le cas d'une autorit de certification faisant partie d'un domaine, une ligne supplmentaire existe : Les modles de certificats. Vous pouvez administrer ces modles depuis cet outil. En double cliquant sur un modle de certificat, sa

R.Bouchema

14/26

Les certificats numriques


description apparaitra. Il est aussi possible de grer ces modles, pour cela effectuez un clique droit sur une zone vide puis slectionnez Grer .

Outre ces fonctionnalits, il est possible depuis cette interface de renouveler le certificat de l'autorit de certification manuellement en effectuant un clique droit sur son nom, puis en slectionnant Renouveler le certificat d'Autorit de certification dans le menu Toutes les tches .

Il est aussi possible d'administrer son autorit de certification en ligne de commande l'aide de la commande certutil . Vous pouvez par exemple afficher les modles de certificats ( -template ), signer une liste de rvocation ( -sign ) ou encore importer un nouveau certificat dans la base de donnes ( -importcert ). Pour obtenir l'aide complet de cette commande, entrez certutil /? .

R.Bouchema

15/26

Les certificats numriques


2.2.2 L'interface Web "certsrv"
Pour effectuer une nouvelle demande de certificat, les utilisateurs peuvent se connecter l'aide d'Internet Explorer sur le site Web : http://nom-de-l'autorite/certsrv (ou https://nom-de-l'autorite/certsrv dans le cas d'une connexion scurise). L'interface Web se dcompose en trois parties : Demander un certificat : permet de demander des certificats standards ou avancs Afficher le statut d'une requte de certificat en attente : permet dans le cas d'une autorit de certification autonome, de rcuprer un certificat aprs ayant t valid par l'administrateur Tlcharger un certificat d'autorit de certification : permet de tlcharger le certificat de l'autorit de certification ainsi que la liste de rvocations des certificats de cette infrastructure

R.Bouchema

16/26

Les certificats numriques


Pour pouvoir installer un certificat, il faut tout d'abord en faire la demande (Demander un certificat). Vous pouvez choisir entre diffrents types de certificat (navigateur Web, courrier lectronique, EFS, utilisateur, serveur, IPSec, etc) selon les besoins dans votre rseau. Si vous exprimez une demande sur une autorit de certification autonome, il vous faudra entrer des informations d'identification (nom, socit, pays etc) permettant de vous identifier sur votre certificat avant de pouvoir soumettre votre demande. Il vous faudra ensuite patienter jusqu' ce qu'un administrateur autorise manuellement votre demande. Lorsque cela aura t fait, vous pourrez installer votre nouveau certificat ( Afficher le statut d'une requte de certificat en attente sur l'interface Web). Dans le cas d'une demande une autorit d'entreprise il vous suffit de slectionner le type de certificat puis de l'installer.

Remarque : Pour accorder votre confiance aux certificats mis par cette autorit de certification, vous devez installer la chane de certificats d'Autorit de certification (Tlcharger un certificat d'autorit de certification). Sur cette page, vous pouvez aussi tlcharger la liste de rvocation de certificats mis par cette autorit. Elle contient la liste des certificats ayant t marqus comme obsoltes (cl prive compromise, certificat ayant dpass sa priode de validit, etc). Il est possible de tlcharger la liste de rvocation de base (qui contient tous les certificats rvoqus par cette autorit) mais aussi la liste delta (qui contient seulement les dernires mises jour).

R.Bouchema

17/26

Les certificats numriques


2.2.3 La MMC "Certificats"
Le composant enfichable Certificats permet de grer les certificats d'un utilisateur ou d'un ordinateur. Pour cela, dans le menu dmarrer, choisissez Excuter puis entrez MMC .

Dans la fentre qui s'ouvre, droulez le menu Fichier puis choisissez Ajouter/Supprimer un composant logiciel enfichable . Slectionnez le bouton Ajouter puis double cliquez sur Certificats . Vous pouvez alors choisir d'afficher les certificats de l'utilisateur actuel ou alors de l'ordinateur. Le dossier Personnel contient tous les certificats ayant t accords cet objet (certificat EFS, messagerie, IPSec, etc). Il est possible de sauvegarder un certificat et ventuellement la cl prive lui tant associe en le slectionnant, en effectuant un clique droit dessus puis en choisissant Exporter dans le menu Toutes les tches. Si vous souhaitez exporter la cl prive, il faut que lors de l'installation du certificat, la cl a t marque comme exportable, et l'assistant vous demandera alors d'entrer un mot de passe pour protger cette cl. Remarque : Il est conseill de garder une sauvegarde de ses certificats ainsi que de ses cls prives pour pouvoir les rutiliser en cas de problme sur son systme (par exemple pour pouvoir dcrypter des fichiers crypts l'aide d'EFS aprs une dfaillance du systme d'exploitation). Le composant logiciel enfichable Certificats permet aussi, dans le cas d'un ordinateur prsent dans un domaine, qui comprend une autorit de certification d'entreprise, de faire une demande de certificat sans passer par l'interface Web. Pour cela, il suffit d'effectuer un clique droit sur le dossier Personnel afin de Demander un nouveau certificat dans le menu Toutes les tches.

R.Bouchema

18/26

Les certificats numriques

Remarque : Dans le cas d'une autorit d'entreprise, il est possible de diffuser automatiquement des certificats l'aide d'une GPO.

2.2.4 Scurisez une autorit de certification

Exemple d'implmentation d'une PKI trois niveaux

R.Bouchema

19/26

Les certificats numriques


L'autorit de certification racine tant l'lment le plus critique d'une PKI en raison de la confidentialit de sa cl prive, il est fortement conseill d'utiliser une infrastructure plusieurs niveaux. Dans l'exemple ci-dessus, l'autorit racine ne dlivre que deux certificats (donc seulement deux utilisations de sa cl prive) aux autorits de certifications intermdiaires. Une fois les autorits de certifications intermdiaires approuves par l'autorit racine, elle peut tre dconnecte du rseau ce qui garantit qu'aucun utilisateur malveillant ne pourra "voler" la cl prive de l'autorit de certification racine. Lorsque ces autorits de certifications intermdiaires auront reues leur certificat leur permettant d'exercer leur fonction, elles pourront leur tour autoriser les autorits de certifications dites "mettrice". De cette manire, il est aussi possible de dconnecter du rseau les autorits intermdiaires en laissant les autorits de certifications "mettrices" signer les certificats. Cette hirarchie permet non seulement de choisir quelle autorit va dlivrer tel type de certificat, mais aussi de limiter les risques d'attaque de cette PKI, puisqu'en aucun cas il ne sera possible d'tre en possession de la cl prive de l'autorit racine stocke dans un endroit sr puisque hors du rseau (et dans un endroit physiquement protg).

2.2.5 Sauvegarder une autorit de certification


L'autorit de certification doit tre rgulirement sauvegarde, et cela pour deux raisons : elle est la seule possder sa cl prive permettant de gnrer des certificats aux utilisateurs de la PKI elle contient les certificats clients qu'elle diffuse sur le rseau

Il existe deux manires de sauvegarder son autorit de certification : l'aide de l'utilitaire de sauvegarde de Windows en utilisant l'outil d'administration Autorit de certification

Pour effectuer une sauvegarde de l'autorit de certification, il faut effectuer une sauvegarde de l'tat du systme (System Stage) l'aide de l'Utilitaire de Sauvegarde prsent dans Windows (Menu dmarrer puis Accessoire, Outils systme). Pour cela, lancez l'utilitaire en mode avanc si ce n'est pas dj le cas, puis slectionnez l'onglet Sauvegarder . Cochez la case System State et ventuellement d'autre rpertoire si ncessaire (il est conseill de sauvegarder par la mme occasion le disque systme), puis Dmarrez la sauvegarde .

R.Bouchema

20/26

Les certificats numriques


Il est possible de ne pas effectuer une sauvegarde complte du systme sur lequel se trouve l'autorit de certification mais seulement les paramtres de ce service. Cela permet par exemple en cas de corruption ou de perte de la cl prive de l'autorit de la restaurer. Pour cela, effectuez un clique droit sur le nom de votre autorit de certification dans l'outil d'administration Autorit de certification puis slectionnez Sauvegarder l'Autorit de certification dans Toutes les tches . Cochez les cases Cls prives et certificat d'Autorit de certification ainsi que la base de donnes de certificats et journal de la base de donnes de certificat . Spcifiez un emplacement pour votre sauvegarde puis cliquez sur Suivant. Vous devez ensuite entrer un mot de passe permettant d'apporter une premire protection au stockage de votre cl prive.

Remarque : Ce fichier contenant la cl prive de votre autorit de certification (qui est donc l'lment critique de votre PKI), il doit tre stock et protg de toutes attaques avec une attention particulire. Le mot de passe entr lors de la sauvegarde peut tre dcouvert par un pirate utilisant le brute force (essai de toutes les combinaisons possibles), ce n'est qu'une question de temps

R.Bouchema

21/26

Les certificats numriques


3. Exemples de domaines d'application des certificats numriques
Les certificats numriques peuvent tre utiliss dans de nombreux domaines

la garantie de l'identit de l'expditeur


le cryptage des donnes

Pour garantir votre identit vos destinataires lorsque vous envoyez un e-mail, vous pouvez faire appel un certificat de messagerie.

Exemple d'un certificat de messagerie Ce certificat vous permet d'envoyer des e-mails avec votre compte de messagerie en y joignant votre signature numrique.Les messages signs numriquement apparaissent dans Microsoft Outlook avec une icne particulire dispose d'une ligne supplmentaire dans l'entte : Si vous souhaitez utiliser un certificat de messagerie destin Internet et que vous ne disposez pas d'une autorit de certification personnelle, vous pouvez gratuitement crer votre certificat en suivant l'article de Nicolas Milbrand disponible ici. http://www.laboratoire-microsoft.org/articles/win/signature-mail-outlook/ Pour crypter un message, l'opration est moins vidente, puisqu'il nous faut possder la cl publique du destinataire. Il faut donc que le destinataire ai mit votre disposition un certificat de messagerie et que vous le possdiez. Dans ce cas, crypter un message avec Microsoft Outlook se droule de manire trs semblable apposer sa signature lectronique sur un e-mail.

et

R.Bouchema

22/26

Les certificats numriques

Il suffit de slectionner l'icne Crypter le message dans la barre d'outils du message.

3.2 Protger son accs VPN l'aide de L2TP/IPSec


Pour tablir un tunnel entre deux htes avec Windows Server 2003, il vous faut choisir soit PPTP (Point to Point Tuneling Protocol) soit L2TP (Layer 2 Tunnel Protocol). La mthode la plus scurise utiliser dans le cas d'un tunnel VPN (Virtual Private Network) est d'opter pour le protocole L2TP complt par IPSec (IP Security). IPSec supporte trois types d'authentification : Utilisation d'une cl pr-partage que l'on entre sur le serveur et sur les clients. Cela reprsente la manire la moins scurise d'authentification et doit tre utilise seulement en dernier recours. Utilisation d'un systme de certificat numrique, ce qui reprsente la manire la plus fiable d'un un rseau tel qu'Internet Dans un domaine, utilisation de l'authentification Kerberos lie Active Directory. Si le serveur et le client appartiennent la mme fort, cela reprsente la manire la plus adapte d'effectuer l'authentification des htes.

Nous allons tudier ici la mise en place d'une authentification par certificat numrique. Nous supposerons alors que le serveur et le client peuvent communiquer correctement l'aide de L2TP/IPSec. Vous pouvez vrifier votre configuration en utilisant la mthode de cl pr-partage qui est la plus simple mettre en uvre. Une fois cette tape accomplie, il est possible de mettre en place l'authentification par certificat numrique en ralisant les oprations ci-dessous sur le client et sur le serveur.

Installation des certificats sur le client et le sur serveur : L'authentification par certificat ncessite l'installation d'un certificat IPSec sur les deux ordinateurs souhaitant communiquer. Pour cela, connectez-vous sur http://nom-de-la-CA/certsrv, demandez un certificat puis soumettez une demande de certificat avance ( Demande de certificat avance puis Crer ou soumettre une demande de requte ). Compltez les informations demandes, puis choisissez un Certificat IPSec . Les certificats IPSec doivent tre stocks pour le compte de l'ordinateur et non pour le compte de l'utilisateur actif. Pour cela, il vous faut cocher la case Stocker le certificat dans le magasin de l'ordinateur local . Lorsque votre demande de certificat est accepte, installer le certificat (sur la page d'accueil du site Web de l'autorit de certification, choisissez Afficher le statut d'une requte de certificat en attente puis slectionnez le Certificat IPSec ). Installation du certificat de l'autorit de certification sur le client et sur le serveur : Si vous utilisez cette autorit de certification pour la premire fois, il vous faut installer le certificat de l'autorit de certification, gage de votre confiance envers cette autorit. Pour cela, toujours sur la page d'accueil, choisissez Tlcharger un certificat d'autorit de certification , puis tlcharger un certificat de l'Autorit de certification . Fermez l'interface Web. Dans la MMC Certificat , dveloppez Certificats (ordinateur local) puis effectuez un clique droit sur Autorit de certification racines de confiance pour slectionner Importer dans Toutes les tches . Cliquez sur Suivant puis sur Parcourir. Rechercher le certificat prcdemment enregistr puis cliquez nouveau sur Suivant. Vous devez stocker le certificat dans le magasin Autorits de certification racines de confiance , slectionn

R.Bouchema

23/26

Les certificats numriques


par dfaut. Cliquez sur Suivant puis Terminer. Vous avez maintenant confiance en cette autorit de certification. Vous pouvez maintenant vous connecter et vous authentifier l'aide de votre client sur votre serveur VPN. Assurezvous que le protocole L2TP soit bien slectionn : pour le client Windows, afficher les proprits de la connexion VPN , slectionnez l'onglet Gestion de rseau puis slectionnez VPN L2TP IPSec dans le Type de rseau VPN.

3.3 Crypter ses fichiers avec EFS


Le systme de fichier encrypt (Encrypting File System, EFS) est support par Windows 2000, XP et Server 2003. Il permet aux utilisateurs de protger l'accs leurs donnes par des utilisateurs non autoriss de manire totalement transparente. Crypter un fichier avec EFS : Crypter un fichier avec EFS sur Windows XP ou Server 2003 est relativement simple. Il suffit d'afficher les proprits du fichier crypter (clique droit sur le fichier puis choisir Proprits ). Slectionnez le bouton Avanc puis cochez la case Crypter le contenu pour scuriser les donnes . Le fichier ainsi crypt apparait en vert dans l'explorateur Windows.

Principe de fonctionnement de EFS : Pour crypter un fichier, EFS va tout d'abord crypter symtriquement les donnes puis ajouter la cl cryptage, appele FEK pour File Encryption Key. Pour amliorer la scurit, EFS va ensuite ajouter la FEK au fichier et crypter celle l en utilisant le cryptage asymtrique. La cl symtrique ainsi crypte est stocke dans un champ nomm DDF pour Data Decryption Field. Il est aussi possible de spcifier un agent de rcupration ce qui permet de rcuprer les donnes mme en cas de perte du certificat de l'utilisateur. Utiliser de prfrence EFS dans une PKI : Le certificat de l'utilisateur et la prive lui tant lie est stock dans le profil local de l'utilisateur. Ainsi, en cas de panne du systme, si aucune sauvegarde du certificat et de la cl prive n'est disponible, l'utilisateur ne pourra donc plus dcrypter ses donnes, mme si un agent de rcupration a t cr puisque lui non plus n'aura plus accs son certificat et sa cl prive stocks localement. Pour rsoudre ce problme en cas de dfaillance, il est possible d'utiliser une PKI qui sera charge de grer les certificats et qui plus est bnficie d'une sauvegarde rgulire. Un autre avantage d'utiliser une PKI, est qu'en cas

R.Bouchema

24/26

Les certificats numriques


d'utilisation de profil distant dans un domaine Active Directory, les utilisateurs pourront dcrypter leurs fichiers depuis n'importe quelles machines du domaine.

R.Bouchema

25/26

Les certificats numriques


Conclusion
A l'heure actuelle, scuriser les communications dans son entreprise n'est plus une option, mais bien une obligation. Il n'est plus question de laisser la porte de tous des informations sensibles alors qu'il est possible de scuriser ses changes sur un rseau informatique, de garantir l'identit d'un utilisateur ou encore de scuriser le stockage de ses donnes l'aide d'une infrastructure cls publiques. Ce type d'infrastructure qui se base sur les certificats numriques, connait une popularit croissante dans le monde professionnel. Cependant, elle attire aussi de plus en plus de particuliers soucieux d'amliorer la scurit, notamment l'aide d'une messagerie scurise ou encore du cryptage EFS propos par le systme d'exploitation client de Microsoft : Windows XP.

R.Bouchema

26/26