Protéger les documents électroniques avec les Solutions Adobe

Transcription

1 LIVRE BLANC Protéger les documents électroniques avec les Solutions Adobe Sécuriser, contrôler et fiabiliser les échanges électroniques TABLE DES MATIÈRES 2 Introduction L étendue du sujet de la sécurité La confiance et l économie numérique 4 La sécurité du document Bien placer le curseur de la sécurité La sécurité des échanges documentaires 6 Principes de la sécurité du document Cryptage et services associés Comprendre le cryptage Comprendre la signature électronique et le contrôle de l intégrité du document Cryptage et Authentification Les certificats numériques Comment exploiter des certificats avec Adobe Acrobat? 19 Sécuriser les échanges avec Adobe Acrobat Comment standardiser sur un format d échange sécurisé? Adobe Acrobat et le contrôle du document Adobe Acrobat et les signatures digitales 29 Le cadre juridique de la signature électronique en France Avec les contributions de Dictao et de Mascré Heguy Associés

2 Introduction La sécurité des transactions et des informations : un enjeu croissant La montée en puissance de l Internet et des réseaux a révolutionné la manière dont les échanges informationnels se font dans l entreprise comme à l extérieur de celle-ci. Ce nouveau canal de communication, a en quelques années pris une place prépondérante dans nos vies grâce à sa rapidité, à sa fiabilité et à son coût qui sont sans équivalent par ailleurs. La quantité de documents qui circulent par son canal est devenue gigantesque, et l on peut par exemple voir que la messagerie a tendance à devenir le canal de transmission de toute l information de valeur pour l entreprise : la stratégie, les informations marketing, les études concurrentielles, les états financiers et budgétaires, les propositions commerciales, etc. Les relations commerciales de la plupart des entreprises et l économie au sens large sont dépendantes du bon fonctionnement de ce canal de communication. Aujourd hui, un arrêt du système de messagerie est synonyme d un arrêt de la plupart des communications, que ce soit dans l entreprise ou vis-à-vis de ses partenaires. En parallèle, le piratage, le hacking et la malveillance informatique en général s est développée à un tout nouveau niveau. Les documents écrits, source traditionnelle d information des espions industriels peuvent maintenant être expédiés au bout du monde en l espace de quelques secondes. Le pirate qui veut connaître quelque chose sur une entreprise n a plus besoin d essayer de s introduire dans le bâtiment, ou de mettre sur écoute la ligne téléphonique de son concurrent. Il peut tranquillement agir à distance à partir d un pays dans lequel la législation est beaucoup plus tolérante tout en obtenant beaucoup plus d information La sécurité est progressivement devenue un sujet de préoccupation majeure des entreprises. Les anciennes règles, telles que la surveillance des visiteurs, les destructeurs de documents, l interdiction d accès aux sites informatiques, etc. deviennent totalement insuffisants face à la montée du monde digital, à son interconnexion et à sa miniaturisation. Un document confidentiel peut partir sur le réseau en quelques microsecondes ; une clé USB peut stocker la base de données de prospection ou stocker quelques centaines de documents secrets L étendue des éléments informatiques sensibles à protéger s est considérablement développée : il y a quelques années, le fichier client, les bases de données commerciales et techniques étaient la cible privilégiée des fouineurs en tous genre ; aujourd hui il devient vital d étendre ce périmètre à toutes les données digitales documentaires : les s, les documents textes ou les tableaux de calculs peuvent être porteurs d informations confidentielles et doivent être protégés. Il peut s agir d un mémo de la direction générale concernant une future acquisition, un audit des vulnérabilités du système informatique, ou un rapport stratégique. Les problèmes sont connus, et il serait faux de croire que les solutions n existent pas. Le plus souvent, c est le manque de connaissances et de réflexes élémentaires de sécurité qui rend les violations aisées. Ce document a pour objectif de vous faire comprendre le sujet de la sécurité informatique, et de vous faire découvrir comment Adobe vous apporte fiabilité et sécurité en matière d échanges documentaires. 2

3 L étendue du sujet de la sécurité L objectif de la sécurité est assez simple à définir : «ne laisser à chacun que l accès aux ressources auxquelles il a droit afin d y faire ce qui lui est autorisé». Mais la déclinaison de cette simple affirmation peut donner lieu à de vastes champs d application : les systèmes anti-intrusion (firewall), les réseaux privés virtuels (VPN) qui permettent de crypter automatiquement les informations circulant entre 2 réseaux via Internet, les anti-virus, les logiciels anti-espions (antispyware), le cryptage, la signature électronique, etc. Notre document ne cherche pas à être exhaustif mais se focalise sur un aspect de la sécurité : la sécurité du document. Comment ne laisser à chacun que l accès aux documents auxquels il a le droit afin de faire ce qui lui est autorisé? Pour bien comprendre ce que cela signifie, commençons par décrire ce qu est un document. Un document, d après le dictionnaire est «un écrit servant de preuve ou de renseignement» (Le Petit Robert). Et depuis la loi du 13 mars 2000, en France, la notion d écrit est indépendante du type de support. Ainsi un écrit numérique a la même valeur juridique qu un écrit papier. Techniquement, un document est une pièce porteuse d information découplée du système informatique central : il peut être déplacé, stocké, ou transmis de personne en personne. Parler de la sécurité du document consiste donc à exposer les problèmes et solutions attachés à la vie d un document devenu autonome sur lequel des interventions humaines peuvent avoir lieu, comme celle qui consiste à faire suivre une note stratégique à un concurrent La confiance et l économie numérique La sécurisation des échanges documentaires est un sujet très important car il permet d instaurer la confiance : L information que je reçois est elle digne de confiance? Le document que j ai reçu n est il pas tombé entre des mains indélicates? N a-t-il pas été altéré par un tiers? L expéditeur est-il bien celui que je crois? Que penser par exemple du cas de cette société qui a envoyé un d annonce de résultats aux analystes de la presse financière et qu un indélicat avait discrètement modifié, changeant le résultat positif en un résultat négatif? Ces violations de sécurité sont aujourd hui quotidiennes autour de nous. Mais elles sont faciles à éviter, avec un peu connaissance, un peu d organisation et des logiciels adaptés. 3

4 La sécurité du document Lorsque l on évoque la sécurité, le sujet apparaît immédiatement très complexe. En effet, peu d ouvrages techniques l ont réellement rendue abordable. Néanmoins, il peut être compris par chacun d entre nous. Pour cela, voyons au préalable d où vient sa complexité : Nous avons affaire à un monde de spécialistes dans lequel le jargon technique est incompréhensible pour les non initiés. Le sujet de la sécurité est extrêmement vaste et il regroupe des sujets aussi vastes que la protection des infrastructures et des systèmes (locaux, matériels, réseau, disques durs), la protection des échanges (VPN, cryptage) ou la protection des données et des documents (virus, altération, perte d information). Les compétences d un spécialiste sécurité doivent évoluer en permanence, car il doit sans cesse se former et s informer, être au courant des nouveaux types d attaques inventées, aussi bien que des faiblesses des systèmes. La résolution des problèmes de confidentialité est basée sur des algorithmes de cryptage utilisant des mathématiques avancées. Le domaine de la sécurité est souvent encadré par des lois et règlementations destinées d une part à limiter l usage du cryptage, et d autre part à préciser la valeur de la signature électronique. Néanmoins, si le sujet de la sécurité est complexe, sa mise en œuvre est souvent plus simple qu il n y parait. Nous sommes dans une logique similaire à celle d une alarme ou d une serrure de sûreté : un tel système est bien plus compliqué à concevoir qu à utiliser au quotidien. Bien placer le curseur de la sécurité La sécurité ne se mesure pas en termes de tout ou rien. C est une valeur relative : on met plus ou moins de sécurité. Et comme dans toute chose, la bonne solution ne consiste ni à ne rien faire, ni à aller trop loin, mais à trouver la bonne mesure. Comme dans le domaine de la sécurité des biens et des personnes, elle doit être proportionnée au risque réellement encouru. La sécurité est d abord un équilibre. L attaque ayant toujours lieu sur le point le plus faible de la chaîne, il ne sert à rien de renforcer un maillon solide s il subsiste des points peu sécurisés. Et soyons réaliste : il est aujourd hui bien plus simple et à la portée d un bien plus grand nombre de personnes de recopier une signature manuscrite que de casser une signature électronique! Que valent les certificats (cartes d identité numériques) de cette société qui base son système d authentification sur une infrastructure dite de «clés publiques», mais ne surveille pas si son administrateur a la possibilité de délivrer un certificat à qui il veut La sécurité a un coût, et elle doit être par conséquent proportionnée au risque encouru : tout comme une entreprise peut protéger ses locaux à différents niveaux pour différents budgets (mettre une simple alarme, être reliée à un central de surveillance, embaucher un vigile, etc.) une infrastructure informatique peut être plus ou moins protégée. Une règle de bon sens consiste à évaluer qu un agresseur est capable «d investir» environ 10% du gain potentiel. Le budget sécurité à mettre en place pour un système de notes de frais électroniques pourra probablement rester très faible : Les sommes à gagner sont mineures alors que le risque encouru par celui qui fraude est important. Par contre pour le PMU ou le loto, le cas est différent : Il suffit pour gagner le gros lot de réussir à introduire un pari anti daté après la date de clôture. Il est probable que la mafia ou des organisations terroristes pourraient investir le budget nécessaire pour essayer craquer le système. 4

5 Il existe aussi un rapport entre la quantité de sécurité mise en place et la pénibilité d utilisation. Non seulement, plus c est sécurisé, plus c est cher, mais plus c est sécurisé, plus c est complexe à faire vivre et à utiliser. C est comme une personne qui installe une alarme et deux serrures sur chacune des deux portes blindées de son domicile : lorsqu elle sortira, fermera-t-elle toujours ses quatre serrures à clé et mettra-t-elle toujours l alarme pour aller chercher du pain? Prenons l exemple de cette banque d affaires qui a décidé d augmenter son niveau de sécurité : les nouveaux mots de passe ne sont plus valables que 40 jours ; ils doivent maintenant comporter au moins 10 caractères mélangeant majuscules, minuscules et chiffres. Que voit-on une fois cette politique de sécurité mise en place? Les mots de passe autrefois mémorisés par les gens se trouvent dans la majorité des agendas des collaborateurs, quand ils ne figurent pas sur des post-its collés aux écrans! Retenons donc qu il existe quelques règles de bon sens qui s appliquent dans le domaine de la sécurité : La sécurité mise en place doit s interroger sur l existence de «maillons» faibles. La sécurité mise en place doit être proportionnée au risque encouru. Trop de sécurité nuit à la sécurité. Il est clair que tout outil qui offre des fonctions de sécurité faciles à mettre en place contribue au réflexe de sécurité qu il faut aujourd hui avoir. La sécurité des échanges documentaires Dans ce vaste domaine de la sécurité, celle du document revêt en soi un aspect tout particulier. Comme nous l avons précédemment vu, un document est découplé du système informatique. Se reposer sur la sécurité du réseau ou des serveurs pour créer un périmètre protégé est donc insuffisant, car un jour ou l autre le document pourra sortir de ce périmètre, que ce soit par une clé USB, une disquette ou qu il ait été expédié par . Contrairement à l information résidant sur les systèmes transactionnels, la durée de vie et la diffusion d un document expédié sont difficilement prévisibles. Un document initialement envoyé à un individu peut se retrouver sur de multiples systèmes : tel document aura été envoyé à un tiers pour relecture, tel autre document aura été réexpédié sur son propre mail personnel pour le revoir le week-end, etc. Au bout de quelques mois, sur combien de systèmes le document initial va-t-il se retrouver? Ceux-ci sont-ils tous dans le périmètre protégé? Ont-ils transité temporairement par Internet ou sont ils toujours restés sur un réseau privé? Quelqu un a-t-il pu discrètement changer le document initial? Ce problème est bien connu de certains écrivains de pays moins démocratiques que le notre dans lesquels la censure est de vigueur : si le document électronique n est pas sécurisé, changer quelques mots ou quelques paragraphes par-ci, par-là dans l ouvrage d origine est très simple. Savoir ensuite quel était le «vrai original» devient bien plus complexe, surtout s il faut le prouver devant un tribunal. Ainsi l écrivain peut-il se retrouver en prison pour des écrits dont il n est même pas l auteur! Ainsi raisonner en termes de protection des infrastructures est incomplet dès qu il s agit du monde documentaire. Aujourd hui un document numérique doit être porteur de sa propre sécurité. En ce sens, le document devient «actif» ou «intelligent». Il ne se laisse ni lire ni imprimer par n importe qui. 5

6 Principes de la sécurité du document Aspects théoriques de la cryptographie La sécurité du document s intéresse aux différents moyens permettant de garantir que l échange documentaire pourra se faire en toute confiance même dans un environnement réseau non sécurisé, comme dans le cas de l Internet. Ces besoins sont propres à chaque acteur de l échange. L émetteur s attend à ce que seules les personnes autorisées puissent prendre connaissance du document. Il s attend aussi à ce qu elles ne puissent faire que ce qui aura été décidé, comme en prendre connaissance sans le modifier ni l imprimer, afin d éviter des «fuites». Le destinataire s attend à ce que le document reçu soit intègre, c est-à-dire qu il n ait subit aucune transformation ou modification lors du transport. Il s attend aussi à ce qu il provienne bien de l émetteur supposé, et non d un pirate qui se ferait passer pour l émetteur. En outre, un document pouvant avoir plusieurs contributeurs légitimes, cette problématique Emetteur(s)/Destinataire(s) se démultiplie, comme dans le cas de processus documentaires ou de formulaires électroniques. Les technologies qui permettent cela sont les suivantes : 1. Pour que seuls les destinataires autorisés puissent prendre connaissance du document, il faut le crypter. 2. Pour éviter qu ils ne le modifient ou l impriment, il faut mettre des droits sur le document. 3. Pour que le destinataire soit certain de l identité de l émetteur, il faut un système de signature électronique. 4. Enfin pour que l on soit certain que le document reçu est bien conforme au document expédié, la signature électronique sera encore utilisée. Les besoins de confiance sont des besoins classiques du monde documentaire, et la technologie a déjà apporté des réponses. Elles sont connues et largement employées dans tous les systèmes sécurisés, qu il s agisse de documents sécurisés, de télé déclarations de TVA ou d impôts, ou encore de transactions inter entreprises. Ce chapitre a comme objectif de démystifier la théorie du cryptage et du décryptage. Cryptage et services associés On pourrait penser que l objectif du cryptage est uniquement de permettre la confidentialité des échanges. En fait le cryptage, utilisé de diverses manières et dans divers cas de figure, offre beaucoup de services : Il permet évidemment la confidentialité des échanges. Il permet l authentification des auteurs. On appelle authentification l identification d une personne garantie par autre chose que le simple nom et mot de passe qui peuvent facilement être connus de tiers. Dans la vie courante, on pourrait dire que l on s identifie lorsque l on donne son nom et son prénom, mais que l on s authentifie lorsque l on donne son nom et son prénom et qu on l accompagne d une présentation de sa carte nationale d identité. Il permet de contrôler l intégrité du document. La technologie du cryptage peut être utilisée afin d alerter le lecteur si un document qu il lit a été modifié de manière non autorisée. Enfin il permet la signature électronique, équivalent électronique de la signature manuscrite. Nous allons en détailler le fonctionnement technique. 6

7 Comprendre le cryptage Crypter, consiste à prendre un document lisible, et grâce à un ensemble d opérations basées sur des algorithmes mathématiques, à rendre son contenu illisible pour celui qui n a pas la clé pour le décrypter. Ce besoin et cette technologie existent depuis des siècles. Mais deux choses ont changé dans les 20 dernières années. La complexité du cryptage a évolué Les algorithmes de cryptage ont évolué afin de rendre le cryptage bien plus résistant. En effet, il y a fort à parier que grâce la puissance de calcul des ordinateurs actuels, les vieux codes utilisés par les armées lors de la seconde guerre mondiale seraient décryptées en quelques secondes, voire moins Cette discipline a évolué en recherchant des algorithmes mathématiques de plus en plus complexe pour rendre les messages codés de plus en plus difficiles à casser. Ensuite, toujours grâce aux ordinateurs, les longueurs des clés de codage ont pu être considérablement allongées, la limite étant généralement imposée par l usage d une part, et par des règles imposées par les gouvernements d autre part, pour éviter que des systèmes totalement hermétiques ne soient utilisés pour cacher des activités peu recommandables. Dans ce monde, les algorithmes sont connus et même publics (il existe les cryptages DES, 3DES, RSA, etc.). On sait que ce sont des algorithmes pour lesquels il n existe aucune manière connue de reconstituer un document original d après sa version cryptée. Ceux qui veulent casser le système doivent alors utiliser la force brute, c est-à-dire toutes les combinaisons possibles de clé jusqu à en trouver une qui marche. La protection contre la force brute est la longueur de la clé : plus elle est longue, plus il y a de combinaisons à tester. Ainsi, la «résistance» qu a un document crypté est fonction de la complexité de l algorithme utilisé et de la longueur de sa clef. Une clé de 40 bits représente combinaisons, soit environ 1000 milliards de combinaisons possible. S il fallait, par exemple, 1 seconde pour «casser» une clé de 40 bits 1 sur un ordinateur donné, il faudrait prévoir 2 secondes pour une clé de 41 bits sur le même ordinateur, 4 secondes pour 42 bits, 8 secondes pour 43 bits et ainsi de suite jusqu à secondes pour une clé de 64 bits, soit un peu plus de 6 mois. Si l on continue encore, on voit qu il faudrait années pour 128 bits! Or aujourd hui la majorité des algorithmes utilisent des clés comprises entre 128 et 2048 bits, ce qui nous laisse une certaine marge de manœuvre, même lorsque l on sait que la vitesse des processeurs double approximativement tous les 18 mois. Le cryptage asymétrique a été développé Le cryptage classique, même s il peut être très résistant, a 2 faiblesses : Tout d abord il est symétrique, c est-à-dire que la même clé sert à coder et à décoder, ce qui présente un risque : une clé volée est le sésame qui permet non seulement de lire le trafic crypté, mais aussi de faire de faux messages. Comme chaque destinataire d un document a besoin de la clé pour lire le document, celle-ci se trouve entre plusieurs mains. Chaque porteur de la clé est alors une personne qui peut mettre en péril la sécurité de l ensemble de la communauté s il l a mal sécurisée. Un attaquant n a qu à rechercher un porteur de la clé mal protégé et c est la confidentialité de tout le groupe qui est mise en danger. Ensuite un autre problème se pose lorsque le destinataire est loin : comment lui faire parvenir la clé? Il faut un canal sécurisé et donc certainement pas Internet. 1 En fait pour la majorité des algorithmes actuels, on considère qu une clé de 40 bits aurait plutôt tendance à résister entre quelques minutes et quelques heures selon les algorithmes utilisés. 7

8 Enfin ce système devient très complexe à gérer lorsque le nombre d interlocuteurs augmente : prenons un exemple simple d un groupe de 5 personnes que l on appellera A, B, C, D, E qui veulent pouvoir s échanger en toute confidentialité des messages. On pourrait avoir une clé partagée entre les 5 interlocuteurs. Eux seuls pourront coder et décoder les différents messages. Mais si l on veut offrir la possibilité à A d envoyer un message confidentiel à B sans que les autres ne puissent lire, il faudra générer une nouvelle clé juste pour eux. Et idem entre A et C, A et D, A et E, B et C et pourquoi pas encore une autre pour le groupe A, B, C et ainsi de suite. Ce système devient très rapidement ingérable, même avec un ordinateur servant de «porte clés». En 1976 un nouveau système de cryptage basé sur une logique totalement différente a été développé : Il s agit d un cryptage basé sur 2 clés complémentaires : Lorsqu on crypte avec une clef, seule l autre peut permettre de décrypter. Ce chiffrage est appelé chiffrage par bi-clé ou chiffrage asymétrique. Une des clés pourra être distribuée à tous ses correspondants on l appellera la clé publique alors que l autre sera conservée de manière confidentielle on l appellera la clé privée. Clé privée Clé publique Pour envoyer un document confidentiel à une personne, il suffit d avoir au préalable la clé publique du destinataire (clé orange). Celui-ci, seul possesseur de sa clé privée (clé bleu), pourra prendre connaissance du message grâce à elle. Le cryptage devient ciblé, car il ne suffit pas de connaître un mot de passe ; il faut posséder la clé privée qui peut se trouver sur un disque dur, une clé USB ou une carte à puces. 8

9 Texte en chiffrement Texte déchiffrement Texte en clair illisible clair Clé publique du Clé privée du destinataire destinataire Principe du chiffrage par bi-clef L intérêt de ce chiffrage est multiple : - Il limite le nombre de clés qu il faut connaître dans le cadre d un échange électronique : Il suffit d avoir sa propre clé privée et la clé publique de chacun de ses correspondants. - La clé publique n est pas confidentielle. Il n est donc pas difficile de la distribuer. Il faut uniquement s assurer que la clé reçue est bien celle de la personne que l on connaît. Ceci est garanti par des certificats (voir ci après les certificats numériques). - Il permet la signature électronique et garantit l intégrité du document (cf. ci après). - Il permet l authentification de l auteur (cf. ci après). Ses faiblesses sont à deux niveaux : - La résistance du cryptage est moins forte que celle du cryptage symétrique, à longueur de clé égale. Autrement dit, un cryptage 128 bits avec un algorithme symétrique est plus difficile à casser qu un cryptage 128 bit avec un algorithme asymétrique. - Il faut mettre en place une organisation humaine et technique dont l objet est de créer et de distribuer des clés, tout comme on le fait avec des badges d accès d entreprise, car ce système bi-clés est celui sur lequel repose le système des signatures et identités électroniques (cf. ci après les certificats numériques). Comprendre la signature électronique et le contrôle de l intégrité du document D après le Petit Robert, une signature est une «inscription qu une personne fait de son nom (sous une forme particulière et constante) pour affirmer l exactitude, le sincérité d un écrit ou d en assumer la responsabilité». Une signature électronique suit les mêmes objectifs. Techniquement, la signature électronique utilise la cryptographie asymétrique et un système d empreintes électroniques (hash). Une empreinte électronique est une séquence de caractères obtenue suite à une transformation du document d origine. Chaque document a une empreinte différente. Elle est similaire à une empreinte digitale : petite, unique et différente pour chaque document. 9

10 Lorsque l on signe électroniquement un document, le processus suivant se met en œuvre : 1. Le système calcule tout d abord l empreinte correspondant au document. 2. Cette empreinte est cryptée avec la clé privée de l émetteur. Elle sera donc décryptable par tout possesseur de la clé publique, accessible à tous. 3. Le document est envoyé en en clair, accompagné de son empreinte cryptée. Lorsque le destinataire reçoit le document, son ordinateur effectue les opérations suivantes : 1. Grâce à la clé publique de l émetteur, il décrypte l empreinte. 2. Le système calcule alors l empreinte du document reçu, et vérifie si elle correspond à l empreinte décryptée. Si les empreintes ne correspondent pas c est que, soit elles ont été cryptées par des clés qui ne correspondent pas (l émetteur n est pas l émetteur supposé), soit le document reçu est différent du document expédié (il a été altéré durant le transport). 3. Si elles correspondent, le document est valide. On sait donc 2 choses : a. Que l émetteur est réellement celui qu il prétend être. b. Que le document n a pas été modifié durant le transport. La signature électronique, comme la signature papier permet ainsi de reconnaître qui a signé ; Mais elle permet aussi de garantir que le document signé est bien celui qui a été expédié. On peut dire qu elle garantit l intégrité du document, ou que le document reçu est «certifié conforme» par rapport à l original expédié. 10

11 Cryptage et Authentification En informatique, l authentification est un système de reconnaissance des utilisateurs par une technique plus sûre que celle d un simple nom et mot de passe. Voyons comment un système de bi-clé permet l authentification : lors de la connexion, un système émetteur pourrait envoyer un texte aléatoire à un système destinataire en lui demandant de le lui retourner chiffré avec sa clé privée. L émetteur n aurait plus qu à déchiffrer la réponse avec la clé publique ; s il correspond bien à l original envoyé on aura ainsi authentifié son correspondant. Authentification Crypte moi ceci : Les sanglots longs des violons de l automne Envoi Les sanglots longs des violons de l automne Dsfi&89çuHV@rtQFgf Gh45kBzuifRT553çdF7 fkbb095kl Envoi Clé privée Dsfi&89çuHV@rtQFgf Gh45kBzuifRT553çdF7 fkbb095kl Clé publique Les sanglots longs des violons de l automne Ainsi on est assuré de l identité de son correspondant. 11

12 Les certificats numériques Le système ci-dessus devient alors aussi fiable que celui du passeport ou de la carte d identité ; il en porte aussi les mêmes limites, c est-à-dire qu il doit être difficile de faire des fausses cartes. Dans le monde des bi clés, il faut pouvoir s assurer que la clé publique reçue est bien celle de la personne que l on connaît. Ceci se fait grâce aux certificats : Dans la vie courante, un certificat papier est un document qui émane d une autorité compétente et atteste un fait ou un droit. En informatique, un certificat numérique est un document électronique délivré par une autorité de certification, qui garantit l authenticité de la clé publique. Il comprend l identité du détenteur de la clé publique, la clé publique elle-même et la date d expiration de la clé. Lorsque l on reçoit une clé publique, la lecture de son certificat permet ainsi de savoir à qui correspond la clé, et quelle est l autorité qui garantit qu elle correspond bien à cette personne. Dans la vie courante, comment peut-on savoir que la signature que l on voit est celle d un certain monsieur Duval? Tout dépend du degré de sécurité exigé. Si l on connaît monsieur Duval et qu on le voit signer devant soi, c est généralement suffisant pour dire que c est bien la signature de monsieur Duval. Supposons maintenant que monsieur Duval soit employé dans un grand magasin et qu il désire faire un achat personnel. Il passe à la caisse et veut payer par chèque. Etant donné qu il y a un risque financier, on va vouloir s assurer que la signature est bien celle de monsieur Duval. Le plus souvent le badge d employé suffira pour certifier l identité, car l on fait suffisamment confiance au badge d employé dans l entreprise pour justifier des identités. Si maintenant monsieur Duval n est pas un employé mais un client quelconque, on voudra que la signature puisse être validée par un document plus officiel émanant d un organisme dont on a confiance : le plus souvent, la carte d identité ou le passeport. Dans le monde numérique tout comme dans la vie courante, une clé publique peut être certifiée par une autorité plus ou moins officielle. Elle peut être fournie par la personne elle-même, elle peut être délivré par une organisation interne, ou elle peut être fournie par un organisme officiel. Lorsque ce n est pas la personne elle-même qui garantit son identité, le tiers qui la garantit s appelle le tiers de confiance. Lorsque l on connaît son interlocuteur et qu il nous donne lui-même son certificat, il est rarement utile d avoir en plus besoin d un tiers qui nous garantisse que le certificat donné est bien le sien. Nous sommes dans le cas de la personne qui signe un papier devant nous et nous dit que c est sa signature. 12

13 Par exemple, on voit que le certificat ci-dessous, délivré à Pierre Paris, a été certifié comme lui appartenant par Pierre Paris lui même. Lorsque l on a effectivement besoin d un tiers qui garantisse l identité, il faut mettre en place une organisation humaine et technique pour créer, distribuer et révoquer les certificats, tout comme il faut une organisation humaine et technique pour délivrer des badges d entreprise ou des cartes d identité : à qui doit-on demander une identité numérique? Quels justificatifs produire? Qui valide que cette personne a le droit d avoir une identité numérique? Etc. Cette organisation humaine et technique s appelle une infrastructure de gestion de clé (IGC) ou Public Key Infrastructure (PKI) en anglais. Lorsqu une entreprise désire déployer des certificats pour valider ses échanges internes, les certificats numériques sont généralement distribués par l entreprise elle-même. Il faut alors mettre en place une infrastructure interne de gestion de clés. C est une fonction habituellement tenue par le service sécurité et le service informatique ensemble. C est l équivalent du badge d entreprise. Dans le cadre de relations plus officielles, comme par exemple avec le fisc ou les services de l état en général, il est habituellement nécessaire d utiliser un certificat émanant d un tiers de confiance officiellement reconnu par l état. C est l équivalent de la carte d identité ou du passeport. Lorsque l on désire utiliser des certificats numériques entre entreprises pour garantir la confiance dans les échanges numériques, deux choix sont possible : On utilise un tiers de confiance externe reconnu par l état (ce qui est rare) soit l on rédige un accord spécifiant les types de certificats que l on reconnaîtra comme valides. C est la convention de preuve. 13

14 Comment exploiter des certificats avec Adobe Acrobat? Adobe Acrobat accepte les certificats provenant de tiers de confiance ; dans le cas où l on veut que des personnes puissent créer elle-même leur propre signature, Adobe Acrobat permet aussi de créer des certificats auto signés. Dans ce cas une infrastructure de gestion de clé n est pas nécessaire. Le processus de création de clés et de certificats est simple. Il peut être fait avec Adobe Acrobat comme avec Adobe Reader. Il consiste en 2 étapes pour celui qui crée la clef et en 2 étapes pour celui qui la reçoit : Le créateur : 1-a. Pierre Paris, premier correspondant se créée sa propre bi-clé (que Adobe Acrobat appelle une Identité numérique) pour pouvoir émettre et recevoir des documents cryptés. 1-b. Pierre Paris exporte sa clé publique vers son correspondant, Marc Daix. Le destinataire : 2-a. Marc Daix importe la clé publique reçue de Pierre Paris. 2-b. Marc Daix déclare le périmètre de confiance de la clef de Pierre Paris (est elle valable pour signer de la part de son auteur, pour garantir l intégrité du document? etc.). 14

15 Examinons cela en détail : 1-a. Pierre Paris, premier correspondant, se créée sa propre bi-clé (que Adobe Acrobat appelle une Identité numérique) pour pouvoir recevoir des documents cryptés. Cette boite de dialogue apparaît. Il suffit de cliquer sur Nouveau fichier d ID numérique. Cette boite de dialogue nous confirme que l identité ne pourra pas être validée par un tiers. Ensuite l identité numérique est créée avec les paramètres ci-dessous. Ce seront les données qui figureront sur le certificat. Comme c est la personne elle-même qui entre ses coordonnées et les informations la concernant, et que ce n est pas un tiers extérieur, on dit que ce certificat est auto signé. 15

16 Notre bi clé ou identité numérique est maintenant créée. 1-b. Pierre Paris exporte sa clé publique pour son correspondant, Marc Daix. Il le fait en affichant son certificat et en cliquant sur le bouton Exporter : Le fichier contenant la clé publique a l extension.fdf. 16

17 Plaçons nous maintenant du coté du destinataire. 2-a. Marc Daix importe la clé publique reçue Pour intégrer la clé publique qu un correspondant lui a fait parvenir, il suffit de double cliquer dessus. La boite de dialogue ci-dessous apparaît : 2-b. Marc Daix déclare le périmètre de confiance de la clef de Pierre Paris (est elle valable pour signer de la part de son auteur? pour garantir l intégrité du document? Etc.). Pour cela il suffit de cocher les cases sur la fenêtre qui suit. Il peut évidemment consulter le certificat correspondant à cette clé en cliquant sur le bouton «Détails du certificat». 17

18 Cette mise en place permet maintenant à Marc Daix d envoyer des documents cryptés à Pierre Paris, car il possède la clé publique de Pierre. Marc n aura plus ensuite qu à faire la même opération : se créer une identité et expédier sa clé publique à Pierre Paris. Pierre Paris pourra alors lui envoyer des messages cryptés. Chacun conservant la clé publique de son correspondant, cette opération n est à faire que la toute première fois où l on veut établir un contact sécurisé avec un nouveau correspondant. 18

19 Sécuriser les échanges avec Adobe Acrobat Le chapitre précédent a abordé les aspects théoriques du cryptage. Celui-ci va montrer comment le mettre en œuvre grâce à Adobe Acrobat. Contrairement aux aspects théoriques la mise en œuvre pratique est particulièrement simple. Nous allons examiner ici : L intérêt de l emploi du PDF comme format d échange sécurisé. Les fonctions offertes par Adobe Acrobat dans le domaine du contrôle de la diffusion et de l usage du document. Les fonctions de signature de Adobe Acrobat. Comment standardiser sur un format d échange sécurisé? Avant de chercher à crypter ou signer un document, réalisons que la toute première sécurité consiste à être certain que l on a envoyé ce que l on pensait envoyer Il existe en effet un problème que beaucoup d utilisateurs d informatique ignorent, sauf probablement les utilisateurs habituels du format PDF : lorsque l on veut expédier un document à un destinataire, il est possible de le lui envoyer en format dit «natif» (c est-à-dire dans celui du traitement de texte, du tableur ou de n importe quel logiciel de conception de document), ou en format de «publication» (c est-à-dire qui contient le contenu du texte et sa présentation, comme le format PDF). Ces deux formats sont différents et n amènent pas le même niveau de fonctionnalité ni de sécurité. Un format dit «natif» contient les données du document ainsi que toutes les instructions qui permettent au logiciel de reconstituer le document à l écran ou sur imprimante. Par exemple, dans le cas d un tableau de calcul le format natif contient non seulement les données visibles à l écran, mais aussi toutes les formules invisibles à l écran qui ont permis de calculer le tableau. Dans le cas d un texte, le format natif contient parfois toutes les versions antérieures du document, permettant de revenir à une version précédente. Il peut aussi contenir des macro instructions permettant de générer des phrases standard, ou des contenus type. Ainsi le contenu expédié et transmis sur le réseau contient des données qui n ont aucune raison d être transférées dans le cas d une simple lecture. Un format de «publication» quant à lui rend toute modification impossible et ne permet pas d avoir accès à l ensemble des informations «cachées» qui se trouvent à l intérieur du fichier «natif» source. C est pourquoi il est nécessaire d utiliser un réel format de publication comme le PDF lorsque l on souhaite mettre à disposition un document, ou tout simplement soumettre un document pour approbation, relecture, etc. à un tiers. Que penser de cette société qui a fait parvenir à son client une proposition commerciale en format «natif» qui a permis à son lecteur, en fouillant dans les menus du logiciel de voir les anciennes versions du document qui contenaient justement les offres faites à ses concurrents? L utilisation simple du format PDF sans aucune autre sécurité permet déjà de résoudre efficacement ce problème. 19

20 Adobe Acrobat et le contrôle du document Adobe Acrobat permet de réaliser des documents intelligents. Dans ce cas, les PDF générés ne sont plus de simples documents passifs : ils embarquent avec eux un système qui permet de contrôler la lecture et l usage du document. Grâce au cryptage un document ne sera lisible que par des personnes habilitées à le lire. Grâce aux droits, il sera possible de limiter les actions qu un lecteur pourrait faire sur un document. Comment un auteur peut-il garantir la confidentialité de son document? Le sujet qui nous intéresse ici est celui de la confidentialité des communications ; certains documents ne doivent être lisibles que par un nombre restreint d interlocuteurs et c est à l émetteur du document de s en assurer : un rapport stratégique envoyé à la direction ne doit pas être lisible par n importe qui, en interne, comme en externe. Que penser de cette société qui a un réseau tout à fait sécurisé, mais dans laquelle le PDG fait régulièrement suivre les documents les plus importants à sa propre boite mail personnelle via Internet. Rien n empêcherait que ses messages circulent chez les concurrents, dans la presse, etc. à moins évidemment qu il ne sécurise son document comme nous allons le montrer. Techniquement, la solution qui résout ce problème de confidentialité est le cryptage : le document est envoyé sous une forme cryptée, qui fait que s il tombe dans de mauvaises mains il sera illisible. Ce cryptage peut être utilisé selon les deux techniques de cryptage existantes : symétrique par mot de passe ou asymétrique par clé publique/clé privée selon le besoin. Chacun répond à un besoin organisationnel différent : Le destinataire est responsable de la diffusion du document Dans le cas où le destinataire est de confiance, ou lorsque c est à lui de décider qui doit prendre connaissance du document, la technique du mot de passe est la plus adaptée. Cette technique, par exemple convient tout à fait à un expert comptable qui envoie un rapport d audit à son client : le rapport ne doit pas tomber dans les mains de n importe qui, mais c est au client de décider qui pourra en prendre connaissance. Dans ce cas, on utilisera un cryptage par mot de passe. Il doit être introduit pour crypter comme pour décrypter le document. Il suffit de transmettre le mot de passe par téléphone, courrier, ou fax. Parfois c est bien plus risqué on l envoie par un séparé. Le destinataire ne pourra lire son document que s il possède le mot de passe. C est le principe de la cryptographie symétrique. 20