Redirecting you to
Article de blog avr. 08, 2021

Qu'est-ce que le PKI ? Guide complet de l'infrastructure à clé publique

L'infrastructure à clé publique (PKI) est un cadre de cybersécurité qui garantit la communication et l'authentification sécurisées via des certificats numériques et le chiffrement asymétrique. Elle protège la confidentialité, l'intégrité et la confiance en validant les identités numériques et en sécurisant les connexions. Ses applications incluent la sécurisation des sites web, emails et appareils IoT, ainsi que l'automatisation de la gestion des certificats.

Table des Matières

Les organisations dépendent des solutions PKI pour authentifier et chiffrer les informations qui circulent via les serveurs web, les identités numériques, les appareils connectés et les applications. L'établissement de communications sécurisées est primordial pour assurer la continuité des activités et la gestion proactive des risques, car les organisations dépendent de plus en plus d'Internet pour leurs systèmes d'entreprise critiques.

La PKI est une composante essentielle d'une architecture de confiance zéro telle que décrite par le National Institute for Standards and Technology (NIST), où la confiance n'est jamais accordée de manière implicite et doit être évaluée en permanence.

La cryptographie à clé publique est la technologie de base qui permet à la PKI d'utiliser deux clés distinctes mais liées pour le cryptage et le décryptage. La paire de clés qui en résulte, une clé publique utilisée pour chiffrer un message et une clé privée associée pour le déchiffrer, est également appelée cryptographie asymétrique. La paire de clés utilise des algorithmes cryptographiques pour garantir que les communications cryptées ne peuvent être décryptées que par le destinataire prévu, le détenteur de la clé secrète.

Comment les certificats basés sur la PKI fournissent une identité numérique sécurisée

La norme X.509 de l'Union internationale des télécommunications (UIT) définit le format des certificats basés sur la PKI. Discrets et omniprésents, les utilisateurs rencontrent des certificats numériques tous les jours lorsqu'ils utilisent des sites web, des applications mobiles, des documents en ligne et des appareils connectés. En général, le terme certificat numérique décrit tous les certificats X.509. Cette liste comprend les certificats SSL/TLS, les certificats de signature de courrier électronique, les certificats de signature de code et les certificats de signature de documents.

Souvent appelé « justificatif d'identité en ligne », un certificat numérique :

  • Valide l'identité du propriétaire.
  • Fournit la clé publique cryptée du propriétaire.
  • Est émis par une autorité de certification (AC) de confiance qui vérifie l'authenticité.

Comme nous l'avons vu précédemment, les clés publiques sont créées à l'aide d'un algorithme asymétrique complexe qui les associe à une clé privée. Dans la cryptographie à clé publique, une clé de chiffrement (qui peut être la clé publique ou privée) est utilisée pour chiffrer un message en texte clair et le convertir en un format codé appelé texte chiffré. Ensuite, l'autre clé est utilisée comme clé de décryptage pour décrypter le texte chiffré afin que le destinataire puisse lire le message original. Tout cela se fait automatiquement et est invisible pour l'utilisateur.

Comme la clé publique est publiée à la vue de tous, d'autres sont créées à l'aide d'un algorithme cryptographique complexe qui les associe à une clé privée en générant des combinaisons numériques aléatoires de longueur variable afin qu'elles ne puissent pas être exploitées au moyen d'une attaque par force brute. Contrairement à la clé accessible au public, la clé privée est une clé secrète connue uniquement de son propriétaire. Les clés privées sont générées à l'aide des mêmes algorithmes que les clés publiques afin de créer des paires de clés fortes qui sont liées mathématiquement.

Les algorithmes cryptographiques les plus couramment utilisés pour générer des clés sont les suivants :

  • Rivest-Shamir-Adleman (RSA)
  • Cryptographie à courbe elliptique (ECC)
  • Algorithme de signature numérique (DSA)

Ces algorithmes utilisent diverses méthodes de calcul pour générer des combinaisons numériques aléatoires de différentes longueurs. La taille de la clé ou la longueur des bits permet de déterminer la force de la protection. Les organismes de normalisation tels que le CA/Browser Forum définissent des exigences de base pour les tailles de clés prises en charge. Par exemple, les certificats SSL, les signatures numériques, les certificats de signature de code et d'autres certificats numériques sont des utilisations courantes de clés RSA de 2048 bits. Cette longueur de clé offre une force cryptographique suffisante pour empêcher les pirates de décrypter l'algorithme.

Pourquoi ne pas utiliser deux clés secrètes au lieu d'une clé publique et d'une clé privée ? Bien que cela puisse sembler contre-intuitif, l'utilisation d'une paire de clés composée de deux clés privées pour le cryptage et le décryptage d'informations sensibles, un processus appelé algorithme à clé symétrique, n'est pas plus sûr que le cryptage asymétrique. En outre, l'utilisation d'algorithmes à clé symétrique exige que les deux parties à la communication aient accès aux clés secrètes, ce qui augmente le risque puisque les deux parties doivent désormais garder le secret. Enfin, ces types d'algorithmes ne sont pas facilement extensibles, car il est pratiquement impossible de coordonner le grand nombre de connexions nécessaires pour partager en privé toutes les combinaisons de clés privées.

Les avantages de la PKI

Les clés cryptographiques constituent un mécanisme de validation qui protège les identités et les données contre un accès ou une utilisation non autorisés. Elles constituent un élément essentiel du programme de cybersécurité d'une entreprise pour protéger les sites web, les transactions de commerce électronique, les documents, les courriers électroniques, les serveurs et d'autres actifs contre les attaques des cybercriminels.

La PKI offre une sécurité évolutive des données et de l'identité numérique qui peut sécuriser des milliards de messages échangés quotidiennement par les organisations sur leurs propres réseaux et sur l'internet. Cette évolutivité est rendue possible par le fait que les clés publiques peuvent être distribuées largement et ouvertement sans que des acteurs malveillants puissent découvrir la clé privée nécessaire au décryptage du message. En outre, la PKI a évolué pour devenir encore plus polyvalente, offrant interopérabilité, temps de fonctionnement élevé et gouvernance.

À la base, la PKI assure la confidentialité en permettant à deux parties communicantes d'envoyer et de recevoir des données sensibles en privé. Les avantages pour l'organisation sont considérables et mesurables, car les communications sécurisées permettent de :

  • Protéger les clients.
  • Protéger la propriété intellectuelle de l'entreprise.
  • Renforcer les programmes de conformité.
  • Prévenir les violations de données.
  • Prendre en charge une main-d'œuvre distante et distribuée de plus en plus nombreuse.
  • Sécuriser un nombre croissant d'applications cloud et d'appareils de l'Internet des objets (IoT).

Par essence, il s'agit de la meilleure protection pour les identités numériques de vos personnes, appareils et données, ce qui permet aux individus, aux organisations et même aux appareils d'établir la confiance dans le monde numérique.

Applications courantes de la PKI

Il existe de nombreuses applications de la technologie PKI, notamment la sécurité des serveurs Web, les signatures numériques et la signature de documents, ainsi que les identités numériques.

Sécurité des serveurs web

La cryptographie à clé publique est à la base des protocoles SSL (Secure Sockets Layer) et TLS (Transport Layer Security) qui constituent le fondement des connexions sécurisées HTTPS des navigateurs web. Les certificats SSL/TLS chiffrent les communications Internet et garantissent une connexion client-serveur fiable. Sans eux, les cybercriminels pourraient exploiter l'internet ou d'autres réseaux IP à l'aide de divers vecteurs d'attaque pour intercepter des messages et accéder à leur contenu.

Signatures numériques et signature de documents

Outre le chiffrement des messages, les paires de clés peuvent être utilisées pour les signatures numériques et la signature de documents. La PKI utilise la clé privée de l'expéditeur pour vérifier son identité numérique. Cette vérification cryptographique lie mathématiquement la signature au message original afin de garantir qu'il n'a pas été modifié.

Signature de code

La signature de code permet aux développeurs d'applications d'ajouter une couche d'assurance en signant numériquement les applications, les pilotes et les programmes logiciels afin que les utilisateurs finaux puissent vérifier qu'un tiers n'a pas modifié ou compromis le code qu'ils reçoivent. Pour vérifier que le code est sûr et fiable, ces certificats numériques garantissent l'intégrité des conteneurs, du code qu'ils exécutent et des applications de production qui les utilisent.

Certificats de courrier électronique

Les certificats S/MIME valident les expéditeurs de courrier électronique et chiffrent le contenu des courriers électroniques afin de se protéger contre les attaques de plus en plus sophistiquées d'ingénierie sociale et de spear-phishing. En chiffrant/déchiffrant les messages électroniques et les pièces jointes et en vérifiant l'identité, les certificats de messagerie S/MIME garantissent aux utilisateurs que les messages électroniques sont authentiques et n'ont pas été modifiés.

Clés SSH

Les clés SSH sont une forme de certificat X.509 qui fournit un justificatif d'accès sécurisé utilisé dans le protocole Secure Shell (SSH). Le protocole SSH est largement utilisé pour la communication dans les services en nuage, les environnements réseau, les outils de transfert de fichiers et les outils de gestion de la configuration.

Les clés SSH authentifient l'identité et protègent ces services contre une utilisation involontaire ou des attaques malveillantes. Les clés SSH améliorent non seulement la sécurité, mais permettent également l'automatisation des processus connectés, l'authentification unique (SSO) et la gestion des identités et des accès à l'échelle requise par les organisations d'aujourd'hui.

Identités numériques

L'authentification des identités numériques est un élément essentiel d'une stratégie de confiance zéro pour authentifier les personnes, les données ou les applications. La sécurisation des identités à l'aide de certificats numériques X.509 est plus importante que jamais à mesure que les données et les applications s'étendent au-delà des réseaux traditionnels vers les appareils mobiles, les clouds publics, les clouds privés et les appareils IoT. Les certificats d'identité numérique basés sur cette norme permettent aux organisations d'améliorer la sécurité en remplaçant les mots de passe, que les attaquants sont devenus de plus en plus habiles à voler.

Établir la confiance : Le rôle des autorités de certification dans la PKI.

Un élément essentiel du déploiement des certificats X.509 est la présence d'une autorité de certification (AC) ou d'un agent de confiance chargé d'émettre les certificats et de publier les clés publiques associées aux clés privées des personnes. Sans cette autorité de certification de confiance, il serait impossible pour les expéditeurs de savoir qu'ils utilisent la bonne clé publique associée à la clé privée du destinataire, et non la clé associée à un acteur malveillant ayant l'intention d'intercepter des informations sensibles et de les utiliser à des fins malveillantes.

Des organisations tierces de confiance, comme Sectigo, agissent en tant qu'autorités de certification, mais de nombreuses entreprises et fournisseurs de technologie choisissent également d'agir en tant qu'autorité de certification interne. Ils peuvent également décider d'utiliser des certificats auto-signés.

Quelle que soit l'approche de déploiement, l'autorité de certification doit être fiable pour :

  • Vérifier et se porter garante de l'identité de tous les expéditeurs dont elle publie les clés publiques.
  • S'assurer que ces clés publiques sont bien associées aux clés privées des expéditeurs.
  • Garantir les niveaux de sécurité de l'information au sein de sa propre organisation afin de se prémunir contre les attaques malveillantes.

La valeur de l'automatisation de la PKI et de la gestion des certificats

La gestion des certificats peut être perçue comme une tâche quotidienne simple pour un administrateur informatique ou un administrateur web, mais s'assurer que les certificats sont valides individuellement prend du temps et est coûteux. Par exemple, même une émission manuelle minimale de certificats SSL avec un seul serveur web et une seule instance de domaine implique de nombreuses étapes. Cette tâche peut facilement prendre quelques heures, et les coûts de main-d'œuvre s'élèvent à plus de 50 dollars par serveur web.

Maintenant, multipliez cet effort par des milliers ou des millions de certificats PKI sur l'ensemble des dispositifs en réseau et des identités d'utilisateurs d'une organisation mondiale. Enfin, ajoutez le travail nécessaire à la gestion du cycle de vie des certificats pour intégrer les processus de découverte, d'installation, de surveillance et de renouvellement.

Le résultat d'une gestion manuelle des certificats est un défi coûteux, chronophage et techniquement exigeant pour des équipes informatiques débordées. Plus important encore, une approche manuelle peut exposer les entreprises à des interruptions soudaines ou à des pannes de systèmes critiques, ainsi qu'à des brèches et à des attaques de cybercriminels.

L'automatisation du processus de bout en bout d'émission, de configuration et de déploiement des certificats offre un retour sur investissement évident aux DSI et aux CSO qui cherchent à réduire les risques, à répondre aux exigences de conformité réglementaire, à contrôler les coûts opérationnels et à lancer plus rapidement des services sur le marché.

Les solutions PKI actuelles offrent des fonctionnalités qui améliorent l'administration et la gestion du cycle de vie des certificats grâce aux éléments suivants :

  • L'automatisation : L'accomplissement de tâches individuelles tout en minimisant les processus manuels.
  • Coordination : Utilisation de l'automatisation pour gérer un large portefeuille de tâches.
  • L'évolutivité : Gestion de centaines, de milliers, voire de millions de certificats.
  • Crypto-agilité : Mise à jour de la puissance cryptographique, révocation et remplacement des certificats à risque par des certificats à sécurité quantique très rapidement en réponse à des menaces nouvelles ou changeantes.
  • Visibilité : Visualisation de l'état des certificats d'un seul coup d'œil dans tous les cas d'utilisation.

Gagner du temps et garder le contrôle avec l'automatisation de Sectigo PKI

Compte tenu de la disparité des systèmes, des applications et des appareils qui utilisent des certificats numériques, les équipes informatiques gèrent souvent des services d'automatisation distincts provenant de nombreux fournisseurs différents. L'utilisation de plusieurs plateformes d'automatisation signifie qu'elles ne sont souvent pas aussi efficaces qu'elles pourraient l'être.

Sectigo propose des solutions d'automatisation des certificats qui permettent aux entreprises d'être agiles et efficaces tout en gardant le contrôle de tous les certificats dans leur environnement. Sectigo prend en charge l'installation, la révocation et le renouvellement automatisés des certificats SSL/TLS et non-SSL via des protocoles de pointe, des API et des intégrations tierces.

Un tableau de bord unique de gestion des certificats qui automatise la découverte, le déploiement et la gestion du cycle de vie dans tous les cas d'utilisation et sur toutes les plateformes des fournisseurs peut offrir l'efficacité que l'automatisation promet. De plus, avec Sectigo, vous ne rencontrerez jamais de limite de volume de certificats, comme c'est le cas avec les alternatives open source. Les solutions d'automatisation de Sectigo permettent à votre équipe de sécurité d'appliquer facilement la politique de sécurité cryptographique, de protéger les communications, d'empêcher la perte de données par un accès non autorisé et d'assurer la pérennité des systèmes, des applications et des appareils dans toute l'entreprise.

Découvrez comment la gestion automatisée des identités numériques est un élément fondamental de l'architecture de sécurité Zero Trust, et explorez la solution de gestion des certificats de Sectigo pour les entreprises.

Alors que le travail à domicile devient la norme, les entreprises doivent sécuriser chaque identité d'utilisateur, d'appareil et d'application. Téléchargez notre e-book pour découvrir les 4 actions que l'informatique peut entreprendre pour assurer la continuité de l'activité grâce à l'automatisation de la gestion des identités.

Envie d'en savoir plus ? Contactez nous pour réserver une démo de Sectigo Certificate Manager !

Articles associés :

Renforcer la sécurité Zero Trust avec l'infrastructure PKI

Pourquoi la PKI n’est pas partout ? Défis et solutions pour son adoption

Qu'est-ce que la PKI en tant que service ?