Un temps, juste après le dépôt du rapport HATTAB, circulait une note de synthèse sur le site du Conseil National des Barreaux, laquelle vantait outrageusement les mérites de l'architecture Navista : elle a semble-t-il disparu après le tollé provoqué lorsque, quelques jours plus tard, les Avocats les plus curieux se sont mis à lire le rapport de l'Expert -dont on rappelera qu'il est polytechnicien, Président de la Compagnie Nationale des Experts Judiciaires en Informatiques et Techniques Associées- pour se faire leur idée personnelle sur le sujet.
Heureux Avocats ! Sages professionnels habitués à ne pas se fier aux "qu'en dira-t-on", ils ont consulté le dossier....Enfin !
Mais pas tous....malheureusement !
Alors, pour les retardataires, les "très occupés", les négligents, les naïfs et ceux qui attendent que le pigeon leur tombe dans l'assiette tout cuit, voici quelques extraits bien choisis. Ils ne comportent aucun commentaire personnels et sont la très exacte prose de l'Expert.
page14
LE CHIFFREMENT A 128 BITS EST SUFFISANT :
Le niveau de chiffrement n'est pas critique dans la protection des échanges numériques. Le chiffrement de base de HTTPS est à 128 bits, et l'ANSSl estime que ce niveau résistera aux attaques en forces brutes jusqu'en 2020 minimum.
LE CERTIFICAT EST LA CLE DE LA SECURITE D'HTTPS :
La limite reconnue des communications HTTPS est leur exposition aux attaques de type "Men in the middle" dans lesquelles un attaquant arrive à s'intercaler dans la communication pour fonctionner comme répéteur et ainsi accéder à l'ensemble des flux.
L'utilisation de l'authentification par certificat permet de se protéger contre cette attaque.
page 40
....La sélection de NAVISTA n'a pas résulté d'un appel d'offre.page 42
L'amélioration mise en place par le CNB consiste à encapsuler le canal HTTPS au sein d'un tunnel VPN
Cette amélioration, si elle est en première approche bienvenue, conduit un attaquant, expert, à reporter ses efforts sur des cibles plus faciles que sont le "réseau" du cabinet ou le serveur
Ainsi vouloir améliorer la sécurité du dispositif HTTPS + Certificat, c'est s'engager dans une course à la sécurité qui va engager tout l'écosystème dans lequel s'inscrit cette liaison :
C'est la mise à niveau simultanée de ces dispositifs qui permet d'améliorer la sécurité du dispositif "Https avec certificat".
- les clés d'authentification,
- le processus de délivrance de ces clés,
- leur utilisation au sein du cabinet, le routeur,
- les clés de chiffrement des VPN ouverts par le routeur,
- l'organisation qui gère la maintenance des routeurs et les clés de chiffrement,
- le poste de travail qui se connecte, mais aussi tous les postes du réseau local sur lequel il se trouve, et tous les serveurs qui sont ouverts à Internet,
- l'organisation qui gère ces équipements, qui les approvisionne, qui les maintient, ainsi que
- les comportements de ceux qui utilisent ces équipements.
page 42
Nous observons un certain nombre de lacunes dans ce dispositif :
inexistence de certification :
- du routeur RSA de référence du CNB,
- des protocoles utilisés,
- de l'organisation qui les gère (Ndr : NAVISTA et CNB.COM)
page 41
....nous n'avons pas trouvé de réflexion globale, ni d'analyse détaillée sur le plan organisationnel, mais une réponse construite autour de l'adoption de moyens techniques.
Ce manque est d'autant plus frappant que le projet engage la profession jusqu'en 2014 dans un financement évalué à près de 10,7 M€ HT.
page 44
Les télé-services envisagés sont :
Nous ne doutons pas de l'intérêt potentiel de ces services.
- Télé-sauvegarde des données sur une plate-forme sécurisée et localisée en France,
- Plate-forme collaborative pour permettre aux avocats de créer des espaces collaboratifs avec leurs clients,
- Coffre-fort électronique pour archiver des documents auprès d'un tiers de confiance,
Nous n'avons cependant pas eu :
Il nous est donc difficile de nous positionner sur leur intérêt ou leur adéquation au besoin de la profession
- de description précise de ces télé-services,
- de leur coût,
- de leur calendrier,
- de leur positionnement par rapport aux offres du marché existantes aujourd'hui et à court terme, et
- de la liberté de choix des cabinets vis-à-vis de ces télé-services.
Après un tel réquisitoire, vous avez certainement encore des doutes sur la nécessité de vous équiper du "boitier Navista" ?
Le meilleur est à venir.... A suivre !
Aucun commentaire:
Enregistrer un commentaire