Sécurité de la. dématérialisation De la signature électronique au coffre-fort numérique, une démarche de mise en œuvre. D i m i t r i M o u t o n

Transcription

1 D i m i t r i M o u t o n Préface d Alain Bobant, président de la FNTC Sécurité de la dématérialisation De la signature électronique au coffre-fort numérique, une démarche de mise en œuvre Groupe Eyrolles, 2012, ISBN :

2 Cas pratiques accès au compte bancaire 56 Achatpublic.com 43, 117, 125, 149, 201 Adobe Reader 200 affaire Kerviel 299 anonymisation de données médicales 26 Applatoo 47, 154 archivage des s 241 des versions de travail des documents 241 du code source 242 attaque man in the middle 104 contre Facebook 141 authentification forte 195 badge multi-usage 275 Banque Casino 203 Carte nationale d identité électronique 129 Certigreffe 109 changement de certificat 68 CNIE (Carte nationale d identité électronique) 129 confidentialité des s 146 conservation des contrats conclus avec des particuliers 248 construction d un bâtiment 235 dématérialisation des achats 293 des factures 9 des marchés publics 149, 153, 166, 184, 216, 233 fiscale des factures 192, 271 dépôt de marque à l INPI 57 DICT.fr 44, 205 Diginotar 133, 139 documents RH 241, 246 données médicales 157 e-attestations 44, 205 e-bourgogne 280 e-commerce 217 e-stonia 129 ETSCAF 145 horodatage de signature électronique 223 huissiers de justice 244 Idénum 131 jedeclare.com 281 jeux d argent et de hasard en ligne 215, 233 justificatif de domicile 8 lettre recommandée électronique 217 magasin de certificats de Windows 97 Microsoft Office 199 notaires 244 parapheur électronique

3 Planet Limousin 70, 120, 202, 204, 213, 280 réponse aux marchés publics 57 reseaux-et-canalisations.gouv.fr 70 réseaux sociaux 57 scellement d un certificat 194 d une LCR 194 d une réponse OCSP 194 d un horodatage 194 de code exécutable 193 des traces applicatives 194 services publics dématérialisés 218 signature électronique d s 180 d un fichier ZIP 179 et engagement 273 par tablette graphique 189 Signexpert 199, 282 souscription de contrat dématérialisé en agence 205 télédéclaration IR 38 Télé IR 202 téléservice Réseaux et canalisations 117, 126, 192, 202, 206, 217 traçabilité bancaire 215, 220 des FAI et fournisseurs d hébergement de contenu 216 et données à caractère personnel 272 validation des CGU 206 vérifier une signature manuscrite 87 vote par Internet 150, 153, 155, 231 Définitions AC (Autorité de certification) 92, 107 accusé de réception 227 AdES-A (Archiving) 177 AdES (Advanced Electronic Signature) 177 AdES-BES (Basic Electronic Signature) 177 AdES-C (Complete) 177 AdES-L (Long-term) 177 AdES-T (Timestamp) 177 AdES-X (Extended) 177 AE (Autorité d enregistrement) 107 annuaire 78 anonymisation 157 ANSSI (Agence nationale de la sécurité des systèmes d information) 30 applet Java 200 AR (Autorité de révocation) 108 archivage électronique 235, 262 plan d 245 archives courantes 242 définitives 243 intermédiaires 243 recherche d 249 restauration d 249 Arjel (Autorité de régulation des jeux en ligne) 215 attaque écoute et rejeu 77 force brute 33, 74 man in the middle 133 par dictionnaire 75 authentification 28, 58 d un serveur 64 faible 69 forte 69 jeton d

4 autorité d enregistrement 107 d horodatage 222 de certification 92, 107 de révocation 108 de validation 108 AV (Autorité de validation) 108 bac à sable 193 badge multi-usage 275 bi-clé 28 BPM 10 cachet 191 politique de 260 serveur 191 CAdES (CMS Advanced Electronic Signature) 177, 197 captcha 76 Card Management System 275 carte à puce 100 cercle de confiance 83 certificat 32, 85 AKI 91 autosigné 110, 118 Basic constraints 92 classe 120 CN (Common Name) 90 CRLDP 91 dates de validité 91 délivrance 109 demande 109 DN (Distinguished Name) 89 enveloppe autonome 97 Extended key usage 91 famille de 92, 107 interopérabilité 122 Key usage 91 magasin de 95 numéro de série 91 porteur de 107 profil de 89 qualifié 121, 168 renouvellement 117 révocation 113 scellement 93 SKI 91 stratégie de 92 support 94 support dynamique externalisé 98 support matériel 99 suspension 115 utilisateur de 107 validation 115 Certificate Revocation List 114 Certificate Signing Request 110 certification chaîne de la 118 croisée 119 de sécurité de premier niveau 48 opérateur de 108 politique de 259 chaînage cryptographique des traces 225 chaîne de la certification 118 de la confiance 51 chiffrement 29, 146 classe de certificat 120 clé cryptographique USB 100 privée 27 publique 27 secrète 32 symétrique 32 taille de la 30 CMS (Card Management System) 275 coffre-fort électronique 237 Cofrac (Comité français d accréditation) 49 condensation 24 confiance

5 confidentialité 143 politique de 263 contremarque de temps 222 convention de preuve 254 CRL (Certificate Revocation List) 114 cross-certification 119 cryptage 146 cryptographie à clé publique 27 à clé secrète 32 asymétrique 27 symétrique 32 CSPN (Certification de sécurité de premier niveau) 48 CSR (Certificate Signing Request) 110 déclaration de pratiques 257 défi/réponse 64 délivrance de certificat 109 Delta LCR 115 demande de certificat 109 dématérialisation 7 dictionnaire (attaque par) 75 donnée à caractère personnel 144 données métier 212 Dublin Core 246 écoute et rejeu (attaque par) 77 empreinte 24 enregistrement 107 enrôlement 107 entiercement 242 enveloppe autonome 97 étoiles du RGS 123 famille de certificats 92, 107 fédération d identités 83 FNTC (Fédération nationale des tiers de confiance) 41 fournisseur d identités 83 GED 10 génération de clés embarquée 101 gestion des habilitations 145 des identités et des accès 10 des processus métier 10 électronique de documents 10 Hardware Security Module (HSM) 102 hash 24 horodatage 221 autorité d 222 certifié 222 jeton d 222 politique d 258 simple 221 HSM (Hardware Security Module) 102 IAM 10 ICP (Infrastructure à clé publique) 108 identifiant 60 constitution 72 identification 58 identité 55 numérique 56 IGC (Infrastructure de gestion de clés) 108 index 238 infrastructure à clé publique 108 de gestion de clés 108 inscription en ligne 82 intégrité 193 interopérabilité des certificats 122 ISO jeton d horodatage 222 key logger 76 LCR (Liste de certificats révoqués) 114 logs techniques 224 magasin de certificats 95 de confiance 124 man in the middle

6 matériel cryptographique 102 méta-annuaire 79 métadonnées 238, 246 mot de passe 60 à usage unique 61 constitution 74 dynamique 61 fort 74 obfuscation 157 OC (Opérateur de certification) 108 OCSP (Online Certificate Status Protocol) 116 OTP (One-Time Password) 61 PAdES (PDF Advanced Electronic Signature) 177, 197 PC (Politique de certification) 107 PDF/A 243 PGP 137 phishing 77 PIN (Personal Identification Number) 101 PKI (Public Key Infrastructure) 108 plan d archivage 245 de classement 245 politique d archivage électronique 240, 262 de cachet 260 de certification 92, 107, 259 de confidentialité 263 de gestion des identités et d authentification 263 de signature électronique 260 de traçabilité et de gestion de preuves 231, 261 d horodatage 258 PoP (Proof of Possession) 109 porteur de certificat 107 prestataire de validation de certificats électroniques 43 prestataire de services d archivage électronique 43 d horodatage électronique 43, 222 de certification électronique (PSCE) 43, 92, 107 de confiance 42 qualification 42 de gestion de preuves 43 de signature électronique 43 de validation de certificats électroniques 43 preuve cryptographique 225 de possession 109 renversement de la charge de la 170 principe des quatre yeux 151 profil d acheteur 216 Proof of Possession 109 protocole de consentement 203 provenance 193 PSAE (Prestataire de services d archivage électronique) 43 PSCE (Prestataire de services de certification électronique) 43, 92, 107 PSCO (Prestataire de services de confiance) 42 qualification 42, 49 PSGP (Prestataire de services de gestion de preuves) 43 PSHE (Prestataire de services d horodatage électronique) 43, 222 PSSE (Prestataire de services de signature électronique) 43 Public Key Infrastructure 108 PUK (PIN Unlocking Key) 101 PVCE (Prestataire de validation de certificats électroniques)

7 qualification des produits de sécurité 47 question secrète 68 recherche d archives 249 rejeu 69 rejouable 69 renouvellement de certificat 117 renversement de la charge de la preuve 170 restauration d archives 249 réversibilité 240 révocation 113 RGS (Référentiel général de sécurité) 23 étoiles 123 sauvegarde 236 sécurité 35 applicative 11, 18 chaîne de la 21 comportementale 19 technique 16 session 60 signataire 168, 171 signature d approbation 179 de certification 179 définition juridique 165 pratique 161 électronique 29 à la volée 203 avancée 171 définition 162, 166, 171, 175 dispositif sécurisé de création 101 politique de 260 présumée fiable 166, 170 sécurisée 169 simple 168 vérification 180, 181, 184 Single Sign-On 80 source de temps 221 SSL (Secure Socket Layer) 63 SSO (Single Sign-On) 80 stockage 236 strate 221 stratégie de certificat 92 support de certificat 94 dynamique externalisé 98 logiciel 95 matériel 99 système de gestion des cartes 275 TBS Certificate 110 test de Turing 76 tiers archiveur 240 de confiance 40 TLS (Transport Layer Security) 63 traçabilité 211 traces applicatives 224 Turing (test de) 76 URL 63 utilisateur de certificat 107 VABF (Vérification d aptitude au bon fonctionnement) 288 validation de certificat 115 Vérification d aptitude au bon fonctionnement (VABF) 288 vérification de signature électronique 180 XAdES (XML Advanced Electronic Signature) 177, 197 Normes 2TUP 267 AES 32, 147, 149, 154, 287 AES CBC 32 AES ECB

8 CAdES (CMS Advanced Electronic Signature) 22, 177, 178, 179, 197, 202, 222, 261, 287 CAPI 104 CMS 148, 177 Convergence 140 CSP (Cryptographic Service Providers) 104, 193 CSPN (Certificat de sécurité de premier niveau) 233 EBIOS (Expression des besoins et identification des objectifs de sécurité) 124, 284 ElGamal 151 ETSI , 127 extreme programming 267 GS1, recommandations pour l échange de factures dématérialisées fiscalement 192 ISO ISO ISO ISO ISO ISO ITIL 267 label FNTC coffre-fort électronique 237 tiers archiveur 237 LDAP 79 Merise 267 MoReq NF Z , 237 NF Z NTP (Network Time Protocol) 221 OAIS (Open Archival Information System) 237 PAdES (PDF Advanced Electronic Signature) 22, 177, 178, 179, 197, 202, 261, 287 PC/SC (Personal Computer/ Smart Card) 104 PGP 137 PKCS 22 PKCS#7 148, 177 PKCS#11 104, 193 PKCS#12 98, 156 PKCS# RACHE (Rapid Application Conception and Heuristic Extreme-programming) 267 Référentiel général d accessibilité pour les administrations (RGAA) 287 Référentiel général d interopérabilité (RGI) 287 RFC RFC , 116 RFC , 148 RFC RFC , 222 annexe A 223 RFC RFC RFC RFC , 89, 115 RGAA (Référentiel général d accessibilité pour les administrations) 287 RGI (Référentiel général d interopérabilité) 287 RGS (Référentiel général de sécurité) 23, 167, 172, 191, 258, 259, 274, 282 étoiles 23 RSA 27, 147, 149, 154, 164, 175, 287 SHA256 24, 175, 287 S/MIME 148 Sovereign Keys 140 SSL (Secure Socket Layer) 63, 151 standard d échange de données pour l archivage DAF 237 Time Stamp Protocol (TSP)

9 TLS (Transport Layer Security) 63 TSP (Time Stamp Protocol) 222 UML 286 X X , 90 XAdES (XML Advanced Electronic Signature) 22, 177, 178, 179, 197, 261, 287 XMLDSig 178 Paroles d experts Borghesi Alain, Cecurity.com 239 Caprioli Éric, avocat, cabinet Caprioli et associés 252 Colin Pascal, Keynectis 50 Denuzière Jean, Ilex 81 Du Boullay Charles, CDC Fast et CDC Arkhinéo 218 Kaeb Thomas, Wacom 188 Maraval Philippe, Pôle Emploi 185 Maréchaux Bertrand, ANTS 130 Mattatia Fabrice, CDC 131 Plas Didier, Genitech 287 Poidevin Emmanuel, e-attestations 45 Pourcher Gilles, Région Limousin 294 Saphores Jean, CSOEC 281 Treins Michel, Ineris 71 Trotin Armelle, LSTI 135 Vantorre Ignace, Sogelink 20 Zimmermann Philip, cryptologue 139 Textes législatifs et réglementaires arrêté du 26 juillet du 28 août RGS du 18 mai Code civil article article article article article , 194, 239 article , 254 article article , 165, 166, 187, 260, 272, 273, 282 article Code de commerce, article L Code de la consommation article L , 255 article L article R Code de la propriété intellectuelle article L article L Code des marchés publics 185 article , 271 article Code des postes et télécommunications, article L Code général des impôts annexe 3, article 96 F 272 article 289 V 192, 271 communication de la Commission européenne du 8 octobre décret n du 3 décembre n du 30 mars , 107, 122, 164, 166, 168, 169, 170, 191, 272,

10 n du 18 avril , 49 n du 2 février RGS du 2 février délibération CNIL n du 21 octobre , 232 directive 1999/93/CE du 13 décembre , 39, 121, 164, 171, 172, 173, 191, 192, 251 Commerce électronique 2000/31/CE du 8 juin loi Informatique et libertés n du 6 janvier , 11, 144, 220, 230, 272 n du 13 mars , 164, 166, 251, 252 n pour la confiance dans l économie numérique (LCEN) du 21 juin , 122, 215 n du 6 août n du 12 mai n du 12 mai ordonnance n du 8 décembre , 42, 218, 227, 256 règlement n de la Banque de France 51 RGS (Référentiel général de sécurité) 23, 39, 42,