Le renouveau de la signature ©lectronique_cabinet Alain Bensoussan_29 01 2014

Diapositive 1

Signature lectronique 3.0 Le futur est dj prsent

Petit-djeuner dbat du 29 janvier 2014

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 1

Introduction

Contexte Le dploiement

Enjeux Les nouvelles formes de signature

Dfi La conformit

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 2

PLAN

1. Etat des lieux, par Dimitri

Mouton, Socit Demaeter

2. Choisir la bonne signature si cest possible

3. Dployer sans risque sous rserve de lapprciation souveraine des tribunaux

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 3

1. Etat des lieux, Dimitri Mouton, Demaeter

1. Un beau fouillis

2. Les fondamentaux

3. Les tendances

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 4

1.1 LE FOUILLIS

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 5

PKI

Signature lectronique

Authentification

Clef prive

Clef publique

Engagement

IGC

RSA

2048 bits

RGS

Certificat

AC

Classe 3+

2 toiles

Prsomption de fiabilit

Tablette

Signature scurise Signature avance

Certificat qualifi

Convention de preuve

Code PIN

Authentification forte

SMS

Usurpation didentit

CRL

Horodatage

OCSP

X.509 V3

Autorit dEnregistrement

PSCE

PSCO

RFC 3161

COFRAC

ANSSI

Politique de Signature Electronique

PAdES

PDF /A

XAdES

PKCS#7

PKCS#12

Loi du 13 mars 2000

Dcret du 30 mars 2001

Rglement europen

CMS

Signature dtache

Applet java

Propre au signataire

Contrle exclusif

SSCD

Rvocation

SHA256

Dlgation

Parapheur

A la vole

OTP

Intgrit

Non-rpudiation

Garantie de provenance

Traabilit

Prestataire qualifi

Force probante

Alice et Bob

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 6

Mais les usages sont l

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 7

Marchs publics

Contrats B to B

Immatriculations

Dclarations sociales

Commerce en ligne

Contrats grand public en agence

Actes notaris

PV lectroniques

Attestations de conformit

Diplmes Actes - Contrle de lgalit

Dlibrations

Hlios - Comptabilit publique

Dclarations de travaux

Rseaux et canalisations

Banque en ligne

Dmarches administratives

Rseau Priv Virtuel des Avocats

Rseau Priv Virtuel de la Justice

Tribunal de Commerce lectronique

Actes authentiques

Expertise comptable Chronotachygraphe

Contrats de travail

Emargements

Feuille de soins lectronique

Factures

Dlgation de pouvoirs bancaires

Lettre recommande lectronique

Vote lectronique

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 8

Les typologies

Signature scanne

Signature manuscrite sur tablette

Signature lectronique la vole

Signature lectronique

Avec ou sans

accrditation

Avec ou sans legal opinion

Avec ou sans toiles

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 9

Les composantes dun service dmatrialis

Dont la signature lectronique

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 10

1.2 LES FONDAMENTAUX

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 11

La signature lectronique :

Dfinition pratique

La signature lectronique est une signature

Qui porte sur un document de nature lectronique.

Lencre marque le papier La cryptographie garantit un lien entre le signataire et le document

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 12

A quoi sert un certificat

Le certificat est une carte

didentit dlivre par une

Autorit de Certification

ou Prestataire de Services

de Certification

lectronique

Il peut servir :

sauthentifier (contrle daccs)

signer (signature lectronique, cachet, horodatage)

chiffrer (confidentialit)

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 13

La PKI

PKI (Public Key Infrastructure), aussi appele Infrastructure clef publique (ICP) ou Infrastructure de Gestion de Clefs (IGC) :

Lensemble des moyens techniques et humains mis en uvre pour la dlivrance de certificats

Autorit de Certification (AC) : responsable de la PKI dicte les rgles (Politique de Certification) Est garante de leur respect

Autorit dEnregistrement (AE) : procde lenregistrement des porteurs

Oprateur de Certification (OC) : exploite les machines

Autorit de Rvocation, Autorit de Validation : rles complmentaires.

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 14

Le cycle de vie du certificat

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 15

Calcul technique :

Empreinte du document

Scellement par la clef prive

Ajout dlments complmentaires :

Le certificat du signataire et la chane de certification correspondante

Un jeton dhorodatage

Une preuve de validit du certificat (LCR ou OCSP)

Cinmatique de la signature

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 16

Cinmatique de la vrification

Calcul technique :

Empreinte du document

Epreinte initialement scelle

Comparaison des deux valeurs

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 17

Validit du certificat

Le document a bien t sign par le porteur du certificat

Mais qui est-ce ?

Vrifier la validit technique du certificat.

Sil est invalide ALERTE !

Examiner lmetteur du certificat :

Si je nai pas confiance en cette AC

ALERTE !

Si jai confiance en cette AC :

Comparer la date de la signature aux dates de validit du certificat

Vrifier la Liste des Certificats Rvoqus

Si tout est bon : le nom contenu dans le certificat est celui du signataire.

Mais ce signataire avait-il le droit de signer ?

Le document sign est-il correct sur la forme ? Sur le fond ?

La vrification se poursuit sur le plan juridique ! 29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 18

Exemple : affichage de signature par Adobe Reader

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 19

Les formats de signatures

AdES = Advanced Electronic Signature

3 formats : PAdES = format PDF

CAdES = format CMS / PKCS#7

XAdES = format XML

Le choix est faire en fonction des contraintes du projet

Tous permettent dinclure les mmes lments :

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 20

Les niveaux de certificats

Le niveau de scurit offert par un certificat dpend :

Des procdures denregistrement

Du support du certificat (matriel / logiciel)

Des engagements de lAutorit de Certification

Les niveaux du RGS rpondent des ralits juridiques :

* Enregistrement distance

Support logiciel

Signature lectronique

simple

** Enregistrement en face face

Support matriel

Signature lectronique

scurise

*** Enregistrement en face face

Support matriel scuris

Certificat qualifi

Signature lectronique

prsume fiable

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 21

Les principes de la confiance

La confiance est un sentiment de scurit

Elle doit saccompagner de la prudence !

Chane de confiance faible : Chane de confiance forte :

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 22

1.3 LES TENDANCES

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 23

La signature lectronique autonome

Le signataire a achet son certificat auprs dune AC du march

Il dispose sur son poste dun outil de signature lectronique

Il ralise ses signatures sur son poste, de manire autonome

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 24

La signature lectronique par applet

Le signataire a achet un certificat auprs dune AC du march

Loutil de signature est inclus dans le service appel

Le signataire ralise ses signatures sur son poste, dans le cadre du service

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 25

La signature lectronique la vole

Le signataire na pas de certificat, ni doutil de signature

lectronique

Le serveur lui prsente le contrat et

il donne son accord

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 26

Le serveur vrifie lidentit du signataire en lui envoyant un

dfi par SMS

La signature lectronique la vole

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 27

La signature lectronique la vole

Le serveur gnre u