Certifree

Vie privée et certificats

Un certificat numérique x509 est une forme de signature électronique qui permet à un tiers de confiance (appelé « autorité de certification ») de garantir qu’un nom Internet est associé à une entité physique ou morale.

De plus, il est l’élément de base qui permet d’établir une communication chiffrée entre le logiciel client de l’internaute et un service Internet (via l’utilisation des protocoles SSL ou TLS). Les services concernés sont principalement le Web, la messagerie électronique et les applications téléchargeables (telles que les applications Java et ActiveX).

Ces certificats sont essentiellement utilisés par les services en ligne afin de garantir leur identité et de protéger via un chiffrement les données sensibles qui transitent entre le site Web et le navigateur. Les sites marchands, les services bancaires en ligne, etc. sont des exemples très représentatifs.

Un site Web peut choisir d’utiliser le protocole SSL pour chiffrer des données. Cependant ce protocole exige du serveur qu’il soit en possession d’un certificat x509 qui sera présenté au navigateur. Si ce certificat a été signé par une autorité de certification installée sur le navigateur, ce dernier fait confiance au site Web. Dans le cas contraire (c’est-à-dire lorsque le certificat n’est pas signé ou s’il l’a été par une autorité de certification qui n’est pas reconnue par le navigateur), un message d’avertissement et une demande de confirmation sont présentés à l’utilisateur. Ce dernier peut alors légitimement se poser la question s’il peut ou non faire confiance au site concerné. Il est ainsi clairement établi que la confidentialité des contenus qui circulent sur le nouveau média qu’est le Web est conditionnée par l’obtention d’un certificat x509 signé par une autorité de certification largement diffusée.

Et c’est à ce point de notre démonstration que le bas blesse. En effet, des sociétés spécialisées offrent ce service sur Internet à un coût qui n’en permet l’accès ni aux particuliers ni aux petites associations. Par ailleurs l’une de ces sociétés (nord-américaine de surcroît) profite d’une position forte afin de tenter d’asseoir une situation quasi-monopolistique en usant de pratiques commerciales parfois douteuses. Malheureusement, au contraire de la gestion des noms de domaines, il n’y a pas d’organisme indépendant et centralisateur qui édicte les règles de gestion des certificats numériques.

Il existe une contrainte forte nécessaire à l’existence d’une autorité de certification : le certificat racine qui est utilisé pour signer les certificats doit être installé dans le navigateur de chaque internaute. Chacune des autorités de certification doit par conséquent composer avec les éditeurs de ces navigateurs afin d’obtenir l’intégration de ces certificats dans les logiciels publiés.

Cependant, dans la plupart des navigateurs, il est possible d’installer un nouveau certificat racine afin d’ajouter une autorité de certification à laquelle l’utilisateur fait confiance. Cette opération est toutefois manuelle et un écran de vérification et de validation du certificat doit être acquitté par l’utilisateur.

Certifree

Le projet dénommé, pour l’instant, « Certifree » a pour objectif de proposer la création et la mise en œuvre d’une autorité de certification qui permette aux particuliers et associations d’accéder à la protection de données sur le Web.

Ce projet est fondé sur le droit à la vie privée, y compris sur Internet.

Il requiert :
  des moyens humains ;
  des moyens techniques ;
  une communication adapté.

Les moyens humains seront gérés au travers d’une association à créer.

L’association Anet peut fournir les moyens techniques

La communication doit passée par un réseau de partenaires :
  associations et sites liés à l’utilisation et à la promotion d’Internet ;
  associations (LUGs) et sites issus de la communauté du logiciel libre, le projet Certifree étant par nature proche de la philosophie de ceux-ci ;
  associations de promotion des libertés individuelles (FSL, etc. ).

Si le projet atteint une taille critique il pourra être envisagé de nouer des partenariats avec des fournisseurs d’accès à Internet (Free, Nerim, etc.) car ceux-ci distribuent généralement un kit de connexion qui contient un navigateur remanié et dans lequel le certificat racine de Certifree devrait pouvoir être incorporé.

Gestion administrative

Le rôle d’une autorité de certification est de garantir qu’un nom Internet est associé à l’entité physique ou morale qui prétend le posséder. Dans la réalité cela est mis en œuvre via des procédures administratives qui nécessitent l’envoi de justificatifs légaux et la vérification de la corrélation de ces pièces avec les données présentes dans des bases de données publiques (Whois principalement). Dans certains cas particuliers, des lettres d’engagement manuscrites sont parfois nécessaires.

Ces contraintes de vérification de l’identité des entités physiques ou morales sont inhérentes à la garantie offerte par l’autorité de certification mais elles demandent un travail qui ne peut être fournit par les bénévoles d’une association. Il est donc nécessaire de trouver un palliatif à ces procédures administratives. Partant du constat qu’un certificat est par nature nominatif, plusieurs pistes semblent intéressantes à suivre :
  se baser sur les informations présentes sur le chèque qui serait utilisé pour verser une participation aux frais occasionnés pour la signature de chaque certificat, le tarif devra alors être savamment étudié afin que les certificats soient accessibles à tous mais que la somme représente l’engagement d’un particulier pour un certificat (un tarif différent pour les associations peut être envisagé) ;
  se baser sur un réseau de correspondants locaux qui auraient la charge de la vérification des informations ;
  dans le cas de noms situés directement sous les TLD, les informations des bases Whois devraient correspondre, si le nom est contenu dans un domaine dont le propriétaire n’est pas le même (par exemple « seb.net2.nerim.net » si mon fournisseur est Nerim et que qu’il m’a fournit une adresse IP fixe) exiger une copie de la lettre d’inscription ( ?) ;
  une combinaison de plusieurs de ces méthodes (pourquoi ne pas alors proposer plusieurs services basés sur autant de certificats racines et dans le niveau de confiance ne serait pas le même) ?

Qualité

Le rôle d’un tiers de confiance suppose une gestion sans faille des procédures techniques et administratives. L’association qui supportera le projet Certifree devra se doter d’un ensemble de procédures qualité afin de garantir une exploitation et une sécurité sans concession.

La crédibilité des certificats racines du projet Certifree sera directement liée à la qualité des prestations. Il n’est pas souhaitable que ce projet démarre tant que les ressources humaines et techniques nécessaires ne sont pas disponibles

Avenir

Actions à entreprendre :

  se rencontrer pour définir un cercle de personnes intéressées par le projet et discuter (aucunes des idées exprimées dans ce document ne sont figées, tout est matière à débat) ;
  mettre en œuvre un espace de travail collaboratif ;
  créer l’association ;
  développer une application permettant de gérer l’autorité de certification ;
  communiquer.

Historique des modifications

évènement	date	personne	commentaire
création	2004-02-25	Sébastien Namèche
correction	2005-11-27	Sébastien Namèche	Avant proposition stage M1 UBS
relecture	2005-11-28	Ludovic Collomb