Beginn Inhaltsbereich

Beginn Navigator

Ende Navigator



Projets Admin PKI au sein de l'Administration fédérale

Pfi/Kla - Dans le cadre de la transmission électronique traditionnelle des données, la sécurité ne couvre pas tous les aspects. Celui pour qui la confidentialité, l'intégrité et l'authenticité des données est primordiale lors du transfert électronique doit faire appel à une solution supplémentaire qui satisfait les exigences en matière de sécurité. L'infrastructure Admin PKI (Public Key Infrastructure) de l'OFIT occupe depuis longtemps avec succès une position privilégiée pour ce type d'applications.

Composée d'une multitude d'éléments et d'applications, PKI propose une solution pour la gestion des clés et certificats cryptographiques (pour en savoir plus sur PKI et les signatures numériques, voir pages 6 et 7 dans cette édition de l'Eisbrecher et sous http://doku.bit.admin.ch/digitale_signatur.htm). Avec Admin PKI, l'OFIT offre une solution qui permet d'utiliser de nombreuses applications grâce à son infrastructure de base reposant sur une technologie de sécurité.

Divers projets PKI sont actuellement mis en place au sein de l'Administration fédérale. En voici un aperçu:

DFJP: Appelé portail «Single-Sign-On» (SSO-Portal, auparavant portail DFJP), Admin PKI est introduit dans l'ensemble du Département fédéral de justice et police. Sa mise en place définitive est prévue pour la fin 2004 et son objectif est de rendre les applications existantes plus sûres. Le cercle des clients est constitué par environ 2 500 collaborateurs et collaboratrices de l'Administration fédérale et de quelque 15 000 utilisateurs et utilisatrices cantonaux.

DFAE: Maintenant que le produit «Admin Secure Messaging» de l'OFIT basé sur Admin PKI a été lancé avec succès auprès de l'OFIT et de l'AFC, un projet pilote prévoit son utilisation au sein du Département fédéral des affaires étrangères. Ce projet se trouve actuellement dans sa phase de planification et concerne 21 personnes.

Pare-feu, BV-KTV: L'objectif de ce projet est de sécuriser les interconnexions au niveau du pare-feu KTV entre le réseau cantonal (KomBV-KTV) et le réseau de l'Administration fédérale. Tous les accès des cantons qui concernent des applications situées au sein du réseau de l'AF sont soumis à des procédures d'authentification sévères. A l'heure actuelle, le projet est en cours d'introduction et concerne environ 10 000 utilisateurs et utilisatrices.

Droit électronique de timbre de négociation (E-Umsatzabgabe) & Secude: Pour en savoir plus, veuillez lire les articles en pages 6 et 8.

Décision du CI:
Le 1er décembre 2003, le Conseil informatique de la Confédération (CI) a confirmé le soutien qu'il avait promis en août 2003 et s'est prononcé en faveur d'une PKI commune à la confédération et aux cantons. Il a avalisé une proposition de l'OFIT selon laquelle, à l'avenir, les cantons pourraient disposer des mêmes prestations de l'OFIT en matière de certificats d'authentification que celles dont disposent actuellement les utilisateurs de prestations de l'administration fédérale. Les cantons participeront aux frais d'investissement nécessaires.

Grâce à l'utilisation de l'infrastructure Admin PKI pour la remise de certificats de classe 3 aux cantons, il est possible d'exploiter les synergies et de tirer parti d'avantages économiques. A moyen terme, cette approche prometteuse conduira à des prix plus bas pour les utilisateurs de prestations de l'Administration fédérale. De plus, on espère garantir une sécurité plus élevée grâce à l'homogénéisation des certificats ainsi que des frais réduits lors de la mise en œuvre des critères de sécurité pour les applications G2G (Government to Government).


Classes de certificats – définition et catégories

Un certificat numérique est une preuve digne de confiance pour l'appartenance d'une paire de clés cryptographiques à une personne. Une telle paire de clés se compose d'une clé privée (secrète) et d'une clé publique. Ensemble, tout comme le certificat, elles font en sorte que l'utilisateur puisse être identifié et authentifié de manière claire et unique. Lorsqu'il envoie un message électronique unique confidentiel, l'expéditeur peut utiliser la clé publique du destinataire pour s'assurer que seule la personne autorisée ait accès au contenu du message – elle seule en en possession de la clé privée correspondante (voir liens dans encadré).

Afin que la fiabilité soit assurée, il faut que l'identité du détenteur de la clé soit vérifiée lors de la création du certificat. Ce contrôle peut être soit superficiel, soit très approfondi. Le type de contrôle d'identité définit la catégorie du certificat. Cette dernière, quant à elle, détermine la fiabilité du certificat et a une influence sur les coûts de création ou d'édition.

Class 1
Les certificats de catégorie 1 (Class 1) «identifient» simplement le détenteur de la clé cryptographique et s'assurent qu'il est en droit d'utiliser une adresse électronique pour envoyer ou recevoir des messages. Un certificat Class 1 ne permet quasiment pas découvrir la véritable identité de l'utilisateur. L'OFIT ne délivre aucun certificat de cette catégorie.

Class 2
Les certificats de catégorie 2 (Class 2) garantissent uniquement qu'un responsable d'application connu de l'OFIT a donné son accord pour établir le certificat. Le responsable d'application dispose uniquement des coordonnées notées par l'utilisateur lui-même pour pouvoir l'identifier. Les certificats Class 2 ne garantissent donc pas que ces coordonnées soient véridiques. Les clés cryptographiques de la catégorie 2 sont enregistrées dans un fichier. Il n'y a en fait pas de véritable garantie que celles-ci ne soient pas copiées ou modifiées par l'utilisateur lui-même ou un tiers. L'OFIT fournit des certificats de catégorie 2 pour l'authentification au niveau du pare-feu, pour les accès SSL ou la passerelle SSH.

Class 3
Pour les certificats de catégorie 3 (Class 3), il faut qu'une personne s'identifie personnellement à l'aide de son passeport ou de sa carte d'identité auprès de l'office d'enregistrement local d'Admin PKI. De plus, ces clés cryptographiques sont enregistrées sur une carte à puce (Smartcard) personnelle. Ces clés peuvent uniquement s'utiliser avec le processeur (puce) de la carte. Elles exigent la détention d'une carte à puce ainsi que la connaissance du PIN. Les clés cryptographiques de la catégorie 3 ne peuvent pas être lues ni copiées, ni par l'utilisateur, ni par des tiers. Si l'utilisateur perd sa carte à puce, il doit l'annoncer. Son certificat est alors bloqué. Les certificats de catégorie 3 sur les cartes à puce ou d'autres médias analogues, tels que les USB Crypto Keys, offrent une infrastructure de base solide en matière de sécurité pour créer les fonctions de sécurité de toutes les applications de l'Administration fédérale et des cantons.
Zurück zur Übersicht Thèmes principaux - Eisbrecher No. 09

Zuletzt aktualisiert am: 09.01.2004

Ende Inhaltsbereich



http://www.bit.admin.ch/dokumentation/00090/00156/00170/00171/index.html?lang=de