ACME : de l'intérêt de déployer un protocole Internet de Sécurité dans un réseau privé
19/11/2023 , A202

Nous commencerons cette présentation par une présentation générale du protocole ouvert ACME, son histoire, ses apports sur Internet.

Cette présentation permettra ensuite de :

1) faire un retour d'expérience d'un déploiement d'un proxy open source ACME en frontal d'une PKI privée,

2) expliquer pourquoi nous avons décidé d'ajouter le protocole ACME à notre architecture de PKI privée

3) exposer les bénéfices attendus (mais aussi ceux inattendus !) d'utiliser un protocole Internet de Sécurité dans un réseau privée d'entreprise

4) et de finir par la découverte de quelques initiatives que l'industrie propose en utilisant comme pierre de base ACME en réseau privé.


Cette présentation donnera un retour d'expérience sur le déploiement d'un proxy open source ACME en frontal d'une PKI privée au sein d'un réseau d'entreprise.

J'exposerai :
- tout d'abord une présentation générale du protocole ouvert ACME, de son histoire et de ses apports sur Internet,
- une analyse des manques de notre offre actuelle de PKI interne (lenteur, lourdeur, contrôles sécurité moyennement robustes),
- notre recherche pour améliorer notre offre et notre architecture,
- pourquoi nous avons regardé ce qui se passait dans l'écosystème des PKI publiques sur Internet,why
- pourquoi nous avons choisi ACME.

Je détaillerai ensuite à l'auditoire :
- les bénéfices attendus d'avoir ACME dans notre écosystème de PKI interne, comme la robustesse du processus d'obtention de certificats ou les opportunités concernant l'automatisation
- mais aussi les bénéfices plutôt inattendus comme des cas d'usage pas envisagés au préalable directement issus de propositions venues d'un large éventail de collègues IT qui n'étaient obligatoirement des utilisateurs réguliers de notre PKI.

Enfin, je terminerai en parlant de nouveaux usages d'ACME en réseau privé qui sont proposés par l'industrie Sécurité IT comme le nouveau challenge ACME device-attest-01, proposé par Google [1] et utilisé par Apple dans sa solution Managed Device Attestation [2] utilisée pour enroller de nouveaux périphériques d'entreprises tournant sur ses OS iOS/MacOS/iPadOS.

[1] https://www.ietf.org/id/draft-acme-device-attest-01.html

[2] https://support.apple.com/guide/deployment/managed-device-attestation-dep28afbde6a/web

Voir aussi : Slides (3,1 Mio)

Ingénieur Sécurité au sein de l'équipe Sécurité technique de l'Assurance Maladie.

Co-fondateur et co-organisateur de la conférence Pass the SALT dédiée à la Sécurité et aux Logiciels Libres.