CULTe : Home | Association | Reunions | Projets | Listes de diffusion | Recherche | Best of Linux-31 | Trombinoscope

(Courriels de diversion: <gravirais@atomiques-expieras.com> <philosopherons@detecterent-polemiquerais.com> <scandalisa@retranscrirai-manchettes.com> <sautillements@trajets-machinal.com> <ballaster@delimitee-reinstallera.com> <intimidante@conquerions-refermerai.com> <carpe@remorquera-supprimee.com> <pieter@affluente-familiale.com> <emancipent@stagnant-gommerai.com> <frauderait@câbler-remplacables.com> ) 

Bonjour,

Guillaume Betous a écrit :
| Le sysadmin, theoriquement le seul a pouvoir etre root, a acces de
| part sa bete fonction technique a toutes les informations
| eventuellement secretes de la societe !
| 
| On ne va pas non plus laisser seul le PDG avoir acces a root
| (pratique pour rajouter une imprimante ou realiser un backup :
| appeler le PDG (-:)
| 
| Comment ca se gere ca ? Par cryptage des infos confidentielles ?
| Mais a ce moment comment ne pas avoir la cle privee sur son compte
| (qui du coup serait accessible par le root) ?

Comme cela a déjà été dit, la précaution de base est d'utiliser une
passphrase non triviale. A titre d'exemple, la mienne a une taille de
15 caractères, ne contient aucun mot du dictionnaire, mélange lettres
majuscules, minuscules, chiffres et symboles de ponctuation (éviter
les lettres accentuées, elles posent problème lorsque on se retrouve
sur un clavier QWERTY).

Mais le problème est en fait plus complexe. Quels sont les besoins
d'une entreprise et de ses employés ?

- S'authentifier sur des serveurs ou des machines.
- Signer des messages et documents de manière infalsifiable et
  irrépudiable.
- Chiffrer les messages et documents confidentiels.

Or, si on utilise une seule et même clé pour répondre à tous ces
besoins, plusieurs problèmes surgissent :

- La compromission de la clé d'authentification sur une machine
  root-kitée permet du même coup au pirate de signer des documents à
  la place d'un employé ou d'accéder à des données confidentielles
  normalement protégée par le chiffrement.

- Pour signer des documents de manière infalsifiable et irrépudiable,
  il faut que l'employé détenteur de la clé soit le seul à connaître
  la passphrase (sinon, il peut invoquer l'utilisation abusive par un
  tiers pour nier avoir un jour signé un document). Mais, d'un autre
  côté, si l'employé est le seul à détenir cette passphrase,
  l'entreprise ne peut plus accéder aux documents chiffrés si
  l'employé décède ou claque la porte en refusant de divulguer la
  passphrase.

Comment satisfaire ces différentes contraintes ? Simplement en
utilisant trois clés différentes (une pour l'authentification, une
pour la signature et une pour le chiffrement). La clé de chiffrement
doit faire l'objet d'un sequestre (la passphrase doit être consignée
quelque part pour pouvoir être connue si nécessaire par d'autres
personnes de l'entreprise). Par contre, la clé de signature ne doit
pas être séquestrée. Seul le détenteur de la clé doit connaître la
passphrase. Quant à la clé d'authentification, selon l'usage qui en
fait, elle peut ou non être séquestrée.

Mais ceci ne résout pas tous les problèmes : l'utilisateur peut,
sciemment ou pas, utiliser une clé à mauvais essient. Un employé peut
produire une clé de signature dans laquelle il déclare être quelqu'un
d'autre (au hasard, un autre employé à qui il veut nuire). Pour lutter
contre ces abus et maladresses, il faut mettre en oeuvre une entité
chargée de vérifier l'identité des personnes (et de s'en porter
garante dans le futur), d'adjoindre à chaque clé une carte d'identité
électronique signée par elle (nommons l'ensemble « certificat »),
indiquant le propriétaire de la clé et les usages autorisés pour cette
clé (par exemple, un certificat annoncera que la clé qu'il contient ne
peut être utilisée que pour la signature de document). Finalement, il
ne reste plus qu'à mettre en ligne un annuaire LDAP pour fournir à
tout un chacun les certificats de l'ensemble des employés (ce qui
permet de vérifier l'identité de ses correspondants ou de leur
adresser des courriers chiffrés qu'eux seuls pourront déchiffrer).

Le type d'architecture et de politique de sécurité que je décris
schématiquement ici s'appelle une PKI (Public Key Infrastructure) ou,
en français, une Infrastructure à Clé Publique. Il existe plusieurs
projets de PKI libres, plus ou moins aboutis, conformes au RFC et
déployés. Le meilleur à ma connaissance est IDX-PKI :

http://idx-pki.idealx.org/

A++, Sébastien

-- 
Sébastien Dinot, sdinot@april.orgSecrétaire de l'APRIL (http://www.april.org)
Association pour la Promotion et la Recherche en Informatique Libre

--------------------------------------------------------------------
Les listes de diffusion occultes: <URL:http://www.CULTe.org/listes/>

Cette page fait partie des archives des listes de diffusion de l'association CULTe.

A l'intention des mechants robots qui parcourent notre site a la recherche d'adresses electroniques a cibler avec des pourriels, voici une liste d'adresses pourries.