Quel est le point commun entre l’administration pénitentiaire et l’IRSN (Institut de Radioprotection et de Sûreté Nucléaire) ? Tous deux utilisent des certificats électroniques, émis par ChamberSign, l’Autorité de Certifications des Chambres de Commerce et d’Industrie, pour sécuriser leurs échanges d’informations.

Pour accéder au portail Internet réservé aux entreprises qui travaillent sur le hautement sensible chantier de rénovation de la prison de Fleury-Mérogis, en région parisienne, les sous-traitants doivent s’identifier au moyen d’une clé USB contenant un certificat ChamberSign.

Même chose à l’IRSN (1 700 salariés environ), pour les entreprises dont l’institut doit valider les déclarations. Régulièrement, les représentants autorisés d’Areva, ou de sa filiale Comurhex et d’une trentaine d’autres entreprises, doivent notifier leurs importations et exportations de matériaux fissiles à cet établissement public français, spécialisé dans la recherche et l’expertise sur les risques nucléaires et radiologiques.

Un certificat unique, inexportable et facilement révocable

Auparavant, ces données étaient transmises par télécopie, une procédure archaïque à l’heure de l’Internet.  Depuis quelques semaines, l’IRSN et ses clients ont effectué un bond technologique. Désormais, les exploitants se connectent à au portail Piment pour déclarer les mouvements de matières nucléaires. « L’accès en est sécurisé par notre application Identio, développée en Internet », précise Olivier Demilly, délégué général adjoint de ChamberSign. « Chaque personne responsable de ces informations chez l’exploitant possède une clé USB qui renferme son certificat électronique personnel. »

Ces clés USB, cryptées à 1 024 bits, sont dotées d’une puce Gemalto hautement sécurisée selon la norme EAL garantissant que le certificat, une fois déposé sur la clé, ne peut pas, normalement, en être exporté. Le responsable branche sa clé sur son ordinateur, se connecte à une URL, voit apparaître son nom et son prénom et doit entrer son code personnel pour s’identifier.

« Ce système possède au moins trois avantages », explique Olivier Demilly. « Le certificat est extérieur à la machine, il valide le fait que c’est bien telle personne qui a effectué la transaction – c’est ce qu’on appelle la « non répudiation » : la personne ne peut pas nier s’être connectée, ce qui la responsabilise ; et en cas de problème, le détenteur du certificat électronique peut le révoquer en quelques minutes en cliquant sur l’onglet « révoquer » du site ChamberSign et en répondant à deux questions. »

Une collecte des données bien rôdée

Cette solution coûte 40 euros par an et par certificat Identio émis par ChamberSign. Pour des raisons de sécurité, la préparation et l’envoi des clés USB font appel à des techniques largement éprouvées. A l’intérieur de chaque entreprise, un mandataire va en effet collecter une copie de la carte d’identité de chaque destinataire des certificats (il en faut au moins deux, pour parer aux éventuelles absences : congés, maladies, déplacements… ), indiquer ses nom, prénom, fonction et service de rattachement, ainsi que les deux questions choisies pour l’éventuelle révocation du certificat.

Ces éléments sont ensuite envoyés à ChamberSign, qui en retour fait parvenir la clé USB par courrier au destinataire. Celui-ci se voit ensuite communiquer son code PIN par téléphone, après vérifications des réponses aux questions personnelles.

A préciser : Sollicité, l’IRSN n’a pas souhaité répondre aux questions de Vnunet.fr sur les avantages de la solution de certification ChamberSign.