Le renouveau de la signature électronique_cabinet Alain Bensoussan_29 01 2014

  • Published on
    14-Sep-2014

  • View
    308

  • Download
    4

Embed Size (px)

DESCRIPTION

 

Transcript

<p>Diapositive 1</p> <p>Signature lectronique 3.0 Le futur est dj prsent </p> <p>Petit-djeuner dbat du 29 janvier 2014 </p> <p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 1 </p> <p>Introduction </p> <p>Contexte Le dploiement </p> <p>Enjeux Les nouvelles formes de signature </p> <p>Dfi La conformit </p> <p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 2 </p> <p>PLAN </p> <p>1. Etat des lieux, par Dimitri </p> <p>Mouton, Socit Demaeter </p> <p>2. Choisir la bonne signature si cest possible </p> <p>3. Dployer sans risque sous rserve de lapprciation souveraine des tribunaux </p> <p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 3 </p> <p>1. Etat des lieux, Dimitri Mouton, Demaeter </p> <p>1. Un beau fouillis </p> <p>2. Les fondamentaux </p> <p>3. Les tendances </p> <p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 4 </p> <p>1.1 LE FOUILLIS </p> <p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 5 </p> <p>PKI </p> <p>Signature lectronique </p> <p>Authentification </p> <p>Clef prive </p> <p>Clef publique </p> <p>Engagement </p> <p>IGC </p> <p>RSA </p> <p>2048 bits </p> <p>RGS </p> <p>Certificat </p> <p>AC </p> <p>Classe 3+ </p> <p>2 toiles </p> <p>Prsomption de fiabilit </p> <p>Tablette </p> <p>Signature scurise Signature avance </p> <p>Certificat qualifi </p> <p>Convention de preuve </p> <p>Code PIN </p> <p>Authentification forte </p> <p>SMS </p> <p>Usurpation didentit </p> <p>CRL </p> <p>Horodatage </p> <p>OCSP </p> <p>X.509 V3 </p> <p>Autorit dEnregistrement </p> <p>PSCE </p> <p>PSCO </p> <p>RFC 3161 </p> <p>COFRAC </p> <p>ANSSI </p> <p>Politique de Signature Electronique </p> <p>PAdES </p> <p>PDF /A </p> <p>XAdES </p> <p>PKCS#7 </p> <p>PKCS#12 </p> <p>Loi du 13 mars 2000 </p> <p>Dcret du 30 mars 2001 </p> <p>Rglement europen </p> <p>CMS </p> <p>Signature dtache </p> <p>Applet java </p> <p>Propre au signataire </p> <p>Contrle exclusif </p> <p>SSCD </p> <p>Rvocation </p> <p>SHA256 </p> <p>Dlgation </p> <p>Parapheur </p> <p>A la vole </p> <p>OTP </p> <p>Intgrit </p> <p>Non-rpudiation </p> <p>Garantie de provenance </p> <p>Traabilit </p> <p>Prestataire qualifi </p> <p>Force probante </p> <p>Alice et Bob </p> <p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 6 </p> <p>Mais les usages sont l </p> <p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 7 </p> <p>Marchs publics </p> <p>Contrats B to B </p> <p>Immatriculations </p> <p>Dclarations sociales </p> <p>Commerce en ligne </p> <p>Contrats grand public en agence </p> <p>Actes notaris </p> <p>PV lectroniques </p> <p>Attestations de conformit </p> <p>Diplmes Actes - Contrle de lgalit </p> <p>Dlibrations </p> <p>Hlios - Comptabilit publique </p> <p>Dclarations de travaux </p> <p>Rseaux et canalisations </p> <p>Banque en ligne </p> <p>Dmarches administratives </p> <p>Rseau Priv Virtuel des Avocats </p> <p>Rseau Priv Virtuel de la Justice </p> <p>Tribunal de Commerce lectronique </p> <p>Actes authentiques </p> <p>Expertise comptable Chronotachygraphe </p> <p>Contrats de travail </p> <p>Emargements </p> <p>Feuille de soins lectronique </p> <p>Factures </p> <p>Dlgation de pouvoirs bancaires </p> <p>Lettre recommande lectronique </p> <p>Vote lectronique </p> <p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 8 </p> <p>Les typologies </p> <p>Signature scanne </p> <p>Signature manuscrite sur tablette </p> <p>Signature lectronique la vole </p> <p>Signature lectronique </p> <p>Avec ou sans </p> <p>accrditation </p> <p>Avec ou sans legal opinion </p> <p>Avec ou sans toiles </p> <p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 9 </p> <p>Les composantes dun service dmatrialis </p> <p>Dont la signature lectronique </p> <p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 10 </p> <p>1.2 LES FONDAMENTAUX </p> <p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 11 </p> <p>La signature lectronique : </p> <p>Dfinition pratique </p> <p>La signature lectronique est une signature </p> <p> Qui porte sur un document de nature lectronique. </p> <p>Lencre marque le papier La cryptographie garantit un lien entre le signataire et le document </p> <p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 12 </p> <p>A quoi sert un certificat </p> <p> Le certificat est une carte </p> <p>didentit dlivre par une </p> <p> Autorit de Certification </p> <p>ou Prestataire de Services </p> <p>de Certification </p> <p>lectronique </p> <p> Il peut servir : </p> <p> sauthentifier (contrle daccs) </p> <p> signer (signature lectronique, cachet, horodatage) </p> <p> chiffrer (confidentialit) </p> <p> 29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 13 </p> <p>La PKI </p> <p> PKI (Public Key Infrastructure), aussi appele Infrastructure clef publique (ICP) ou Infrastructure de Gestion de Clefs (IGC) : </p> <p>Lensemble des moyens techniques et humains mis en uvre pour la dlivrance de certificats </p> <p> Autorit de Certification (AC) : responsable de la PKI dicte les rgles (Politique de Certification) Est garante de leur respect </p> <p> Autorit dEnregistrement (AE) : procde lenregistrement des porteurs </p> <p> Oprateur de Certification (OC) : exploite les machines </p> <p> Autorit de Rvocation, Autorit de Validation : rles complmentaires. </p> <p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 14 </p> <p>Le cycle de vie du certificat </p> <p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 15 </p> <p> Calcul technique : </p> <p> Empreinte du document </p> <p> Scellement par la clef prive </p> <p> Ajout dlments complmentaires : </p> <p> Le certificat du signataire et la chane de certification correspondante </p> <p> Un jeton dhorodatage </p> <p> Une preuve de validit du certificat (LCR ou OCSP) </p> <p>Cinmatique de la signature </p> <p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 16 </p> <p>Cinmatique de la vrification </p> <p> Calcul technique : </p> <p> Empreinte du document </p> <p> Epreinte initialement scelle </p> <p> Comparaison des deux valeurs </p> <p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 17 </p> <p>Validit du certificat </p> <p>Le document a bien t sign par le porteur du certificat </p> <p>Mais qui est-ce ? </p> <p> Vrifier la validit technique du certificat. </p> <p> Sil est invalide ALERTE ! </p> <p> Examiner lmetteur du certificat : </p> <p> Si je nai pas confiance en cette AC </p> <p> ALERTE ! </p> <p> Si jai confiance en cette AC : </p> <p> Comparer la date de la signature aux dates de validit du certificat </p> <p> Vrifier la Liste des Certificats Rvoqus </p> <p> Si tout est bon : le nom contenu dans le certificat est celui du signataire. </p> <p>Mais ce signataire avait-il le droit de signer ? </p> <p>Le document sign est-il correct sur la forme ? Sur le fond ? </p> <p> La vrification se poursuit sur le plan juridique ! 29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 18 </p> <p>Exemple : affichage de signature par Adobe Reader </p> <p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 19 </p> <p>Les formats de signatures </p> <p> AdES = Advanced Electronic Signature </p> <p> 3 formats : PAdES = format PDF </p> <p> CAdES = format CMS / PKCS#7 </p> <p> XAdES = format XML </p> <p> Le choix est faire en fonction des contraintes du projet </p> <p> Tous permettent dinclure les mmes lments : </p> <p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 20 </p> <p>Les niveaux de certificats </p> <p> Le niveau de scurit offert par un certificat dpend : </p> <p> Des procdures denregistrement </p> <p> Du support du certificat (matriel / logiciel) </p> <p> Des engagements de lAutorit de Certification </p> <p> Les niveaux du RGS rpondent des ralits juridiques : </p> <p>* Enregistrement distance </p> <p>Support logiciel </p> <p>Signature lectronique </p> <p> simple </p> <p>** Enregistrement en face face </p> <p>Support matriel </p> <p>Signature lectronique </p> <p> scurise </p> <p>*** Enregistrement en face face </p> <p>Support matriel scuris </p> <p>Certificat qualifi </p> <p>Signature lectronique </p> <p> prsume fiable </p> <p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 21 </p> <p>Les principes de la confiance </p> <p> La confiance est un sentiment de scurit </p> <p> Elle doit saccompagner de la prudence ! </p> <p>Chane de confiance faible : Chane de confiance forte : </p> <p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 22 </p> <p>1.3 LES TENDANCES </p> <p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 23 </p> <p>La signature lectronique autonome </p> <p> Le signataire a achet son certificat auprs dune AC du march </p> <p> Il dispose sur son poste dun outil de signature lectronique </p> <p> Il ralise ses signatures sur son poste, de manire autonome </p> <p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 24 </p> <p>La signature lectronique par applet </p> <p> Le signataire a achet un certificat auprs dune AC du march </p> <p> Loutil de signature est inclus dans le service appel </p> <p> Le signataire ralise ses signatures sur son poste, dans le cadre du service </p> <p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 25 </p> <p>La signature lectronique la vole </p> <p> Le signataire na pas de certificat, ni doutil de signature </p> <p>lectronique </p> <p> Le serveur lui prsente le contrat et </p> <p>il donne son accord </p> <p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 26 </p> <p> Le serveur vrifie lidentit du signataire en lui envoyant un </p> <p>dfi par SMS </p> <p>La signature lectronique la vole </p> <p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 27 </p> <p>La signature lectronique la vole </p> <p> Le serveur gnre une bi-clef de signature </p> <p> Il gnre un certificat au nom du signataire </p> <p> Il utilise la clef prive pour signer le document </p> <p> Puis il dtruit la clef prive </p> <p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 28 </p> <p>La signature lectronique la vole </p> <p> Le document est sign sur le serveur ! </p> <p> A la prochaine signature, un </p> <p>nouveau certificat </p> <p>sera gnr </p> <p> 29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 29 </p> <p>La carte puce virtuelle </p> <p> Le signataire na pas doutil de signature lectronique </p> <p> Son certificat est conserv sur le serveur dans un espace scuris (HSM) </p> <p> Le serveur lui prsente le contrat et il donne son accord </p> <p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 30 </p> <p> Le serveur vrifie lidentit du signataire en lui </p> <p>envoyant un dfi par </p> <p>SMS </p> <p>La carte puce virtuelle </p> <p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 31 </p> <p>La carte puce virtuelle </p> <p> Le document est sign sur le serveur ! </p> <p> A la prochaine signature, le mme </p> <p>certificat sera utilis </p> <p> 29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 32 </p> <p>La signature sur tablette </p> <p> En agence, le client visualise le contrat </p> <p> Il appose sa signature manuscrite sur la tablette </p> <p> Une signature lectronique la vole est ralise en plus de la signature manuscrite </p> <p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 33 </p> <p>Le cachet lectronique </p> <p> Les documents sont produits dans un processus automatis et envoys au serveur </p> <p> Le serveur dispose dun certificat, au nom de la personne morale </p> <p> Le cachet lectronique est une signature lectronique de personne morale </p> <p> Il peut tre appos automatiquement </p> <p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 34 </p> <p>La tendance des tendances la rematrialisation </p> <p>Prnom Nom </p> <p>Adresse </p> <p>Facture de prestations </p> <p>De lentreprise Tartempion </p> <p>Valant justificatif de domicile </p> <p>Prestations123 </p> <p> Prnom Nom Adresse Tartempion 123 </p> <p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 35 </p> <p>Prnom Nom </p> <p>Adresse </p> <p>Facture de prestations </p> <p>De lentreprise Tartempion </p> <p>Valant justificatif de domicile </p> <p>Prestations123 </p> <p>Exploitation du code 2D-DOC </p> <p> Prnom Nom Adresse Tartempion 123 </p> <p>Vrification technique Vrification </p> <p>visuelle </p> <p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 36 </p> <p>2. Quelle signature lectronique choisir ? </p> <p>1. Le droit de la dmat </p> <p>2. Labsence de choix </p> <p>3. Le choix </p> <p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 37 </p> <p>2.1 LE DROIT DE LA DEMATERIALISATION </p> <p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 38 </p> <p>Les prrequis : Le droit de la dmat </p> <p>Le papier sauf Le droit llectronique </p> <p>Le papier sauf Lobligation de dmatrialiser </p> <p>Le droit la </p> <p>dmatrialisation </p> <p>Loi du 13 mars </p> <p>2000 </p> <p>Avant 2000 Loi du 21 juin 2004 </p> <p>(LCEN) Loi du 4 aot </p> <p>2008 de </p> <p>modernisation </p> <p>de lconomie </p> <p>Convention de </p> <p>preuve </p> <p>ad </p> <p>probationem </p> <p>LEtat soblige a recevoir les factures </p> <p>dmatrialises </p> <p> ad </p> <p>validitatem </p> <p>Ordonnance du 8 </p> <p>dcembre 2005 </p> <p>(e-administration) </p> <p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 39 </p> <p>Oui mais 3 hypothses </p> <p>Le prmch </p> <p>Ex : Bull. Paie ou DPI </p> <p>Limpos Ex : LRe </p> <p>Le libre pour linstant </p> <p>40 Copyright Lexing 2014 Confidentiel Entreprise 29/01/2014 </p> <p>Et mme si cest possible Il ny a pas que 1316-4 dans la vie </p> <p> Attendu que l'employeur fait grief l'arrt de dire le licenciement sans cause relle et srieuse, </p> <p>alors, selon le moyen, que si une partie conteste l'authenticit d'un courrier lectronique, il appartient </p> <p>au juge de vrifier si les conditions mises par les articles 1316-1 et 1316-4 du code civil la validit de </p> <p>l'crit ou de la signature lectroniques sont satisfaites ; </p> <p>qu'en affirmant que le grant de la socit AGL finances est bien l'auteur et l'expditeur d'un </p> <p>courrier lectronique dont l'authenticit tait conteste, aux motifs que l'employeur ne rapport (ait) </p> <p>pas la preuve que l'adresse de l'expditeur mentionne sur le courriel soit errone ou que la bote </p> <p>d'expdition de la messagerie de l'entreprise ait t dtourne et qu' en tout tat de cause, un tel </p> <p>dtournement ne pourrait tre imput Mme X... , sans vrifier, comme elle y tait tenue, si ledit </p> <p>courriel avait t tabli et conserv dans des conditions de nature en garantir l'intgrit et s'il </p> <p>comportait une signature lectronique rsultant de l'usage d'un procd fiable d'identification, la cour </p> <p>d'appel a priv sa dcision de base lgale au regard des articles 287 du code de procdure civile, </p> <p>1316-1 et 1316-4 du code civil ; </p> <p>Mais attendu que les dispositions invoques par le moyen ne sont pas applicables au courrier </p> <p>lectronique produit pour faire la preuve d'un fait, dont l'existence peut tre tablie par tous moyens de </p> <p>preuve, lesquels sont apprcis souverainement par les juges du fond ; que le moyen n'est pas </p> <p>fond </p> <p>Cass Soc 25 sept 2013 </p> <p>41 Copyright Lexing 2014 Confidentiel Entreprise 29/01/2014 </p> <p>Mais rappelons demble que </p> <p> Preuve dun droit ou preuve dun fait ? </p> <p> Preuve libre ou preuve contrainte </p> <p> La preuve contrainte = civile </p> <p> La preuve libre +- tout le reste </p> <p> Pnal, administratif, prud'homal </p> <p>29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 42 </p> <p>La question est donc </p> <p>1. En ai-je besoin ? (gestion investissement) </p> <p>2. Qui peut le plus peut le moins (gestion de risque) </p> <p>43 Copyright Lexing 2014 Confidentiel Entreprise 29/01/2014 </p> <p>2.2 LABSENCE DE CHOIX </p> <p>44 Copyright Lexing 2014 Confidentiel Entreprise 29/01/2014 </p> <p>Un exemple de non discussion </p> <p>Pour que les procds de signature lectronique mis la </p> <p>disposition des magistrats, des agents du greffe et des </p> <p>personnes habilites en vertu de l'article R. 123-14 du code de </p> <p>l'organisation judiciaire soient prsums fiables au sens </p> <p>de l'article 2 du dcret du 30 mars 2001 susvis, ils doivent </p> <p>respecter les exigences du rfrentiel gnral de scurit du </p> <p>niveau trois toiles (***). En outre, la signature doit tre </p> <p>scurise et tre cre par un dispositif scuris cer...</p>