TECHNOLOGIES CLÉS 2010 (novembre 2006)

Sommaire
Sommaire TIC

Technologies de l’information et de la communication

10. Sécurisation des transactions électroniques et des contenus

Description

Les technologies pour la sécurisation des transactions électroniques visent à prévenir, détecter et limiter les attaques malveillantes à l'encontre des systèmes, des contenus, des services et des personnes.

La sécurisation des transactions électroniques concerne plusieurs axes de développement technologiques, qui peuvent être combinés. Les techniques de bases sont :

  • l'identification-authentification par mot de passe (à usage unique ou pas) ; la biométrie ; la carte à puce ou clé USB, la combinaison de ces technologies ;
  • la signature électronique ;
  • le chiffrement ;
  • l'éffacement sûr ;
  • la détection d'intrusion (IDS) ;
  • le filtrage ;
  • la faradisation.

Ces technologies de base sont intégrées au sein de produits de sécurité élaborés, offrant des services de haut niveau :

  • le contrôle d'accès et d'identité (tel que le Single Sign-on [1]) ;
  • la sécurisation des infrastructures de transport (boîtiers de chiffrement, VPN - Virtual Private Network) des équipements et des sites (firewall, antivirus, antispam) ;
  • la certification électronique (infrastructure de gestion de clé, horodatage, signature électronique) ;
  • la sécurisation des contenus et des droits numériques (DRM - Digital Rights Management, gestion des droits numériques).

Le développement croissant de l'ouverture des réseaux basés sur des technologies filaires, non filaires et des architectures distribuées actives (reconfigurables), la prolifération des terminaux multiplient les points de vulnérabilité des infrastructures : usage frauduleux du terminal, attaque des nœuds de routage, interception des données, etc. En particulier, les réseaux non filaires, sensibles aux interceptions, demandent des réponses technologiques (chiffrage, protocoles cryptés) permettant de réduire les risques d'écoute tout en garantissant un transport efficace.

La protection des systèmes d'information d'entreprises repose largement sur l'utilisation conjointe d'antivirus, de pare-feu ou systèmes de détections d'intrusion lesquels, mis en œuvre dans un cadre général de bonnes pratiques en matière de sécurité, permettent de réduire le nombre d'attaques ou d'intrusions. Mais la mise en place de parades passe par la maîtrise de méthodes d'analyse permettant de les identifier. De nouvelles stratégies consistant à créer des leurres permettant d'attirer les attaques sont actuellement en cours de développement. La mise à jour de ces produits repose sur une bonne connaissance des systèmes d'exploitation les plus courants et sur la surveillance constante du réseau Internet opérée par les centres d'alerte (CERT - Computer Emergency Response Team) et permettant de détecter rapidement les nouvelles attaques.

Une clé de la sécurisation des transactions électroniques, du terminal au contenu, passe par la maîtrise de l'identification et de l'authentification (preuve de l'identification) des utilisateurs, mais aussi des applications, des documents et des transactions elle-mêmes. La vérification de l'identité et la preuve de l'identité reposent sur un ensemble de technologies parmi lesquelles la biométrie, le tatouage, les signatures numériques. Elle nécessite aussi le deploiement de systèmes d'informations permettant de vérifier des droits d'accès qui peuvent être variables dans le temps, l'espace ou le contexte (accès à des zones de sécurité, paiement des droits d'accès aux contenus, etc.) et offrant des garanties en matière de protection de la vie privée.

La biométrie consiste à exploiter les informations dont la personne est naturellement porteuse (caractéristiques physiques, mouvement). La difficulté de tels systèmes repose sur le choix pertinent de caractéristiques discriminantes et leur capture ainsi que sur l'architecture des banques de données pour l'étalonnage des algorithmes de reconnaissance.

Le tatouage de documents consiste à introduire dans le document des informations imperceptibles et protégées permettant de déterminer la propriété, les permissions d'usage ou de modification du contenu. Les technologies varient selon le caractère du contenu (texte, images, vidéos, programmes informatiques) : on peut citer le watermarking, la stéganographie.

La signature numérique doit permettre de garantir que le signataire a visé le document ou l'information. Elle ne doit pas être falsifiable, être inaltérable et non reproductible par un tiers (personne, application). Elle repose sur des technologies de cryptographie asymétrique (clé publique, clé privée). Les progrès attendus en matière de cryptographie reposent sur la définition de mécanismes moins coûteux en matière de calcul ou le chiffrement de flux d'informations pour remplacer les actuels chiffrages de blocs d'information. À plus long terme, des applications basées sur des méthodes de cryptographie quantique sont attendues.

Enfin, la recherche d'efficacité en matière de sécurité des transactions électroniques passe, aussi, par la définition de métriques permettant d'apprécier les niveaux de risques et de protection.

Degré de développement :
Emergence
Croissance
Maturité

Enjeux, Impact

Un contrôle en continu de l'intégrité et de l'accès (usage, identité du destinataire, émetteur, propriétaire) à un contenu ou à un service constitue la pierre angulaire de la traçabilité des transactions. Il permet :

  • la protection des intérêts supérieurs de l'État et des intérêts commerciaux des entreprises. Pour les entreprises, il s'agit de réduire le coût induit par les attaques (perte de temps, perte d'informations, espionnage, etc.) ;
  • le développement du commerce et des échanges électroniques. La traçabilité est en effet indispensable à la facturation des services et la sécurité contribue à la confiance dans l'économie numérique, qui est une condition indispensable du développement économique ;
  • la protection de la vie privée. Les données personnelles véhiculées dans les systèmes d'information sont en effet des données sensibles à protéger.

Il faut noter que le cadre législatif de la signature électronique, de la protection des données personnelles ou de la gestion des droits numériques, ainsi que les normes relatives aux processus d'authentification ou aux algorithmes de cryptographie, ont un impact important sur ce domaine. Élaboré, pour l'essentiel, au niveau européen, sa transposition dans le cadre national doit être faite en veillant à ne pas générer d'effets pervers susceptibles de défavoriser les entreprises françaises. Il faut aussi veiller en permanence à rechercher un équilibre permanent entre droit commercial et protection des libertés individuelles, droit de propriété industrielle et principe d'interopérabilité, lutte contre la grande criminalité et respect de l'espace public anonyme et de la vie privée.

La sécurité des transactions électroniques est aussi fortement liée à des initiatives de normalisation, comme par exemple celle du consortium Liberty alliance qui vise à définir et à promouvoir une architecture technologique permettant le Single Sign-on : il s'agit de permettre à un utilisateur de s'identifier de manière unique quels que soient l'application ou le service auquel il souhaite accéder. Cette initiative se heurte notamment à la disparité en matière de droit d'usage des données à caractère privé ou personnel selon les pays d'application.

Marché

Le marché mondial de la sécurité des systèmes d'information est estimé à 50 Md€. Il est en croissance forte, d'environ 15 % par an. Mais au-delà de ce marché propre, la prise en compte de la sécurité dans toutes les technologies de l'information permet d'apporter une valeur ajoutée importante à tous ces produits.

Il faut par ailleurs noter que le déploiement de ces solutions technologiques complexes et interdépendantes ne peut pas se faire sans une expertise poussée. Le maintien en état et le fonctionnement efficace des dispositifs mobilisent aussi des ressources et des compétences spécifiques. Le marché des produits de sécurité informatique se double donc d'un marché de services extrêmement dynamique.

La sécurité des transactions électroniques concerne les marchés du matériel (pare-feu, routeurs, détecteurs d'intrusion, cartes à puces, etc.) et du logiciel (antivirus, antispams, solutions complètes de contrôle du courrier électronique, etc.), mais aussi les intégrateurs et les spécialistes de la stratégie en matière de sécurité informatique.

Degré de diffusion de la technologie :
Naissance
Diffusion
Généralisation

Domaines d'application :
fabrication de composants électroniques ; commerce de gros, intermédiaires ; services de transports ; activités financières ; activités immobilières ; postes et télécommunications ; services informatiques ; services aux entreprises ; hôtels et restaurants ; activités récréatives, culturelles et sportives ; services personnels et domestiques ; éducation ; santé, action sociale ; administration.

Acteurs

Disciplines scientifiques : informatique, automatique, traitement du signal, électronique, photonique, optronique, mathématiques et leurs applications, sciences du langage, psychologie, sociologie, droit et sciences politiques, économie et gestion.

Compétences technologiques : télécommunications, informatique, analyse, mesure et contrôle.

Pôles de compétitivité : Image, multimédia et vie numérique (Île-de-France), Images et réseaux (Bretagne), Solutions communicantes sécurisées (Provence-Alpes-Côte d'Azur), Transactions électroniques sécurisées (Basse-Normandie), Loisirs numériques (Rhône-Alpes), Gestion des risques et vulnérabilités des territoires (Paca, Languedoc-Roussillon), Elopsys (Limousin – Midi-Pyrénées).

Liens avec (technologies) : outils et méthodes pour le développement de systèmes d'information ; infrastructures et technologies pour réseaux de communication diffus ; virtualisation des réseaux ; gestion et diffusion des contenus numériques ; ingénierie des systèmes complexes ; RFID et cartes sans contact ; traçabilité.

Principaux acteurs français

Centres de compétences : Inria, DGA, CEA-Leti, LAAS (Toulouse), LIFL (Lille), CNRS.

Industriels : Thales, Sagem, Evidian (Bull), EADS, Axalto, Gemplus, Oberthur CS, Devoteam (Apogée communications), Ares, Transpac (France Télécom), Risc Group, Arkoon, Netasq, IdealX, Keynectis, Dictao, Criston, Sophos.

Exemples d'acteurs dans le monde : Cisco (États-Unis), Juniper (États-Unis), Checkpoint (États-Unis), Symantec (États-Unis), McAfee (États-Unis), Giesecke & Devrient (Allemagne), Verisign (États-Unis), Bioscrypt (États-Unis), Iridian (États-Unis), Voicevault (Royaume-Uni), Tumbleweed (États-Unis), RSA Security (États-Unis), Safenet (États-Unis), Aladdin (États-Unis, Israël), National Science Foundation - Team for Research in Ubiquitous Secure Technology (États-Unis), etc.

Note

[1] L'objet du Single Sign-on (SSO) est de centraliser l'authentification afin de permettre à l'utilisateur d'accéder à toutes les ressources (machines, systèmes, réseaux) auxquelles il est autorisé d'accéder, en s'étant identifié une seule fois sur le réseau. L'objectif du SSO est de propager l'information d'authentification aux différents services du réseau, voire aux autres réseaux, et d'éviter à l'utilisateur de multiples identifications par mot de passe.

 

Sommaire TIC
haut Sommaire

© Ministère de l'Économie, des Finances et de l'Industrie,
DGE Direction Générale des Entreprises, 12/2006