Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Certificats numériques : engouement et égarements

auteur de l'article Jerome Saiz , dans la rubrique Produits & Technologies

Les start-ups françaises de la sécurité aiment toujours autant le certificat numérique et ses applications de base (signature, authentification forte). Au risque de rater le train de l’innovation.

Après avoir étudié une douzaine de dossiers de jeunes pousses françaises de la sécurité dans le cadre d’un concours d’innovation dont SecurityVibes est membre du jury, on ne peut que constater l’engouement des startups hexagonales pour le certificat numérique : sur douze dossiers, sept proposent une solution à base de certificat numérique pour la signature ou l’authentification.

Deux approches sortent du lot : du côté de la signature, c’est la dématérialisation – ou le lien fort et probant entre exemplaire papier et numérique du même document – qui semble à l’ordre du jour. Du côté de l’authentification, c’est bien entendu le graal d’une authentification forte grand public simple à déployer et surtout peu coûteuse qui motive les troupes.

Mais toutes ces propositions laissent en définitive un arrière goût de déjà vu. Avec candeur certains dossiers mettent même en avant leur ambition de devenir opérateur de confiance. D’autres veulent réinventer le DRM grâce à un format et un lecteur propriétaires. Très peu semblent avoir conscience d’évoluer dans un éco-système existant, dans lequel des services similaires existent depuis un bon moment (sans toujours vraiment décoller) et dans lequel il leur sera difficile, sinon impossible, de changer les habitudes. Et aucune ne se pose la question de la banalisation en cours des fonctions de chiffrement et de signature.

A qui la faute ? C’est que la France aime cette belle invention qu’est le certificat numérique ! Ce dernier est notamment poussé depuis plusieurs années par le gouvernement dans le cadre de l’e-administration et il est probable qu’aux yeux de bien des entrepreneurs français la perspective d’une part du gâteau e-administratif est terriblement alléchante. D’ailleurs on nous l’a promis : « tous les français auront à terme leur certificat numérique », non ? Il faudra donc authentifier et faire signer tout ce petit peuple, sans oublier de lui permettre d’archiver ses documents électroniques les plus précieux.

Mais c’est là certainement un égarement. D’abord parce que le fameux certificat (LE certificat) tout le monde l’attend, et on risque de patienter encore longtemps. Il n’y a en effet encore aucun certificat « universel », et encore moins de carte d’identité électronique. Et même si cela doit être un jour le cas, sa génération et sa gestion échappera probablement aux start-ups actuelles. Sans oublier qu’il n’y aura probablement pas un seul certificat à tout faire tant le partage des responsabilités en cas de fraude sur un certificat partagé est un problème auquel personne ne veut avoir à faire face.

De l’archivage sécurisé, alors ? Bien franchement, personne n’a envie de s’embêter avec ça chez les particuliers : gageons que les milliers de factures électroniques et autres relevés de compte désormais proposés par les opérateurs télécoms et les banques en ligne s’empilent (non signés) dans les boîtes Hotmail ou Free de leurs abonnés et disparaîtront au premier reformatage.

Du côté de l’authentification forte, même combat : imaginer qu’un particulier, utilisateur assidu ou non d’internet, aille créer son identité unique, conserver précieusement son certificat pour le débloquer à la demande lors de ses achats en ligne, relève du voeu pieu. Oui, les OpenID et autres initiatives du même acabit sont de bonnes idées et vont dans le bon sens. Mais elles demeurent minoritaires parce que, justement, elles sont contraignantes, diverses, et en définitive pas si nécessaires que ça aux yeux de l’internaute dit lambda. Et pourtant, elles sont largement plus simples à mettre en oeuvre que la plupart des solutions innovantes proposées par bien des start-ups qui pensent avoir réglé le problème…

Les entreprises ? Le marché de la dématérialisation existe bien, et il suffit de se rendre sur le salon Démat’Expo pour s’en convaincre. Mais l’on y verra alors aussi que les poids-lourds de la GED sont bien enracinés dans le domaine et ont pour l’essentiel noués tous les partenariats nécessaires. Y créer une révolution franco-française « à soi tout seul » relève certainement d’une naïveté à toute épreuve. Au mieux est-il possible d’espérer offrir une brique utile à intégrer dans un processus de GED.

Les choses sont probablement un peu plus simple du côté de l’authentification forte, où il est peut-être envisageable d’occuper une niche. Mais sorti de cette dernière la lutte sera rude s’il faut nager dans le grand bain des fournisseurs historiques de solution d’authentification forte tout en ayant l’air crédible. Et c’est d’ailleurs là un problème commun à tous les marchés en voie de banalisation : fournir la brique de base n’est plus le rôle de l’artisan mais celui de l’industriel.

Pour autant, certains des projets étudiés sortent du lot. Leur point commun ? Avoir conscience de ce fameux éco-système et préférer s’y intégrer plutôt que de se développer en parallèle dans l’espoir d’une hypothétique révolution. Car tout est loin d’être bon, simple et efficace dans l’existant. Les projets les plus viables que nous avons pu observer l’ont parfaitement compris et cherchent plutôt à faciliter la gestion de l’existant, et notamment à profiter d’un manque d’articulation entre la technique et les métiers afin de proposer des moteurs de workflows, par exemple. Du côté de la technique, ces projets n’inventent rien et l’assument entièrement : ils préfèrent s’appuyer sur des PKI, des annuaires ou des solutions majeures existantes plutôt que d’imposer leur propre solution. Tous laissent ainsi notamment la génération du certificat, sa gestion et les opérations de chiffrement et de signature à des solutions existantes qui font ça très bien et souvent pour moins cher.

Les révolutions du marché sont bien entendu toujours possible, et c’est heureux. Mais elles demeurent, par nature, rares et imprévisibles. Tabler sur « une révolution ou rien » est un pari hasardeux que bien des créateurs des jeunes pousses étudiées ne semblent pas même conscient de faire.

Alors oui, il faudra certes un jour trouver une solution au capharnaüm des méthodes d’authentification forte. Mais il n’existe certainement pas une solution unique à l’équation « simplicité / coût / robustesse / déploiement » du problème, mais plutôt des « dosages » différents de ces divers ingrédients en fonction du contexte. La solution idéale fournira alors finalement peut-être tout simplement un contrôle sur ce dosage, tout en mutualisant les ingrédients communs qui ont déjà fait leur preuve. Et puis la rupture apportée par le Cloud Computing y participera en outre certainement : d’une part en jouant le rôle de l’aiguillon face à la nécessité et d’autre part en apportant une centralisation (des données, des référentiels…) qui facilitera les choses. Hors, très peu des dossiers étudiés ici mentionnaient ne serait-ce qu’une ouverture vers le nuage. Hélas.

Bien entendu, tout ceci ne prédit pas l’échec aux jeunes pousses en question. Après tout il n’est pas nécessaire d’être à l’origine d’une vraie révolution du marché pour réussir ! Il est parfaitement possible de vivre correctement en fournissant une solution un peu innovante, sur une niche (sectorielle, par exemple).

Cependant peu de dossiers ont cette ambition. Les scénarios de sortie sont, très majoritairement, orientés vers le rachat par un grand éditeur. En clair, nos start-ups françaises ont pour ambition de terminer leur vie sous la forme d’une fonctionnalité au sein d’une solution d’envergure existante.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

3 réponses à Certificats numériques : engouement et égarements

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.