Guide d'implémentation de la solution 3SKey pour les entreprises 18 mars 2011
Table des matières 1 Concepts de la solution 3SKey... 3 2 Gestion des tokens au sein de l entreprise... 4 2.1 Concept d utilisateur ou d administrateur... 4 2.2 Notion d Alias... 5 2.3 Notion de code de sécurité... 5 3 Installation des drivers sur le poste de travail... 6 3.1 Type de token... 6 3.2 Mot de passe... 6 3.3 Pré-requis technique... 6 3.4 Compatibilité du poste de travail... 7 3.5 Installation des drivers... 8 4 Cinématique de l activation des tokens vierges... 9 4.1 Procédure courte : Cas d un token préalablement déclaré sur le portail... 9 4.2 Procédure longue : Cas d un token inconnu du portail... 9 5 Activation des tokens (description de la procédure longue)... 10 5.1 Connexion sécurisée au portail...10 5.2 Acceptation des conditions d utilisation de 3skey...11 5.3 Etape numéro 1 : Changement de mot de passe...12 5.4 Etape numéro 2 : Téléchargement du certificat...13 5.5 Etape numéro 3 : Génération et archivage du code de sécurité...14 5.6 Etape numéro 4 : Définition de l Alias...15 5.7 Etape numéro 5 : Déclaration du second administrateur...16 6 Gestion des situations exceptionnelles... 19 6.1 Perte de mot de passe...19 6.2 Token perdu ou défectueux...19 6.3 Révocation d un token...19 7 Contact du support SWIFT... 21 2 Guide d'implémentation entreprise
Concepts de la solution 3SKey 1 Concepts de la solution 3SKey 3SKey est une solution développée par SWIFT pour le compte des banques et visant à mettre à disposition de leurs clients des certificats permettant soit de signer électroniquement des fichiers de remise de paiements soit de s authentifier sur des portails de type web banking. L utilisation de 3SKey pour la signature de fichiers est indépendante du mode de communication utilisé pour envoyer ce fichier à la banque. Les principes de la solution sont les suivants : SWIFT joue le rôle d autorité de certification et, à ce titre, délivre des certificats aux utilisateurs finaux. Les certificats sont stockés sur des clés cryptographiques (token). Les tokens inactifs sont distribués par les banques. Les certificats sont téléchargés par l utilisateur. Plutôt que de porter les attributs classiques des utilisateurs, tels que nom, prénom, adresse email, les certificats portent un identifiant unique constitué d une chaine de caractère du type corp12345678. Au sein de la banque, l identité du porteur du certificat est connue par le biais d un processus d association entre l identifiant unique et l identité réelle du porteur. Ce processus est propre à chaque banque et répond soit à ses propres critères de sécurité soit aux critères établis par la réglementation du pays dans lequel le certificat est utilisé. De part ce mode de fonctionnement, l identité des utilisateurs n est donc jamais diffusée à l extérieur de la banque. A ce titre, SWIFT lui-même n a pas connaissance de l identité des porteurs de certificats. D un point de vue pratique, la mise en œuvre de 3SKey pour un utilisateur nécessite de passer par les 4 étapes suivantes : Etape 1 : obtenir un token inactif auprès d une banque distributrice; Etape 2 : installer les drivers du token sur son poste de travail; Etape 3 : activer le token (télécharger le certificat auprès de SWIFT); Etape 4 : déclarer son identifiant unique auprès de chaque banque. 18 mars 2011 3
2 Gestion des tokens au sein de l entreprise Par gestion des tokens, on entend toutes les fonctions relatives à l administration des tokens et des certificats, c'est-à-dire activation, distribution, révocation, changement de mot de passe, renouvellement Ces opérations s effectuent via le portail https://www.3skey.com et nécessitent d avoir connecté un token (activé ou non) sur la machine. 2.1 Concept d utilisateur ou d administrateur La gestion des tokens de 3SKey est prévue pour répondre au besoin des entreprises de toute taille, et permettre ainsi une utilisation de type individuel, ou bien une utilisation au sein d un ou plusieurs groupes de signataires gérés par des administrateurs. Pour se faire, le portail 3SKey lie au token les concepts d utilisateur ou d administrateur : un «utilisateur» dispose d un accès à un nombre limité de fonctionnalités du portail 3SKey, lui permettant de gérer uniquement son propre token. Un utilisateur reçoit toujours son token de la part d un administrateur qui l a préalablement déclaré dans son groupe. Après activation, le token de l utilisateur est prêt à être utilisé pour signer des transactions bancaires. Un «administrateur» dispose pour sa part d un ensemble de fonctionnalités étendues, lui permettant de gérer un groupe d utilisateurs. Indépendamment de ce rôle, le token de l administrateur peut être utilisé également pour signer des transactions bancaires. Par principe, les administrateurs vont par paires, tandis que les «utilisateurs» sont individuels. Ne peuvent être définis comme utilisateurs que des tokens préalablement déclarés dans un groupe par un administrateur. Tout token non préalablement déclaré sur le portail comme faisant partie d un groupe sera donc considéré comme un administrateur d un nouveau groupe. Il devra donc être activé en même temps qu un second token. Tout groupe d utilisateurs dispose d un minimum de 2 administrateurs. Une institution doit donc disposer d un minimum de 2 tokens. Exemple d organisation des utilisateurs en un groupe unique, géré par 2 administrateurs : 4 Guide d'implémentation entreprise
Gestion des tokens au sein de l entreprise Organisation d une entreprise disposant de groupes de signataires dans différents bureaux indépendants : 2.2 Notion d Alias Le portail permet d associer un alias à chaque token, de façon à pouvoir identifier plus facilement son porteur. La valeur de l Alias peut être changée à tout moment par l administrateur du groupe. Tout comme les rôles d administrateurs et d utilisateurs, la notion d Alias n a de valeur que sur le portail et ne sera pas reprise dans les applications bancaires utilisatrices du token. 2.3 Notion de code de sécurité Durant les phases d activation du token, le portail procède à la création d un code de sécurité et il est demandé à l utilisateur de le télécharger sur son poste et de l archiver de façon sécurisée. Ce code de sécurité est l équivalent d un code PUK de téléphone portable. Il permet de résoudre certains problèmes comme la perte ou la destruction d un token, sans pour autant perdre l identifiant unique qui lui est lié. L utilisation du code de sécurité est décrite dans le chapitre consacré aux situations d exception. Il convient de conserver ce code de sécurité en lieu sûr. En cas de perte du code de sécurité, un utilisateur peut demander la création d un nouveau code en se connectant avec son token sur le portail. Note Attention : la perte simultanée du code PIN du token et de son code de sécurité rendent le token inopérant et l identifiant unique non récupérable. Ceci peut avoir des conséquences importantes sur les activités du porteur. 18 mars 2011 5
3 Installation des drivers sur le poste de travail 3.1 Type de token Dans cette première version de 3SKey, SWIFT a qualifié 2 types de tokens: «etoken Pro» et «etoken NG-Flash». - etoken Pro est un token simple, permettant uniquement de stocker un certificat 3SKey. Son installation nécessite le téléchargement d un programme d installation, via le lien suivant : http://www.swift.com/resources/3skey/3skeyinstall.zip - etoken NG-Flash propose la même fonctionnalité et offre en complément une mémoire Flash de 1GO. Celle-ci embarque les utilitaires d installation des drivers. Les tokens inactifs sont livrés aux distributeurs sans signe distinctif, et peuvent faire l objet d une personnalisation de leur part. 3.2 Mot de passe Les tokens sont remis aux destinataires avec un mot de passe qui devra être changé au cours de l activation. L absence de ce mot de passe rend l activation du token impossible. Le nouveau mot de passe doit être constitué d un minimum de 4 caractères distincts. 3.3 Pré-requis technique Les pré-requis technique au niveau du poste de travail de l utilisateur 3SKey sont les suivants : OS Espace disque Internet Explorer Version JAVA Ports USB Windows XP service pack 3, ou supérieur Windows Vista service pack 1, ou supérieur Windows 7 32-bits Windows 7 64-bits en avril 2011 Minimum 100 MB 6.0 ou supérieur 1.6 (mise à niveau par le programme d installation si nécessaire) Dans tous les cas, un port libre Pour certaines opérations, disposer de 2 ports libres 6 Guide d'implémentation entreprise
Installation des drivers sur le poste de travail Note Le déroulement de la procédure d installation nécessite l attribution temporaire des droits d administration du poste de travail. 3.4 Compatibilité du poste de travail Pour un token de type «etoken Pro», télécharger l utilitaire d installation (depuis l adresse suivante http://www.swift.com/resources/3skey/3skeyinstall.zip) et lancer la décompression du fichier dans un répertoire au choix. Lancer ensuite l exécution de l utilitaire : PDITokenSelfTest.bat Pour un token de type «etoken NG-Flash», le même programme est disponible directement dans la zone mémoire du token. L exécution de cet utilitaire vérifie la compatibilité du poste et retourne le résultat sous la forme suivante : Les indications en vert confirment la compatibilité du poste de travail. Celles en rouge permettent de vérifier la présence ou non des drivers sur le poste. 18 mars 2011 7
3.5 Installation des drivers Comme indiqué ci-dessus, l installation des drivers s effectue en lançant l exécutable PDIToken.bat. Par défaut les programmes s installent sous c:\program Files\3skey. (rappel, pour les tokens de type «etoken Pro», télécharger le programme d installation depuis le lien suivant http://www.swift.com/resources/3skey/3skeyinstall.zip). Aucune intervention n est nécessaire, sauf si l installer doit mettre à niveau la version de JVM. Dans ce cas, il est recommandé d accepter la mise à niveau proposée. L exécution complète peut prendre quelques minutes. L outil d installation procède également à l installation du certificat de l AC de SWIFT sur le poste. Répondre par oui à cette question. En fonctionnement normal, l installation se termine par le message suivant : Le poste de travail sera donc prêt pour les étapes suivantes, après un redémarrage complet de la machine. Si l installation venait à échouer, prendre contact avec le support de SWIFT (cf chapitre spécifique à la fin de ce document). A noter qu au-delà de cette étape, il n est plus nécessaire de disposer des droits d administration. Cas particulier des tokens de type «etoken NG-Flash»: suivant le paramétrage de l ordinateur, la fenêtre suivante peut s ouvrir à chaque fois qu un token est branché sur la machine : Il convient soit de l ignorer, soit de paramétrer le poste pour bloquer son ouverture automatique. 8 Guide d'implémentation entreprise
Cinématique de l activation des tokens vierges 4 Cinématique de l activation des tokens vierges Les processus d activation des tokens varient suivant le rôle associé aux tokens. 4.1 Procédure courte : Cas d un token préalablement déclaré sur le portail Il s agit d un token appartenant soit à un utilisateur, soit à un second administrateur d un groupe existant. Dans les 2 cas, le token a fait l objet d une déclaration par un administrateur. L activation se déroule alors en 3 étapes distinctes : - Etape 1 : changement de mot de passe - Etape 2 : téléchargement du certificat. - Etape 3 : génération et stockage du code de sécurité 4.2 Procédure longue : Cas d un token inconnu du portail Tout token non déclaré au préalable sur le portail sera donc considéré administrateur d un nouveau groupe. - Etape 1 : changement de mot de passe - Etape 2 : téléchargement du certificat. - Etape 3 : génération et stockage du code de sécurité - Etape 4 : définition de l Alias. - Etape 5 : déclaration du token du second administrateur. Note Important : pour mener à son terme la procédure longue, il faut disposer de deux tokens inactifs. Il faut également deux ports USB disponibles sur la machine. 18 mars 2011 9
5 Activation des tokens (description de la procédure longue) Note Important : ne jamais débrancher le token de la machine durant les phases d activation. Toute interruption inopinée peut conduire à la mise hors service du token lui-même. De même, il convient d enchainer les étapes dans un délai inférieur à 5mn, délai au terme duquel la connexion sécurisée est considérée comme inactive par le portail et désactivée, ce qui nécessite de se reconnecter pour reprendre le processus au dernier point validé. 5.1 Connexion sécurisée au portail La première étape du processus d activation d un token nécessite de brancher le token sur un port USB et d ouvrir le lien https://www.3skey.com dans internet explorer. Il s en suit l établissement d une connexion sécurisée vers le portail. La fenêtre suivante apparaît : Saisir le mot de passe et cliquer sur OK (ce mot de passe a normalement été fourni avec le token inactif). L opération se répète une seconde fois, pour enfin accéder au portail lui-même : 10 Guide d'implémentation entreprise
Activation des tokens (description de la procédure longue) Saisir le mot de passe une troisième fois pour entrer effectivement sur le portail. 5.2 Acceptation des conditions d utilisation de 3skey A la première connexion, l écran d accueil est le suivant : Cliquer dans la case à cocher pour accepter les conditions d utilisation des tokens, puis cliquer sur continuer pour avoir accès à l étape suivante : 18 mars 2011 11
(Traduction de la note affichée à l écran : ce token ne fait pas partie d un groupe d utilisateurs 3skey connu. L activation de ce token conduira à la création d un nouveau groupe. Une fois entamée, cette procédure ne peut être arrêtée et doit être menée à son terme. Pour rejoindre un groupe d utilisateur existant au sein de votre institution, un des administrateurs de ce groupe doit au préalable vous déclarer en tant qu utilisateur. Il vous sera possible ensuite de vous reconnecter au portail pour procéder à l activation de votre token). Comme indiqué dans la section «principe de gestion des tokens», si le token n est pas au préalable déclaré par un administrateur comme faisant partie d un groupe, il sera par défaut considéré comme administrateur d un nouveau groupe. Cliquer sur continuer pour lancer l activation et créer un nouveau groupe. (Traduction des informations affichées à l écran : ce token n est pas activé. Avant d utiliser ce token pour signer des transactions, vous devez procéder à son activation. Cette procédure prend quelques minutes et ne doit pas être interrompue. Ne fermez pas cette fenêtre avant d avoir atteint l étape 6. Pour utiliser ce token à des fins uniquement de révocation, cliquez sur le bouton cancel et utilisez ensuite les fonctions de gestion de clés). Note Rappel: Dans le cas de la procédure longue, un second token vierge est nécessaire pour mener cette activation à son terme (principe du groupe formé par un minimum de 2 tokens de type administrateur). 5.3 Etape numéro 1 : Changement de mot de passe Dans l écran précédant, cliquer sur Next : 12 Guide d'implémentation entreprise
Activation des tokens (description de la procédure longue) (Traduction des informations affichées à l écran: vous devez changer votre mot de passe. Il doit être constitué d un minimum de 4 caractères. Vous ne pouvez utiliser le mot de passe précédent. Saisissez le mot de passe actuel, définissez le nouveau et confirmez). 5.4 Etape numéro 2 : Téléchargement du certificat Cliquer sur «change» pour confirmer la création du nouveau mot de passe et passer automatiquement à l étape numéro 2 de création du certificat : 18 mars 2011 13
(Traduction des informations affichées à l écran: votre token est en cours d activation. Vous allez recevoir un code de sécurité que vous devrez télécharger dans un fichier. Sauvegardez le fichier et conservez-le pour un possible usage ultérieur. Ne débranchez pas votre token durant les phases d activation). Les étapes listées ci-dessus s enchainent automatiquement, sans intervention de l utilisateur. 5.5 Etape numéro 3 : Génération et archivage du code de sécurité Une fois l activation réalisée, le portail propose la création du code de sécurité du token: (Traduction des informations affichées à l écran: Si votre token est perdu, endommagé ou à risque, pensez à le révoquer pour éviter toute mauvaise utilisation. Vous pouvez récupérer l identité d un token révoqué. Vous devrez pour cela utiliser votre code de sécurité et disposer d un nouveau token vierge. Si vous avez perdu votre code de sécurité, vous pouvez en générer un nouveau à l aide de votre token et de son mot de passe). A l issue de la création du code de sécurité, l écran suivant apparaît. 14 Guide d'implémentation entreprise
Activation des tokens (description de la procédure longue) Confirmer le téléchargement du code de sécurité et s assurer du stockage en lieu sûr avant de passer à suivante. 5.6 Etape numéro 4 : Définition de l Alias Comme indiqué précédemment, l alias permet de personnifier les tokens au niveau du portail afin d identifier plus facilement son porteur. 18 mars 2011 15
5.7 Etape numéro 5 : Déclaration du second administrateur Note Important : ne pas débrancher le token du premier administrateur. L étape suivante consiste à déclarer le second administrateur du groupe. Cet administrateur devra procéder lui-même à l activation de son propre token, en reprenant les différentes étapes décrites jusqu ici (procédure courte). Après avoir cliqué sur «set» ce qui confirme la création de l alias, la fenêtre suivante apparaît : (Traduction des informations affichées à l écran: pour finaliser la création du groupe d utilisateurs 3SKey, merci de déclarer un second administrateur). Il convient alors de connecter le second token vierge sur la machine : bien conserver les 2 tokens branchés simultanément. Le second token est reconnu automatiquement par le portail : 16 Guide d'implémentation entreprise
Activation des tokens (description de la procédure longue) Saisir le mot de passe du second token ainsi qu un alias. Ceci permet de finaliser la création du groupe de token ainsi que l activation du premier token administrateur. En fin de processus, l écran suivant est affiché : 18 mars 2011 17
Il résume l ensemble des fonctionnalités proposées à l administrateur qui sont : Pour la catégorie «gestion des tokens» La génération d un nouveau code de sécurité Le changement de mot de passe La révocation Pour celle de la «gestion des utilisateur» L ajout de nouveaux utilisateurs La gestion de ces utilisateurs La mise en état de «recovery» pour un identifiant unique afin de pouvoir le transferer sur un nouveau token. L administrateur peut également obtenir le détail de son token et de son certificat et accéder à une page d assistance en ligne. 18 Guide d'implémentation entreprise
Gestion des situations exceptionnelles 6 Gestion des situations exceptionnelles Le portail permet aux utilisateurs et administrateurs de gérer des situations d exceptions, telles que : - La perte de mot de passe, - Le remplacement de tokens perdus ou défectueux, - La revocation du token. 6.1 Perte de mot de passe L utilisateur dispose de 5 tentatives pour saisir un mot de passe valide. Après 5 échecs, le token se bloque, devient inutilisable et doit être remplacé. Même si il n est pas bloqué, en l absence de mot de passe un token devient inutilisable et doit être remplacé. Dans cette situation, il est possible d activer un nouveau token, tout en conservant l identifiant unique déclaré auprès des partenaires bancaires. La procédure à appliquer est la suivante : Un des administrateurs du groupe dans lequel se trouve le token en erreur ajoute dans ce groupe un nouveau token non activé. Il procède ensuite à une pré-activation en utilisant la fonction «setup for recovery» (préparation au renouvellement) dans laquelle il sélectionne l identifiant unique à transférer et le token de destination. Ce token pré-activé est ensuite remis à l utilisateur, qui l active à l aide de la fonction «recover» (renouvellement) du portail. Cette dernière étape nécessite l utilisation du code de sécurité du token d origine afin de pouvoir faire le lien avec l identifiant unique porté par le token précédent. 6.2 Token perdu ou défectueux La procédure décrite ci-dessus s applique à l identique pour les tokens défectueux ou perdus. Note Important : Si l utilisateur n est pas en mesure de fournir le code de sécurité du token d origine, le transfert de l identifiant unique est impossible, il est donc perdu. Dans ce cas, Il devient nécessaire d activer un nouveau token, qui portera également un nouvel identifiant qui devra être déclaré auprès des banques. 6.3 Révocation d un token La révocation d un token est une opération qui doit être effectuée si un administrateur ou un utilisateur pense qu un token présente un risque d utilisation abusive ou bien que l utilisateur quitte l entreprise ou a perdu le token. Pour des raisons de sécurité, Il existe 3 façons différentes de révoquer un token : La première consiste à se connecter au portail avec le token à révoquer et de le desactiver en utilisant la fonction de révocation. La seconde consiste à se connecter au portail avec un token non activé. Sur l écran d accueil, au lieu d accepter les conditions d utilisation et de lancer l activation, cliquer sur «cancel». Ceci permet d accéder au menu des utilisateurs et en particulier à une fonction 18 mars 2011 19
de révocation. Celle-ci permet de révoquer n importe quel token dont on connaît le code de sécurité et l identifiant unique. La troisième méthode est liée au rôle de l administrateur qui peut révoquer tous les tokens du groupe qu il gère. Il lui suffit pour cela d utiliser la fonction de révocation du portail, de sélectionner le token à révoquer dans le menu déroulant et de soumettre le demande. Ceci a pour effet d alimenter de façon immédiate la liste de révocation. 20 Guide d'implémentation entreprise
Contact du support SWIFT 7 Contact du support SWIFT Le support de SWIFT est en mesure de porter assistance pour tout problème relatif à l installation des drivers et l activation des tokens. L adresse de contact est la suivante : 3skey.support@swift.com De façon à pouvoir traiter les demandes de la façon la plus efficace possible, il est recommandé de fournir les informations suivantes : Information pour prise de contact : Nom, prénom Adresse mail Numéro de téléphone fixe Numéro de téléphone portable Nature du problème rencontré : Fournir une description la plus claire possible du problème Si besoin ajouter des copies d écran Préciser l action à laquelle le problème est lié : - Installation de token - Connexion au portail - Activation du token - Recovery d'un token - Révocation d'un token Copier également les messages d erreurs Préciser le rôle du token (administrateur / utilisateur). Fournir également le fichier PDI_Token_installation.log qui se trouve dans le répertoire d installation des tokens (normalement sous c:\program Files\3skey\safenet\pdi). Une assistance téléphonique est également disponible, de 09H00 à 12h00 et de 14h00 à 17h00, au numéro suivant : +33 1 57 32 35 36 18 mars 2011 21