Du retard dans la mise en place d’un système d’identification commun aux agences fédérales

, Partager

Le 27 août 2004, la présidence américaine avait publié un décret, HSPD-12 (pour Homeland Security Presidential Directive), prévoyant de mieux sécuriser et de standardiser les formes d’identification pour l’accès aux installations sensibles (catégories d’installations non classifiées) aux attaques terroristes. Cela concerne les administrations et leurs sous-traitants. Ce décret prévoyait que le Department of Commerce publie une norme avant février 2005, définissant plusieurs niveaux de sécurité. Cette norme, définie dans le document Federal Information Processing Standard 201 (FIPS-201), intitulé "Personal Identity Verification of Federal Employees and Contractors", créé par le NIST, a été publiée le 25 février 2005. Ce document définit des normes pour les cartes d’identification, la cryptographie, et les données biométriques utilisées. Cependant plusieurs documents techniques nécessaires n’ont été publiés que bien après. Le dernier en date, Draft NIST Special Publication 800-76, Biometric Data Specification for Personal Identity Verification, n’a été rendu public que le 15 décembre 2005.
HPSD-12 demandait aux agences de mettre en place avant juin 2005 un programme pour que les systèmes d’identification des employés de l’administration et de ses sous-traitants soient conformes au standard défini, et que, le plus largement possible, l’identification par des systèmes conformes à la norme publiée soit requise pour l’accès aux installations et systèmes d’information fédéraux en octobre 2005 (mise en oeuvre de la première phase).
Les agences fédérales ont pris du retard sur le calendrier prévu ou plus globalement l’ensemble des acteurs, à commencer par le département du commerce (Confer supra). Les supports de formation sont pour une part encore à venir, le GSA (General Services Administration, l’une des quatre agences en charge de la mise en oeuvre, avec l’Office of Management and Budget et l’Office of Personnel Management) a émis un guide de mise en oeuvre mais qui reste à l’état de version provisoire, et n’a rendu publique que le 12 décembre ses spécifications pour les cartes conformes à HSPD-12, en demandant aux fournisseurs candidats de faire leurs offres pour le 9 janvier et prévoit de certifier les services d’authentification seulement le 27 août… deux mois avant la date prévue de mise en oeuvre complète du décret présidentiel. Dans l’intervalle la National Security Administration a publié fin septembre ses recommandations en matière de cryptographie (qui diffèrent de ce qui est dans FIPS-201) et d’aucuns commencent déjà de dire que la mise en oeuvre de HSPD-12 pourrait en être bientôt influencée…

Source :


- http://www.whitehouse.gov/news/releases/2004/08/20040827-8.html
- http://www.smart.gov/iab/documents/IABminutes110805.pdf
- http://www.gcn.com/vol1_no1/authentication/37310-1.html
- http://www.fcw.com/article91716-12-13-05-Web&newsletter%3Dyes
- http://www.nsa.gov/ia/industry/crypto_suite_b.cfm?MenuID=10.2.7
- http://www.nsa.gov/ia/industry/crypto_elliptic_curve.cfm?MenuID=10.2.7

Pour en savoir plus, contacts :


- http://csrc.nist.gov/publications/fips/fips201/FIPS-201-022505.pdf
- http://csrc.nist.gov/piv-program/index.html
- http://www.nist.gov/public_affairs/releases/piv_faqs.htm
Code brève
ADIT : 31170

Rédacteur :

Sébastien Morbieu, tic.vi@ambafrance-us.org
Jean-Philippe Lagrange, attache-stic.mst@ambafrance-us.org

Voir en ligne : http://www.bulletins-electroniques….