PKI

Fonctionnement technique

L'Infrastructure à Clés Publiques (PKI) est un ensemble de politiques, processus et technologies gérant le cycle de vie des certificats numériques utilisés pour l'authentification, le chiffrement et la signature électronique. La PKI repose sur la cryptographie asymétrique : chaque entité possède une paire clé privée (secrète) / clé publique (distribuée via un certificat signé par une autorité de confiance).

L'architecture hiérarchique comprend une Autorité de Certification racine (Root CA) maintenue hors ligne, des CA intermédiaires (Issuing CA/Subordinate CA) délivrant les certificats, et une Autorité d'Enregistrement (RA) vérifiant l'identité des demandeurs. La chaîne de confiance (chain of trust) permet de vérifier un certificat en remontant jusqu'à la Root CA de confiance stockée dans le magasin de certificats du système.

Les certificats X.509v3 contiennent l'identité du sujet, la clé publique, la période de validité, les extensions (Subject Alternative Names, Key Usage, Extended Key Usage) et la signature de la CA émettrice. Les protocoles OCSP (Online Certificate Status Protocol) et les CRL (Certificate Revocation Lists) permettent de vérifier si un certificat a été révoqué avant son expiration.

Cas d'usage

La PKI est omniprésente : TLS/HTTPS (certificats serveur pour le web), S/MIME (chiffrement et signature d'emails), signature de code (authenticité des logiciels), authentification client par certificat (carte à puce, badge d'accès), VPN (certificats IKEv2/IPsec), et Wi-Fi entreprise (EAP-TLS avec 802.1X). Active Directory Certificate Services (AD CS) est la PKI d'entreprise la plus déployée dans les environnements Windows.

Let's Encrypt a démocratisé les certificats TLS en offrant des certificats DV (Domain Validation) gratuits et automatisés via le protocole ACME. En 2024, plus de 300 millions de sites web utilisent des certificats Let's Encrypt, transformant HTTPS de norme optionnelle en standard universel.

Outils et implémentation

OpenSSL est l'outil universel pour la gestion de certificats en ligne de commande : génération de clés, création de CSR, signature, vérification et conversion de formats. step-ca (Smallstep) est une CA moderne open source avec API, ACME et certificats de courte durée. EJBCA (Keyfactor) est une PKI enterprise open source complète en Java.

HashiCorp Vault PKI secrets engine automatise l'émission de certificats éphémères pour les microservices. cert-manager (Kubernetes) automatise la gestion des certificats dans les clusters K8s. Certbot et Caddy automatisent les certificats Let's Encrypt. Pour la surveillance, Certificate Transparency logs (crt.sh) et Keychest monitent les expirations.

Défense / Bonnes pratiques

Protégez la clé privée de la Root CA dans un HSM (Hardware Security Module) et maintenez la Root CA hors ligne. Ne signez jamais de certificats finaux avec la Root CA : utilisez des CA intermédiaires dédiées par usage (serveurs, utilisateurs, IoT). Implémentez une politique de certificats (CP) et une déclaration de pratiques (CPS) documentant les processus.

Automatisez le renouvellement des certificats via ACME ou des scripts pour éviter les expirations qui causent des pannes (incidents fameux chez Microsoft, Google, Spotify). Réduisez la durée de validité des certificats : Apple, Google et Mozilla convergent vers des certificats TLS de 90 jours voire 47 jours pour limiter la fenêtre d'exploitation en cas de compromission.

Surveillez les Certificate Transparency logs pour détecter l'émission de certificats non autorisés pour vos domaines. Implémentez les enregistrements DNS CAA (Certification Authority Authorization) pour restreindre les CA autorisées à émettre des certificats pour vos domaines. Auditez régulièrement AD CS si vous l'utilisez : les ESC (Escalation) 1 à 13 sont des vecteurs d'attaque Active Directory majeurs.

Articles associés

Voir nos articles détaillés sur ce sujet.