Rapport de situation de la gestion des justificatifs internes

Destinataires : Tous les représentants des clients de la GJI
Expéditeur : Équipe de gestion des produits de la GJI

Nous vous faisons parvenir ce rapport de situation afin de vous informer des projets et des activités de la GJI en cours et de vous transmettre des faits et des renseignements techniques utiles.

En raison des programmes en cours et des charges de travail, il a été impossible pour l'équipe de gestion des produits de la GJI d'animer des séances de groupe à l'intention des utilisateurs de la GJI au printemps et à l'automne 2009. Nous avons plutôt eu recours à d'autres voies de communication formelle pour transmettre de l'information aux ministères et aux organismes du GC. Parmi ceux-ci, on retrouve :

• le Conseil de gestion de la Sécurité de la TI;
• le Conseil des DPI;
• le Conseil de gestion de l'identité au niveau du DG;
• divers groupes de travail.

Aussi, depuis juin 2009, nous communiquons directement avec tous les DPI du GC pour les tenir informés de la disponibilité du système Enregistrement et administration des justificatifs en ligne (EAJL, ou ORCA) et les aider à mettre en place leurs plans et initiatives de déploiement. Nous avons réussi à répondre en temps opportun aux demandes et aux enquêtes adressées au central de la GJI par courrier électronique (GJI-ICM@TPSGC-PWGSC.gc.ca). De plus, nous avons transmis des mises à jour par courrier électronique aux utilisateurs finals inscrits à la liste principale des personnes-ressources de la GJI.

Nous espérons que vous ayez réussi à obtenir les renseignements dont vous aviez besoin en passant par ces voies formelles et informelles. Si vous avez des questions, prière de communiquer avec nous en tout temps ou de visiter notre site Web à l'adresse http://www.tpsgc-pwgsc.gc.ca/gji-icm/index-fra.html.

Afin de pouvoir fournir l'information opérationnelle requise de manière opportune et efficace, cette information et les mises à jour ne sont communiquées qu'en anglais. Cependant, vous continuerez de recevoir l'ensemble des communications formelles et des documents officiels dans les deux langues officielles. Prière de nous informer de vos préoccupations ou questions à cet égard.

ÉTAT DU PROGRAMME DE TRAVAIL DE LA GJI

Réalisations au cours de l'exercice 2009-2010 :

• En avril, nous avons mis en oeuvre une nouvelle version des répertoires Siemens et Nexor pour l'infrastructure à clés publiques (ICP) de la GJI et le chaînage de ces répertoires avec les répertoires d'autres clients du GC.
• En juin, nous avons mis en oeuvre des révisions à l'EAJL pour les applications Web de la rémunération (AWR). Notre but était de faire la promotion des justificatifs basés sur l'identité. Nous avons aussi apporté des améliorations pour faciliter la conformité aux normes NSI 2.0.
• Également en juin, le site de la GJI a été modifié et amélioré pour le rendre conforme aux normes NSI 2.0.
• La version 1.0 d'EAJL a été diffusée le 2 novembre. Les clients du GC peuvent maintenant l'exploiter dans leurs ministères respectifs. Il faut noter que les clients qui émettent des justificatifs basés sur l'identité aux membres de leur personnel à partir de leur propre autorité de certification (p. ex., l'Agence du revenu du Canada, la GRC) ne sont pas des candidats probables.
• Le 6 décembre, nous avons lancé un processus d'adhésion aux AWR modifié et simplifié pour l'inscription en ligne qui a bénéficié aux utilisateurs finals ayant des justificatifs basés sur l'identité (p. ex., « maCLÉ »).
• Tout le long de l'année, nous avons procédé à un certain nombre de mises à jour massives des justificatifs existants pour appuyer les modifications apportées au sein des ministères en matière de conformité NIS 2.0 (p. ex., Transports, Pêches et Océans, Travaux publics, Finances, etc.).

Ce à quoi vous pouvez vous attendre d'ici la fin de l'exercice 2009-2010

L'équipe de gestion des produits de la GJI a demandé à des fournisseurs de services internes d'axer leurs efforts sur les principaux résultats suivants :

• La production des certificats SSL d'entreprise a été lancée le 18 janvier. Ces certificats de serveur destinés à un usage spécial permettent aux utilisateurs de s'identifier sur ce serveur à partir de leurs justificatifs d'ICP. L'hypothèse est que le serveur et l'application prennent tous deux en charge des certificats d'usage spécial.
• La version 1.1 d'EAJL, prévue initialement pour le 1er mars¹, a été développée conjointement avec la Direction générale de la comptabilité, gestion bancaire et rémunération (CGBR) en appui de son intention d'étendre l'adoption des AWR à l'échelle du gouvernement.
• Tous les cinq ans, la GJI est soumise à un processus de renouvellement des accréditations. Les activités de certification et d'accréditation obligatoires - entreprises en collaboration avec le CSTC - auront été menées d'ici le 31 mars.
• Nous n'avons pas progressé aussi rapidement que nous l'aurions espéré au chapitre de la mise sur pied d'un groupe de travail responsable du regroupement des autorités de certification (AC) de la GJI. Cela dit, l'équipe de gestion des produits de la GJI prévoit la mise en place du groupe d'ici le 31 mars.

Veuillez noter que ces initiatives tiennent compte des ressources humaines et financières disponibles pour l'exercice 2009-2010.

Perspectives pour l'exercice 2010-2011

L'équipe de gestion des produits de la GJI a demandé à des fournisseurs de services internes d'axer une partie de leurs efforts sur les principaux résultats suivants à atteindre au début du prochain exercice financier :

• Le cheminement amélioré de l'utilisateur au niveau de l'inscription en ligne pour les applications Web de la rémunération, prévu initialement pour le 2 avril², soutiendra l'intention de la Direction générale de la CGBR de rehausser l'expérience des utilisateurs et d'étendre l'adoption des AWR à l'échelle du gouvernement.
• Les nouveaux certificats personnalisés, prévus initialement pour le 18 avril, répondront aux besoins des clients dans la prise en charge de dispositifs mobiles, de jetons protégés et d'autres applications d'entreprise. La nouvelle date prévue pour la mise en production des nouveaux types de certificats est le 28 mars 2010.
• La prise en charge de l'inscription en ligne pour les <Smartcards, prévue maintenant pour le 31 mai, soutiendra l'intention de la Direction générale de la CGBR de déployer les AWR aux ministères qui stockent leurs justificatifs d'ICP sur des cartes à puce ou des jetons protégés.

Alors que les discussions se poursuivent sur des priorités précises, un programme de travail définitif et des dates prévues de livraison, nous avons établi les activités clés suivantes pour l'exercice 2010-2011 :

• Les 35 000 justificatifs et plus délivrés par les ALE seront migrés vers la nouvelle version 1.2 d'EAJL pour permettre aux titulaires de certificat de récupérer leur certificat en ligne.
• Nous améliorerons le système EAJL afin de le rendre compatible avec les multiples types de certificats à mesure qu'ils sont introduits.
• Nous poursuivrons nos discussions et notre travail sur le regroupement des AC.
• Nous examinerons le besoin et la possibilité d'améliorer le système EAJL pour soutenir une structure de répertoires hiérarchique.
• Nous mettrons en oeuvre une capacité d'administration à distance au moyen d'EAS (Entrust Administration Services). (Cette capacité était initialement identifiée comme la version 2.0 d'EAJL.) Aussi, nous passerons la nouvelle fonctionnalité en revue dans les produits Entrust améliorés en vue de l'inclure éventuellement dans l'offre de services de la GJI.
• Nous examinerons, évaluerons et améliorerons l'outil LDAP en vue de répondre aux besoins des ministères du GC.
• Nous examinerons, évaluerons et améliorerons la GJI pour y inclure un service d'authentification générique. Ce service se limitera initialement à l'intranet du GC. Une deuxième version pourrait être accessible sur Internet.
• Bien que les détails fassent encore l'objet de discussions, nous examinerons, réviserons et améliorerons l'infrastructure de la GJI. L'objectif visé ici est de rendre l'infrastructure plus accessible.
• Nous soutiendrons des initiatives-pilotes exigeant des justificatifs maCLÉ. À l'heure actuelle, nous ne sommes pas en mesure de préciser le type ou le nombre de ces initiatives-pilotes.
• Nous mettrons sur pied un groupe de travail de la GJI à l'échelle du gouvernement, formé de représentants de divers ministères et organismes du GC. Ce groupe de travail nous aidera à définir les besoins opérationnels et à établir les priorités du programme de travail de la GJI, dont les éléments susmentionnés. Notre objectif est de mettre ce groupe de travail sur pied d'ici la fin du premier trimestre.

Bien que nous n'ayons pas terminé d'établir l'ordre de priorité d'éventuelles activités d'amélioration de la GJI, la version 1.2 d'EAJL - Migration des justificatifs délivrés par les ALE vers EAJL aux fins de récupération en ligne - a déjà été définie comme la priorité absolue pour l'exercice 2010-2011. Une fois cette version lancée, les détenteurs maCLÉ n'auront plus à dépendre du centre de gestion des clés, dont les heures d'ouverture sont restreintes. Ils seront en mesure de récupérer leurs certificats à tout moment, grâce au service EAJL en ligne accessible 24 heures par jour et 7 jours par semaine.

Une autre importante priorité sera probablement l'introduction d'autres nouveaux types de certificat, alors nous allons de l'avant avec le regroupement des AC. Des discussions sont déjà en cours, et nous continuerons d'interagir avec le Centre de la sécurité des télécommunications Canada, Industrie Canada et l'Agence du revenu du Canada, c'est-à-dire nos clients qui seront les premiers à procéder au regroupement de leurs AC.

Si vous avez des questions concernant l'information fournie dans ce communiqué, prière de communiquer avec l'équipe de gestion des produits de la GJI par courrier électronique, à l'adresse suivante : GJI-ICM@pwgsc-tpsgc.gc.ca

Gestion des produits de la GJI
Services de sécurité de la TI
DGSIT/TPSGC

---

ANNEXE A - FAITS ET RENSEIGNEMENTS TECHNIQUES UTILES

Le conseil le plus utile pour les organisations qui prévoient des mises à niveau ou des changements est de mener des essais poussés de leurs diverses applications et divers scénarios d'interface avec les clients dans notre environnement d'essai des applications des clients (EEAC) avant de procéder à la mise en production. Pour obtenir des certificats d'EEAC et planifier du temps dans notre EEAC, prière de consulter le site Web de la GJI : http://www.tpsgc-pwgsc.gc.ca/gji-icm/05/13807-fra.html

Une importante partie des essais des relations avec les clients d'une organisation doivent porter sur les collectivités de clients avec lesquelles elles interagit. Par exemple, si des groupes d'utilisateurs exploitent encore une version 6.x ou 7.x d'Entrust Desktop Solutions (EDS), sachez que des contraintes de compatibilité et de possibles résultats indésirables peuvent découler de la mise à niveau à ESP.

Entrust Desktop Solutions (EDS) - Entrust Entelligence Security Provider (ESP)

Cette section renferme de l'information technique, des constats et des conseils utiles aux ministères qui prévoient ou planifient une mise à niveau d'Entrust Desktop Solutions dans leur milieu.

Durant les essais préliminaires, l'équipe de la GJI a pu évaluer et identifier diverses considérations techniques dont il y a lieu de tenir compte dans le cadre de toute décision concernant la mise à niveau ou la gestion du cycle de vie du logiciel ESP d'Entrust et des activités s'y rattachant.

Les principales considérations concernant cette mise à niveau sont résumées dans le tableau en pièce jointe à la fin du présent document. Les clients qui planifient migrer vers ESP doivent se familiariser avec les principales conclusions fournies dans le tableau ci-dessous et en tenir compte afin d'assurer le maintien d'une infrastructure à clés publiques (ICP) interopérable essentielle.

Au cours des essais de la GJI et des interactions avec les clients, les éléments suivants ont été soulevés concernant la migration d'EDS vers ESP :

• Établissement de politiques : ESP requiert une politique différente qu'EDS pour permettre l'exportation vers des appareils comme les Blackberries. Dans le cas de l'AC de la GJI, la configuration « Private Key Export From CAPI » requise par ESP n'est pas active actuellement. Nous prévoyons apporter les modifications nécessaires à cette configuration, et à d'autres configurations, le 18 avril 2010. D'ici là, les ministères clients sont priés de conserver un ou plusieurs postes de travail EDS (autrement dit, sans mise à niveau) pour exporter leurs justificatifs vers des appareils BlackBerry.
• Certificats de version 2 : La mise en oeuvre d'ESP selon la configuration par défaut (sans modification) dans votre environnement fait en sorte que les justificatifs existants sont mis à niveau à la version 2 (V2). . La mise à niveau aux justificatifs V2 peut être désactivée en utilisant l'assistant d'installation personnalisée Entrust Entelligence. Certains logiciels existants moins récents, dont les versions 6.x d'Entrust EDS, ne sont pas nécessairement compatibles avec des justificatifs V2. Par exemple :
  1. Les utilisateurs des versions 6.x d'Entrust EDS ne peuvent pas ouvrir les fichiers encodés au moyen d'ESP. Cependant, les utilisateurs de la version 7.0 d'Entrust EDS pourront consulter les fichiers encodés au moyen d'ESP.
  2. Nous recommandons aux utilisateurs de ADPPG (accès à distance protégé) de faire installer sur leur poste de travail la plus récente version client compatible ADPPG (version V06_02_030) avant de migrer vers la version 9.0 d'ESP. Nous sommes au courant de problèmes d'incompatibilité entre les versions du logiciel ADPPG antérieures à la version V06_02_030 et la version 9.0 d'ESP. Il est possible que les utilisateurs ayant des justificatifs V2 qui migrent vers ESP ne puissent plus utiliser le logiciel ADPPG pour accéder à l'intranet du GC à distance.
• Problème concernant l'utilitaire de courriel : Les utilisateurs d'EDS ayant l'utilitaire Entrust Express ne pourront décoder des fichiers reçus d'utilisateurs d'ESP sous la forme d'une pièce jointe encodée (fichier .p7m). L'utilitaire Entrust Express tentera de traiter le fichier encodé comme un message de courriel encodé. En conséquence, les données ne pourront être déchiffrées. Pour contourner ce problème dans ESP, l'expéditeur doit joindre le fichier (encodé ou non) et encoder plutôt le courriel lui-même en utilisant Entrust EPO ou Express.
• Recherches de répertoire :
  • Les utilisateurs de la version 9 d'ESP à l'extérieur de l'ARC éprouvent des problèmes de compatibilité avec les services de répertoire de l'ARC lorsqu'ils mènent des recherches dans les répertoires. En conséquence, les recherches de justificatifs de l'ARC dans les répertoire au moyen de la version 9 d'ESP ne produisent aucun résultat et rendent impossible d'encoder ou de signer électroniquement des fichiers destinés aux détenteurs de justificatifs de l'ARC. Ce problème de compatibilité fait actuellement l'objet d'une enquête menée par un consortium interministériel de membres de l'équipe, et une solution ou une solution de rechange est imminente.
  • Les fichiers encodés par les utilisateurs des versions 8 et 9 d'ESP des SPG ne peuvent être consultés par leurs homologues de la Police provinciale de l'Ontario (OPP). L'opération échoue au niveau de la validation du chemin d'accès de confiance. Cependant, Entrust prépare un fichier correctif pour ESP afin d'éliminer la confusion entre l'identificateur d'objet de « ST » (attribut Nom-État-ou-Province) et « S ». Nota : le DN de l'agent de serveur de répertoire de l'OPP est : « ou=opp-ca,ou=go-pki,o=Gouvernement de l'Ontario, ST=ON, c=CA ».

Nouveaux certificats personnalisés pour utilisateurs finaux

• Utilisateur final Smartcard : Certificat recommandé aux organisations où l'utilisation de jetons protégés ou de cartes à puce est obligatoire pour stocker les justificatifs.
  Nota : La politique de définition sera configurée à « Any SC » afin de permettre aux utilisateurs des versions 9.x d'ESP de sélectionner tout type de jeton ou de carte à puce. Les versions 7.x d'EDS sont également prises en charge.
• Utilisateur final sans exportation : Certificat recommandé aux clients qui veulent restreindre l'exportation PXCS#12 de leurs certificats d'utilisateur.
• Utilisateur final mobile : Certificat offert aux utilisateurs qui doivent pouvoir exporter leurs certificats d'ICP vers un autre appareil (p. ex., un BlackBerry).
  Nota : Les utilisateurs du logiciel ESP devront passer à ce nouveau type de certificat s'ils veulent exporter leurs justificatifs vers un BlackBerry.

Les utilisateurs existants qui veulent passer de notre certificat d'utilisateur final d'assurance de niveau moyen générique existant à l'un des nouveaux certificats d'utilisateur final énumérés ci-dessus devront présenter une demande de changement à leur autorité locale d'enregistrement (ALE). Une fois que la demande aura été traitée et approuvée, les clés mises à jour de l'utilisateur devront être réémises comme suit :

• Dans le cas d'utilisateurs dont le recouvrement est automatique (p. ex., ETP), les clés sont mises à jour automatiquement à l'ouverture d'une session. Un message s'affiche pour informer l'utilisateur que son profil a été mis à jour et qu'il devra remplacer toute autre copie de son profil (p. ex., dans un ordinateur portatif) par la nouvelle version.
• Quant aux utilisateurs à durée de vie fixe (p. ex., entrepreneurs, appareils), ils devront remplir une récupération complète des profils (qui doit préciser une nouvelle date de fin pour assurer l'émission de nouveaux certificats par l'AC) à l'aide des codes qui leur ont été envoyés (envoyés également à leur ALE). Toute copie sauvegardée supplémentaire devra aussi être remplacée une fois le recouvrement terminé.

Options de bureau reconnues, considérations de déploiement et observations de la DGSIT

Versions 7.x d'EDS

Caractéristiques

• Compatibles avec les versions 6.x d'EDS et 8.x d'ESP 8.x
• Compatibles avec les fonctionnalités ICE (Integrated Cryptographic Engine) et TrueDelete

Considérations de déploiement

• Le fournisseur a cessé d'offrir du soutien pour ces versions en décembre 2009.
• Non compatibles avec Windows Vista.
• Ne tirent pas profit de la fenêtre étendue de recouvrement des clés.
  
  Utiliseront l'actuelle AC par défaut (100 jours) au lieu de la nouvelle fenêtre étendue (14 mois).

Problèmes

• Problème avec EDS Express (utilitaire de courriel).
  
  L'utilitaire de courriel des versions 7.x d'EDS gère difficilement les fichiers « .p7m » joints (c.-à-d. un fichier encodé au moyen de la version 8.0 d'ESP). Les versions 7.x d'EDS reconnaissent ces fichiers comme des courriels encodés et leur décodage produit du contenu indéchiffrable.
• Impossibilité de décoder des fichiers initialement encodés au moyen du profil SAPGC (CA6) (Service des applications protégées et de la gestion des certificats Authorité 6) dans un profil GSS V2.
  
  Une fois qu'ESP a automatiquement mis à jour le profil d'un utilisateur à V2, il est possible que l'utilisation de ce profil par un client EDS pour décoder de vieux fichiers ne produise pas les résultats attendus. Par exemple, vous ne pourrez décoder un fichier ayant été initialement encodé au moyen d'un profil SAPGC.

Version 8.0 d'ESP

Caractéristiques

• Produit courant, soutien continu
• Soutien de Windows Vista
• Possibilité de stocker des certificats dans la mémoire de la CAPI (Cryptographic Application Programming Interface)
• Possibilité de mettre à jour des certificats périmés pourvu qu'ils soient encore valides
• Ouverture de session avec des codes utilisateurs et mots de passe périmés ou révoqués
• Capacité de décoder des fichiers initialement encodés pour un profil SAPGC CA6

Considérations de déploiement

• Non compatible avec les fonctionnalités ICE et TrueDelete.
• Problème de compatibilité inverse avec les versions 6.x d'EDS (décodage de fichiers).
  
  Les utilisateurs des versions 6.x d'EDS ne pourront décoder des fichiers encodés au moyen d'ESP.
• L'installation d'ESP par défaut convertit les profils de version 1 (V1) en profils de version 2 (V2).
  
  Retourner un utilisateur de la V2 à la V1 doit se faire au niveau de l'AC au moyen de la coquille de commande maîtresse.
• La version 8.0 d'ESP n'affiche pas le corps ou la ou les pièces jointes des messages signés/encodés pour un utilisateur à partir du profil SAPGC ou GSS V1.

Problèmes

• Problème avec EDS Express (utilitaire de courriel).
  
  L'utilitaire de courriel des versions 7.x d'EDS gère difficilement les fichiers « p7m » joints (c.-à-d. un fichier encodé au moyen de la version 8.0 d'ESP). Les versions 7.x d'EDS reconnaissent ces fichiers comme des courriels encodés et leur décodage produit du contenu indéchiffrable.
• Les justificatifs V2 d'ESP ne sont pas compatibles avec des versions antérieures du client Contivity.
  
  Les justificatifs V2 d'ESP ne sont compatibles qu'avec la plus récente version certifiée par TPSGC du client Contivity de Nortel (V06_02.030).

Version 9.0 d'ESP

Caractéristiques

• Voir les détails sur le site Web d'Entrust : www.entrust.com (disponible en anglais seulement)
• Nota : La version 9.1 d'ESP est compatible avec :
  • Fonctionnalité TrueDelete
  • Windows7
  • Protection des mots de passe, clic à droite
  • Horodatage de fichiers

Points non évalués par l'équipe de la GJI :

• La plus récente version est-elle recommandée et soutenue par Entrust?
• Entrust a indiqué que la version 9.0 d'ESP corrige certains des problèmes éprouvés par des clients exploitant la version 8.0 d'ESP.
• Pour les utilisateurs qui passent d'une version x d'EDS, il pourrait être pertinent d'envisager la possibilité de migrer directement à la version 9.0 d'ESP (passant ainsi outre à la version 8.0 d'ESP).

Considérations de déploiement

• Problème de rétrocompatibilité avec les versions 6.x d'EDS (décodage de fichiers). Les utilisateurs des versions 6.x d'EDS ne pourront décoder des fichiers encodés au moyen d'ESP.
• L'installation d'ESP par défaut convertit les profils de version 1 (V1) en profils de version 2 (V2). Retourner un utilisateur de la V2 à la V1 doit se faire au niveau de l'AC au moyen de la coquille de commande maîtresse.
• La version 9.0 d'ESP n'affiche pas le corps ou la ou les pièces jointes de messages signés/encodés pour un utilisateur à partir du profil SAPGC ou GSS V1.

---

¹ Pour la version 1.1 d'EAJL, bien que la version soit prête à être diffusée, nous en sommes actuellement à évaluer l'incidence du gel de la production imposé en raison des Jeux Olympiques. Nous attendons qu'une demande de changement soit approuvée. Dans le cas où l'on nous interdit d'apporter des changements durant cette période de gel du système, les dates de livraison seront déplacées à nouveau. À l'heure actuelle, nous prévoyons une mise en production au plus tard le 31 mars 2010. (Retour au texte de la note 1).

² Le projet de cheminement amélioré de l'utilisateur au niveau de l'inscription en ligne pour les AWR est aussi touché par le gel imposé durant les Jeux Olympiques. Alors que ce projet en est à l'étape du développement, nous devons encore une fois faire approuver une demande de changement avant de pouvoir fixer une date de livraison ferme. À l'heure actuelle, nous prévoyons un délai d'un mois, ce qui repousserait la date de livraison au 3 mai. (Retour au texte de la note 2).