<p>Diapositive 1</p>
<p>Signature lectronique 3.0 Le futur est dj prsent </p>
<p>Petit-djeuner dbat du 29 janvier 2014 </p>
<p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 1 </p>
<p>Introduction </p>
<p>Contexte Le dploiement </p>
<p>Enjeux Les nouvelles formes de signature </p>
<p>Dfi La conformit </p>
<p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 2 </p>
<p>PLAN </p>
<p>1. Etat des lieux, par Dimitri </p>
<p>Mouton, Socit Demaeter </p>
<p>2. Choisir la bonne signature si cest possible </p>
<p>3. Dployer sans risque sous rserve de lapprciation souveraine des tribunaux </p>
<p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 3 </p>
<p>1. Etat des lieux, Dimitri Mouton, Demaeter </p>
<p>1. Un beau fouillis </p>
<p>2. Les fondamentaux </p>
<p>3. Les tendances </p>
<p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 4 </p>
<p>1.1 LE FOUILLIS </p>
<p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 5 </p>
<p>PKI </p>
<p>Signature lectronique </p>
<p>Authentification </p>
<p>Clef prive </p>
<p>Clef publique </p>
<p>Engagement </p>
<p>IGC </p>
<p>RSA </p>
<p>2048 bits </p>
<p>RGS </p>
<p>Certificat </p>
<p>AC </p>
<p>Classe 3+ </p>
<p>2 toiles </p>
<p>Prsomption de fiabilit </p>
<p>Tablette </p>
<p>Signature scurise Signature avance </p>
<p>Certificat qualifi </p>
<p>Convention de preuve </p>
<p>Code PIN </p>
<p>Authentification forte </p>
<p>SMS </p>
<p>Usurpation didentit </p>
<p>CRL </p>
<p>Horodatage </p>
<p>OCSP </p>
<p>X.509 V3 </p>
<p>Autorit dEnregistrement </p>
<p>PSCE </p>
<p>PSCO </p>
<p>RFC 3161 </p>
<p>COFRAC </p>
<p>ANSSI </p>
<p>Politique de Signature Electronique </p>
<p>PAdES </p>
<p>PDF /A </p>
<p>XAdES </p>
<p>PKCS#7 </p>
<p>PKCS#12 </p>
<p>Loi du 13 mars 2000 </p>
<p>Dcret du 30 mars 2001 </p>
<p>Rglement europen </p>
<p>CMS </p>
<p>Signature dtache </p>
<p>Applet java </p>
<p>Propre au signataire </p>
<p>Contrle exclusif </p>
<p>SSCD </p>
<p>Rvocation </p>
<p>SHA256 </p>
<p>Dlgation </p>
<p>Parapheur </p>
<p>A la vole </p>
<p>OTP </p>
<p>Intgrit </p>
<p>Non-rpudiation </p>
<p>Garantie de provenance </p>
<p>Traabilit </p>
<p>Prestataire qualifi </p>
<p>Force probante </p>
<p>Alice et Bob </p>
<p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 6 </p>
<p>Mais les usages sont l </p>
<p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 7 </p>
<p>Marchs publics </p>
<p>Contrats B to B </p>
<p>Immatriculations </p>
<p>Dclarations sociales </p>
<p>Commerce en ligne </p>
<p>Contrats grand public en agence </p>
<p>Actes notaris </p>
<p>PV lectroniques </p>
<p>Attestations de conformit </p>
<p>Diplmes Actes - Contrle de lgalit </p>
<p>Dlibrations </p>
<p>Hlios - Comptabilit publique </p>
<p>Dclarations de travaux </p>
<p>Rseaux et canalisations </p>
<p>Banque en ligne </p>
<p>Dmarches administratives </p>
<p>Rseau Priv Virtuel des Avocats </p>
<p>Rseau Priv Virtuel de la Justice </p>
<p>Tribunal de Commerce lectronique </p>
<p>Actes authentiques </p>
<p>Expertise comptable Chronotachygraphe </p>
<p>Contrats de travail </p>
<p>Emargements </p>
<p>Feuille de soins lectronique </p>
<p>Factures </p>
<p>Dlgation de pouvoirs bancaires </p>
<p>Lettre recommande lectronique </p>
<p>Vote lectronique </p>
<p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 8 </p>
<p>Les typologies </p>
<p>Signature scanne </p>
<p>Signature manuscrite sur tablette </p>
<p>Signature lectronique la vole </p>
<p>Signature lectronique </p>
<p>Avec ou sans </p>
<p>accrditation </p>
<p>Avec ou sans legal opinion </p>
<p>Avec ou sans toiles </p>
<p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 9 </p>
<p>Les composantes dun service dmatrialis </p>
<p>Dont la signature lectronique </p>
<p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 10 </p>
<p>1.2 LES FONDAMENTAUX </p>
<p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 11 </p>
<p>La signature lectronique : </p>
<p>Dfinition pratique </p>
<p>La signature lectronique est une signature </p>
<p> Qui porte sur un document de nature lectronique. </p>
<p>Lencre marque le papier La cryptographie garantit un lien entre le signataire et le document </p>
<p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 12 </p>
<p>A quoi sert un certificat </p>
<p> Le certificat est une carte </p>
<p>didentit dlivre par une </p>
<p> Autorit de Certification </p>
<p>ou Prestataire de Services </p>
<p>de Certification </p>
<p>lectronique </p>
<p> Il peut servir : </p>
<p> sauthentifier (contrle daccs) </p>
<p> signer (signature lectronique, cachet, horodatage) </p>
<p> chiffrer (confidentialit) </p>
<p> 29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 13 </p>
<p>La PKI </p>
<p> PKI (Public Key Infrastructure), aussi appele Infrastructure clef publique (ICP) ou Infrastructure de Gestion de Clefs (IGC) : </p>
<p>Lensemble des moyens techniques et humains mis en uvre pour la dlivrance de certificats </p>
<p> Autorit de Certification (AC) : responsable de la PKI dicte les rgles (Politique de Certification) Est garante de leur respect </p>
<p> Autorit dEnregistrement (AE) : procde lenregistrement des porteurs </p>
<p> Oprateur de Certification (OC) : exploite les machines </p>
<p> Autorit de Rvocation, Autorit de Validation : rles complmentaires. </p>
<p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 14 </p>
<p>Le cycle de vie du certificat </p>
<p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 15 </p>
<p> Calcul technique : </p>
<p> Empreinte du document </p>
<p> Scellement par la clef prive </p>
<p> Ajout dlments complmentaires : </p>
<p> Le certificat du signataire et la chane de certification correspondante </p>
<p> Un jeton dhorodatage </p>
<p> Une preuve de validit du certificat (LCR ou OCSP) </p>
<p>Cinmatique de la signature </p>
<p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 16 </p>
<p>Cinmatique de la vrification </p>
<p> Calcul technique : </p>
<p> Empreinte du document </p>
<p> Epreinte initialement scelle </p>
<p> Comparaison des deux valeurs </p>
<p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 17 </p>
<p>Validit du certificat </p>
<p>Le document a bien t sign par le porteur du certificat </p>
<p>Mais qui est-ce ? </p>
<p> Vrifier la validit technique du certificat. </p>
<p> Sil est invalide ALERTE ! </p>
<p> Examiner lmetteur du certificat : </p>
<p> Si je nai pas confiance en cette AC </p>
<p> ALERTE ! </p>
<p> Si jai confiance en cette AC : </p>
<p> Comparer la date de la signature aux dates de validit du certificat </p>
<p> Vrifier la Liste des Certificats Rvoqus </p>
<p> Si tout est bon : le nom contenu dans le certificat est celui du signataire. </p>
<p>Mais ce signataire avait-il le droit de signer ? </p>
<p>Le document sign est-il correct sur la forme ? Sur le fond ? </p>
<p> La vrification se poursuit sur le plan juridique ! 29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 18 </p>
<p>Exemple : affichage de signature par Adobe Reader </p>
<p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 19 </p>
<p>Les formats de signatures </p>
<p> AdES = Advanced Electronic Signature </p>
<p> 3 formats : PAdES = format PDF </p>
<p> CAdES = format CMS / PKCS#7 </p>
<p> XAdES = format XML </p>
<p> Le choix est faire en fonction des contraintes du projet </p>
<p> Tous permettent dinclure les mmes lments : </p>
<p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 20 </p>
<p>Les niveaux de certificats </p>
<p> Le niveau de scurit offert par un certificat dpend : </p>
<p> Des procdures denregistrement </p>
<p> Du support du certificat (matriel / logiciel) </p>
<p> Des engagements de lAutorit de Certification </p>
<p> Les niveaux du RGS rpondent des ralits juridiques : </p>
<p>* Enregistrement distance </p>
<p>Support logiciel </p>
<p>Signature lectronique </p>
<p> simple </p>
<p>** Enregistrement en face face </p>
<p>Support matriel </p>
<p>Signature lectronique </p>
<p> scurise </p>
<p>*** Enregistrement en face face </p>
<p>Support matriel scuris </p>
<p>Certificat qualifi </p>
<p>Signature lectronique </p>
<p> prsume fiable </p>
<p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 21 </p>
<p>Les principes de la confiance </p>
<p> La confiance est un sentiment de scurit </p>
<p> Elle doit saccompagner de la prudence ! </p>
<p>Chane de confiance faible : Chane de confiance forte : </p>
<p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 22 </p>
<p>1.3 LES TENDANCES </p>
<p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 23 </p>
<p>La signature lectronique autonome </p>
<p> Le signataire a achet son certificat auprs dune AC du march </p>
<p> Il dispose sur son poste dun outil de signature lectronique </p>
<p> Il ralise ses signatures sur son poste, de manire autonome </p>
<p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 24 </p>
<p>La signature lectronique par applet </p>
<p> Le signataire a achet un certificat auprs dune AC du march </p>
<p> Loutil de signature est inclus dans le service appel </p>
<p> Le signataire ralise ses signatures sur son poste, dans le cadre du service </p>
<p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 25 </p>
<p>La signature lectronique la vole </p>
<p> Le signataire na pas de certificat, ni doutil de signature </p>
<p>lectronique </p>
<p> Le serveur lui prsente le contrat et </p>
<p>il donne son accord </p>
<p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 26 </p>
<p> Le serveur vrifie lidentit du signataire en lui envoyant un </p>
<p>dfi par SMS </p>
<p>La signature lectronique la vole </p>
<p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 27 </p>
<p>La signature lectronique la vole </p>
<p> Le serveur gnre une bi-clef de signature </p>
<p> Il gnre un certificat au nom du signataire </p>
<p> Il utilise la clef prive pour signer le document </p>
<p> Puis il dtruit la clef prive </p>
<p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 28 </p>
<p>La signature lectronique la vole </p>
<p> Le document est sign sur le serveur ! </p>
<p> A la prochaine signature, un </p>
<p>nouveau certificat </p>
<p>sera gnr </p>
<p> 29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 29 </p>
<p>La carte puce virtuelle </p>
<p> Le signataire na pas doutil de signature lectronique </p>
<p> Son certificat est conserv sur le serveur dans un espace scuris (HSM) </p>
<p> Le serveur lui prsente le contrat et il donne son accord </p>
<p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 30 </p>
<p> Le serveur vrifie lidentit du signataire en lui </p>
<p>envoyant un dfi par </p>
<p>SMS </p>
<p>La carte puce virtuelle </p>
<p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 31 </p>
<p>La carte puce virtuelle </p>
<p> Le document est sign sur le serveur ! </p>
<p> A la prochaine signature, le mme </p>
<p>certificat sera utilis </p>
<p> 29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 32 </p>
<p>La signature sur tablette </p>
<p> En agence, le client visualise le contrat </p>
<p> Il appose sa signature manuscrite sur la tablette </p>
<p> Une signature lectronique la vole est ralise en plus de la signature manuscrite </p>
<p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 33 </p>
<p>Le cachet lectronique </p>
<p> Les documents sont produits dans un processus automatis et envoys au serveur </p>
<p> Le serveur dispose dun certificat, au nom de la personne morale </p>
<p> Le cachet lectronique est une signature lectronique de personne morale </p>
<p> Il peut tre appos automatiquement </p>
<p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 34 </p>
<p>La tendance des tendances la rematrialisation </p>
<p>Prnom Nom </p>
<p>Adresse </p>
<p>Facture de prestations </p>
<p>De lentreprise Tartempion </p>
<p>Valant justificatif de domicile </p>
<p>Prestations123 </p>
<p> Prnom Nom Adresse Tartempion 123 </p>
<p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 35 </p>
<p>Prnom Nom </p>
<p>Adresse </p>
<p>Facture de prestations </p>
<p>De lentreprise Tartempion </p>
<p>Valant justificatif de domicile </p>
<p>Prestations123 </p>
<p>Exploitation du code 2D-DOC </p>
<p> Prnom Nom Adresse Tartempion 123 </p>
<p>Vrification technique Vrification </p>
<p>visuelle </p>
<p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 36 </p>
<p>2. Quelle signature lectronique choisir ? </p>
<p>1. Le droit de la dmat </p>
<p>2. Labsence de choix </p>
<p>3. Le choix </p>
<p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 37 </p>
<p>2.1 LE DROIT DE LA DEMATERIALISATION </p>
<p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 38 </p>
<p>Les prrequis : Le droit de la dmat </p>
<p>Le papier sauf Le droit llectronique </p>
<p>Le papier sauf Lobligation de dmatrialiser </p>
<p>Le droit la </p>
<p>dmatrialisation </p>
<p>Loi du 13 mars </p>
<p>2000 </p>
<p>Avant 2000 Loi du 21 juin 2004 </p>
<p>(LCEN) Loi du 4 aot </p>
<p>2008 de </p>
<p>modernisation </p>
<p>de lconomie </p>
<p>Convention de </p>
<p>preuve </p>
<p>ad </p>
<p>probationem </p>
<p>LEtat soblige a recevoir les factures </p>
<p>dmatrialises </p>
<p> ad </p>
<p>validitatem </p>
<p>Ordonnance du 8 </p>
<p>dcembre 2005 </p>
<p>(e-administration) </p>
<p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 39 </p>
<p>Oui mais 3 hypothses </p>
<p>Le prmch </p>
<p>Ex : Bull. Paie ou DPI </p>
<p>Limpos Ex : LRe </p>
<p>Le libre pour linstant </p>
<p>40 Copyright Lexing 2014 Confidentiel Entreprise 29/01/2014 </p>
<p>Et mme si cest possible Il ny a pas que 1316-4 dans la vie </p>
<p> Attendu que l'employeur fait grief l'arrt de dire le licenciement sans cause relle et srieuse, </p>
<p>alors, selon le moyen, que si une partie conteste l'authenticit d'un courrier lectronique, il appartient </p>
<p>au juge de vrifier si les conditions mises par les articles 1316-1 et 1316-4 du code civil la validit de </p>
<p>l'crit ou de la signature lectroniques sont satisfaites ; </p>
<p>qu'en affirmant que le grant de la socit AGL finances est bien l'auteur et l'expditeur d'un </p>
<p>courrier lectronique dont l'authenticit tait conteste, aux motifs que l'employeur ne rapport (ait) </p>
<p>pas la preuve que l'adresse de l'expditeur mentionne sur le courriel soit errone ou que la bote </p>
<p>d'expdition de la messagerie de l'entreprise ait t dtourne et qu' en tout tat de cause, un tel </p>
<p>dtournement ne pourrait tre imput Mme X... , sans vrifier, comme elle y tait tenue, si ledit </p>
<p>courriel avait t tabli et conserv dans des conditions de nature en garantir l'intgrit et s'il </p>
<p>comportait une signature lectronique rsultant de l'usage d'un procd fiable d'identification, la cour </p>
<p>d'appel a priv sa dcision de base lgale au regard des articles 287 du code de procdure civile, </p>
<p>1316-1 et 1316-4 du code civil ; </p>
<p>Mais attendu que les dispositions invoques par le moyen ne sont pas applicables au courrier </p>
<p>lectronique produit pour faire la preuve d'un fait, dont l'existence peut tre tablie par tous moyens de </p>
<p>preuve, lesquels sont apprcis souverainement par les juges du fond ; que le moyen n'est pas </p>
<p>fond </p>
<p>Cass Soc 25 sept 2013 </p>
<p>41 Copyright Lexing 2014 Confidentiel Entreprise 29/01/2014 </p>
<p>Mais rappelons demble que </p>
<p> Preuve dun droit ou preuve dun fait ? </p>
<p> Preuve libre ou preuve contrainte </p>
<p> La preuve contrainte = civile </p>
<p> La preuve libre +- tout le reste </p>
<p> Pnal, administratif, prud'homal </p>
<p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 42 </p>
<p>La question est donc </p>
<p>1. En ai-je besoin ? (gestion investissement) </p>
<p>2. Qui peut le plus peut le moins (gestion de risque) </p>
<p>43 Copyright Lexing 2014 Confidentiel Entreprise 29/01/2014 </p>
<p>2.2 LABSENCE DE CHOIX </p>
<p>44 Copyright Lexing 2014 Confidentiel Entreprise 29/01/2014 </p>
<p>Un exemple de non discussion </p>
<p>Pour que les procds de signature lectronique mis la </p>
<p>disposition des magistrats, des agents du greffe et des </p>
<p>personnes habilites en vertu de l'article R. 123-14 du code de </p>
<p>l'organisation judiciaire soient prsums fiables au sens </p>
<p>de l'article 2 du dcret du 30 mars 2001 susvis, ils doivent </p>
<p>respecter les exigences du rfrentiel gnral de scurit du </p>
<p>niveau trois toiles (***). En outre, la signature doit tre </p>
<p>scurise et tre cre par un dispositif scuris cer...</p>
