Modalités d accès aux cartes CPx

ESPACE NATIONAL DE CONFIANCE SANTÉ Modalités d accès aux cartes CPx Cryptolib CPS v5 Enjeux et déploiement

Sommaire Cryptolib CPS v5 Enjeux et déploiement A. Rappels CPS et Cryptolibs CPS B. Présentation de la Cryptolib CPS v5 C. Etat d avancement des travaux de la Cryptolib CPS v5 D. Zoom sur la mise en œuvre du volet IAS E. Documentation 2

Introduction 3

Introduction Le nouvel outil d accès à la carte CPS : la Cryptolib CPS en version 5 a été mis à disposition des industriels depuis mi-2013 pour test. Devant les retours positifs et les avantages induits pour les industriels il a été décidé de la généraliser à partir de septembre 2014. Tous les outils et services fournis par l ASIP santé préconisent désormais la Cryptolib CPS v5 ; la Cryptolib CPS v4 n est plus maintenue. Parmi les avantages de la Cryptolib CPS v5 (qui sont détaillées dans le présent document) on peut noter : L utilisation du volet CPS3 de la carte CPS qui améliore le niveau de sécurité des transactions qui mettent en œuvre la cryptographie de la carte (authentification et signature). La possibilité de mise en œuvre du volet sans contact de la CPS3 La simplification de la gestion des lecteurs de carte la Cryptolib CPS v5 gérant indifféremment les lecteurs bi-fentes (historique FSE) et les lecteurs standards PC/SC Le présent document rappelle les modes de fonctionnement de la CPS3 et de la Cryptolib CPS v5 et introduit des recommandations de mise en œuvre pour son volet IAS. 4

CHAPITRE A Rappels CPS et Cryptolibs CPS 5

CHAPITRE A - RAPPELS CPS ET CRYPTOLIBS CPS CPS2ter vs CPS3 et Cryptolib CPS associées La CPS2ter comportait un unique volet : le volet CPS2ter. La CPS3 comporte plusieurs volets : le volet CPS2ter (permettant une totale compatibilité ascendante, notamment pour le système de facturation SESAM Vitale et les TLSi de l'assurance Maladie), le volet CPS3 et le volet sans contact. Les modalités d accès aux volets sont présentés ci-après : Volet Cryptolib CPS Cryptolib CPS v4 Cryptolib CPS v5 CPS2ter (Technologie propriétaire) X X CPS3 (Standard IAS v1.0.1) Sans contact (Standard IAS v1.0.1) X X Seule la Cryptolib CPS v5 permet d accéder aux volets CPS3 et sans contact. 6

CHAPITRE A - RAPPELS CPS ET CRYPTOLIBS CPS Usages actuels déployés de la Cryptolib CPS La Cryptolib CPS est le middleware permettant aux différentes applications d utiliser la carte CPS dans : les télé-services de l ASIP Santé, i.e. DMP, MSSanté, Accès aux données du RPPS,, certains télé-services de la CNAMTS, i.e. Espace Pro, TLSi,. tous les télé-services désirant bénéficier de l espace de confiance santé dont les produits de certification fournis par l ASIP Santé sont les «titres fondateurs». Les services de génération des Feuilles de Soin Electronique de l Assurance Maladie n utilisent pas les Cryptolib CPS pour accéder aux données de la CPS : ils utilisent l interface FSV (origine GIE-SV) pour lire le DAM (Données de l Assurance Maladie) du volet CPS2ter. La prochaine version des FSV mettant en œuvre la facturation en ordres transparents fera appel aux service de la Cryptolib CPS V5 pour la signature CPS des feuilles de soins électroniques et des lots. 7

CHAPITRE A - RAPPELS CPS ET CRYPTOLIBS CPS Historique La Cryptolib CPS v4 est une version packagée et autoinstallable de la Cryptolib CPS v3 permettant sa prise en compte par les installeurs PC et Mac à destination des établissements de santé (elle n a pas d apport fonctionnel) ODI est l Outil de Diagnostic et d Installation du poste de travail. Il installe, entre autres, la Cryptolib CPS 8

CHAPITRE B Présentation de la Cryptolib CPS version 5 (v5) 9

CHAPITRE B - PRÉSENTATION DE LA CRYPTOLIB CPS V5 Nouveaux Usages La Cryptolib CPS v5 : accepte des installations sur lecteur bi-fente PSS comme sur lecteur PC/SC sans adaptation particulière. Si les éditeurs intègrent ou supportent la Cryptolib CPS v5 dans leurs produits, les installations, notamment en établissement de santé sous infrastructure Client/Serveur, n imposent plus de mise en œuvre du GALSS. La Cryptolib CPS v5 réconcilie les filières GALSS et full PC/SC ce qui réduit la complexité du poste de travail, le nombre de livrables et les charges de maintenance. assure une compatibilité ascendante. Elle intègre les composants de la Cryptolib CPS v4 (CPS2ter). Elle est donc entièrement compatible avec les installations existantes le déploiement peut se faire en avance de phase sur la mise en œuvre par les éditeurs des modes de fonctionnement IAS de la carte CPS3. permet l usage du volet sans contact de la CPS3. L accès aux fonctionnalités sans contact permet aux établissements de santé de déployer des solutions de mobilité attendues par ces établissements (ex : authentification applicative via roaming de session ou d application). existe en version 64 bits. Les navigateurs utilisés peuvent être lancés en mode 64 bits. De même ceci permet aux éditeurs de proposer à leurs utilisateurs des versions 64 bits de leurs logiciels. Ce mode 64 bits est également requis pour les utilisations de type «sécurisation du SI» (exemple : Smart Card Logon) pour lesquels des mécanismes natifs intégrés au système sont mis en œuvre. 10

CHAPITRE B - PRÉSENTATION DE LA CRYPTOLIB CPS V5 Conformité aux standards de sécurité La Cryptolib CPS v5 : renforce le niveau de sécurité des opérations d authentification et de signature par la mise en œuvre du volet IAS. L utilisation du volet IAS garantit une sécurité renforcée par rapport à la CPS2ter par la mise en œuvre de taille de clefs supérieures à celles du volet CPS2ter (2048 bits) et du SHA2. Un mécanisme interne à la Cryptolib CPS v5 (imposé par la norme IAS) renforce la sécurité de l utilisation de la signature en cloisonnant les contextes cryptographiques des applications/logiciels entre elles. En effet, chaque application/logiciel doit authentifier le porteur afin d utiliser les fonctionnalités de la carte CPS3 volet IAS à travers de la Cryptolib CPS v5. Ce cloisonnement garantit donc qu aucune application, ou aucun logiciel, «indésirable» ne peut accéder à la CPS sans l autorisation du porteur. intègre les certificats racines des autorités de certification de l IGC-Santé. En sus des apports sécurité et accès aux capacités sans contact mais aussi de la capacité à fonctionner avec des lecteurs standards PC/SC, la Cryptolib CPS V5 inclut nativement les racines liées à la nouvelle IGC santé (dispensant ainsi de fournir une nouvelle version des Cryptolib CPS V4). 11

CHAPITRE B - PRÉSENTATION DE LA CRYPTOLIB CPS V5 La norme IAS La norme IAS découle d une volonté d abord française, puis européenne, d uniformiser les pratiques sur les opérations cryptographiques. Elle est rédigée conjointement par des experts industriels dans le cadre de travaux dirigés par le GIXEL et l ANTS. La norme IAS définit les préconisations à suivre lorsqu un industriel construit un service proposant à ses utilisateurs des mécanismes d Identification, d Authentification et de Signature. La carte CPS3, et par conséquent son middleware associé la Cryptolib CPS v5, applique la norme IAS-ECC dans sa version 1.01. L organisme, équivalent au GIXEL, du gouvernement des Etats-Unis, i.e. le NIST, réalise des travaux strictement équivalents : la norme FIPS201 qui définit la carte du fonctionnaire fédéral et applique les mêmes principes. 12

CHAPITRE B - PRÉSENTATION DE LA CRYPTOLIB CPS V5 Rationalisation des livrables Comparaison livrables actuels / livrables Cryptolib CPS v5 : Windows Mac OS X Cryptolib CPS v4 Windows Filière «GALSS» Cryptolib CPS v4 Mac OS X Filière «GALSS» Cryptolib CPS v1 Windows Filière «Full PC/SC» Cryptolib CPS v1 Mac OS X Filière «Full PC/SC» Lecteurs gérés Filière GALSS: PSS et PC/SC Filière Full PC/SC : PC/SC uniquement Linux Cryptolib CPS v3 Linux Filière «GALSS» Cryptolib CPS v1 Linux Filière «Full PC/SC» Remplacé par Windows Cryptolib CPS v5 Windows (32 & 64 bits) Lecteurs gérés Mac OS X Cryptolib CPS v5 MacOS PSS (bi-fente FSE) et PC/SC Linux Cryptolib CPS v5 Linux Réduction du nombre de livrables Simplification de la gestion du poste de travail (disparition de la complexité engendrée par les 2 filières historiques «GALSS» et «Full PC/SC») Homogénéisation de la gestion des versions 13

CHAPITRE B - PRÉSENTATION DE LA CRYPTOLIB CPS V5 Stratégie de migration Avant le déploiement : Lorsque les Cryptolibs CPS déployées sont en version 4, les Applications s appuient au choix sur : L API CPS L interface PKCS#11 Ou les mécanismes du système d exploitation : CSP (Windows), Tokend (Mac OS X). 14

CHAPITRE B - PRÉSENTATION DE LA CRYPTOLIB CPS V5 Stratégie de migration Début du déploiement : Au démarrage du déploiement, la compatibilité ascendante est garantie par l intégration dans l installeur v5 des composants v4 suivants : L API CPS L interface PKCS#11 Les mécanismes du système d exploitation v5 sont entièrement compatibles. Ainsi le passage de la v4 à la v5 n impacte pas les LPS installés sur les postes de travail. 15

CHAPITRE B - PRÉSENTATION DE LA CRYPTOLIB CPS V5 Stratégie de migration Suite du déploiement : Dans un deuxième temps, les éditeurs et intégrateurs doivent adapter leurs logiciels afin de leur faire utiliser le volet IAS de la CPS3 à travers les services de la Cryptolib CPS V5. Les éditeurs ayant déjà fait les choix d implémentation recommandés par Microsoft, Apple, l ASIP Santé et le GIE SESAM-VITALE ont une très faible charge de développement, i.e. utilisation des interfaces PKCS#11 et CSP. Les navigateurs ne sont pas impactés. 16

CHAPITRE C Etat d avancement des travaux 17

CHAPITRE C - ETAT D AVANCEMENT DES TRAVAUX Planning ASIP Santé 2013 2014 T4 T1 T2 Juil. Août Sept. Oct. Nov. Accompagnement des éditeurs Cryptolib CPS v5 Mise à disposition des éditeurs pour test Documentation technique Cf. page suivante 1 2 3 Déploiement Cryptolib CPS v5 par les services de l ASIP Santé DMP, MS Santé par la facturation par Ordres Transparents 18

CHAPITRE C - ETAT D AVANCEMENT DES TRAVAUX Accompagnement des éditeurs au déploiement de la Cryptolib CPS v5 L accompagnement des éditeurs est prévu en 3 étapes : Intégration des composants de la Cryptolib CPS v4 (CPS2ter) dans l installeur de la Cryptolib CPS v5 : Pour test disponible depuis mi 2013 Généralisation (dans tous les outils et services proposés par l ASIP Santé) à partir du 1 er Septembre 2014 Publication d une suite documentaire technique disponible sur notre site interne dédié aux éditeurs et aux intégrateurs (integrateurs-cps.asipsante.fr) : 1 Note Technique décrivant précisément les points d attention quant à la migration technique de l utilisation des composants de la Cryptolib CPS v4 vers ceux de la Cryptolib CPS v5, notamment depuis le composant API CPS. Note publiée en décembre 2013 2 3 Mise à jour de la Note Technique précédente aidant les éditeurs à appréhender les impacts des standards industriels actuels dans leur architecture logicielle, notamment lors de la migration décrite au point précédent : Note publiée en septembre 2014 : ASIP-PTS-PSCE_NP_Cryptolib-CPS-v5-Impacts-migration- CPS2Ter-CPS3_20140912_v1.2.6. Note Technique aidant à la mise en œuvre de solutions basées sur les capacités sans-contact de la carte CPS3 : Note à paraître : ASIP-PTS-PSCE_NP_CPS3-Sans-Contact_2014xxxx_v1.0.x. 19

CHAPITRE D Zoom sur la mise en œuvre du volet IAS 20

CHAPITRE D - ZOOM SUR LA MISE EN ŒUVRE DU VOLET IAS Contexte de mise en œuvre du volet IAS Plusieurs facteurs définissent ce contexte : Une des contraintes du standard IAS, comme de tous les standards cryptographiques internationaux, est de séparer les services cryptographiques d authentification et de signature quant à la vérification du code porteur. La migration vers le volet IAS est une nécessité en terme de sécurisation des informations de santé. Le standard IAS supporte les dernières avancées en terme de services cryptographiques. Un mécanisme interne à la Cryptolib CPS v5 renforce la sécurité de l utilisation de la signature en cloisonnant les contextes cryptographiques des applications et/ou des logiciels entre eux. Pour bénéficier totalement des améliorations sécuritaires du volet IAS un certain nombre de bonnes pratiques, pour les accès applicatifs à la Cryptolib CPS, doivent être mis en œuvre. 21

CHAPITRE D - ZOOM SUR LA MISE EN ŒUVRE DU VOLET IAS Cloisonnement applicatif Chaque application et chaque logiciel doit authentifier le porteur afin d utiliser les fonctionnalités cryptographiques de la carte CPS3 volet IAS à travers la Cryptolib CPS v5. Ce cloisonnement garantit qu aucune application, ou aucun logiciel, «indésirable» ne peut accéder à la CPS sans l autorisation du porteur. Les choix d architecture d invocation offerts par la Cryptolib CPS v5 sont : soit par l utilisation du CSP qui est le composant promu par Microsoft. soit en utilisant directement la librairie au standard PKCS11. Les autres architectures, en accord avec le GIE SESAM-Vitale, comme par exemple l utilisation de l API CPS, ne sont pas recommandées. 22

CHAPITRE D - ZOOM SUR LA MISE EN ŒUVRE DU VOLET IAS Cloisonnement applicatif Suivant l architecture globale choisie pour le logiciel, le cloisonnement applicatif peut avoir des conséquences ergonomiques, notamment une augmentation des demandes de code porteur. Lorsque l architecture globale d un logiciel est hétérogène dans ses modalités d accès à la Cryptolib CPS, les contextes cryptographies de chaque accès sont alors désunis. Le cloisonnement applicatif impose alors une réauthentification du porteur par mode d accès. Une méthode unique d accès aux services cryptographiques de la carte CPS doit être choisie. Elle doit être appliquée à l ensemble du logiciel. La note technique des «Préconisations d architecture LPS» présente les différentes approche possibles, cf. Accompagnement des éditeurs. 23

CHAPITRE D - ZOOM SUR LA MISE EN ŒUVRE DU VOLET IAS Cloisonnement applicatif et cloisonnement système Il est à noter que cette préconisation ne s applique pas uniquement dans le contexte de la Cryptolib CPS v5. En effet, du point de vue des éditeurs de système d exploitation, la stratégie actuelle appliquée par tous est le cloisonnement des contextes d exécution applicatif. L objectif de cette stratégie de sécurité est de garantir à l utilisateur que les échanges entre des applications d origines différentes sont maîtrisés. Les contextes d exécution intègrent : l espace mémoire, le stockage physique, les périphériques, les ressources d une manière générale. L EPM (le Mode Protégé Renforcé) disponible sous Windows depuis sa version 7 est un exemple de cette orientation générale. 24

CHAPITRE E Documentation 25

CHAPITRE E - DOCUMENTATION Déjà paru (1/2) La documentation technique accompagnant la Cryptolib CPS v5 est disponible sur le site interne dédié aux éditeurs et aux intégrateurs (integrateurs-cps.asipsante.fr). Guide de mise en œuvre technique destiné plus spécifiquement aux chefs de projets de maitrises d œuvre et aux architectes techniques et applicatifs : ASIP-PTS_Guide-de-mise-en-oeuvre-d-une-authentification-forte-avec-unecarte-CPS_20131217_v0.2.4. Note Technique décrivant les mécanismes de détection des composants de Cryptolib CPS installés : ASIP-PTS-PSCE_NP_Guide-implementation-Detection-Cryptolib- CPS_20140305_v1.0.0. Manuel de programmation à l intention des éditeurs : ASIP-PTS-PSCE_MP_Cryptolib-CPS-v5-Manuel-deprogrammation_20131016_v1.5.0. Note Technique décrivant les mécanismes de détection de l arrachage de la carte CPS de son lecteur : ASIP-PTS-PSCE_NP_Guide-implementation-detection-arrachage- CPS_20131017_v1.0.3. décembre 2012 mars 2014 octobre 2013 octobre 2013 26

CHAPITRE E - DOCUMENTATION Déjà paru (2/2) La documentation technique accompagnant la Cryptolib CPS v5 est disponible sur le site interne dédié aux éditeurs et aux intégrateurs (integrateurs-cps.asipsante.fr). 2 Note Technique décrivant précisément les points d attention quant à la migration technique de l utilisation des composants de la Cryptolib CPS v4 vers ceux de la Cryptolib CPS v5 et aidant les éditeurs à appréhender les impacts des standards industriels actuels dans leur architecture logicielle, notamment lors de la migration : ASIP-PTS-PSCE_NP_Cryptolib-CPS-v5-Impacts-migration-CPS2Ter- CPS3_20140912_v1.2.6. septembre 2014 (mise à jour de la version d octobre 2013) 27

CHAPITRE E - DOCUMENTATION À paraître La documentation technique accompagnant la Cryptolib CPS v5 est disponible sur le site interne dédié aux éditeurs et aux intégrateurs (integrateurs-cps.asipsante.fr). 3 Note Technique aidant à la mise en œuvre de solutions basées sur les capacités sans-contact de la carte CPS3 : Note à paraître : ASIP-PTS-PSCE_NP_CPS3-Sans-Contact_2014xxxx_v1.0.x. 2014 28