Politique de Signature du Crédit Agricole Date : 08/12/2006 Version : 1.0 Rédacteur : CERTIFICATION Nombre de pages : 13 Politique de Signature du Crédit Agricole PAGE 1/13
TABLE DES MATIERES 1. INTRODUCTION... 4 1.1. PRESENTATION GENERALE... 4 1.2. DENOMINATION ET IDENTIFICATION... 4 1.3. GLOSSAIRE ET LISTE DES ACRONYMES UTILISES... 4 1.4. DEFINITIONS DES TERMES UTILISES DANS LA POLITIQUE DE SIGNATURE... 4 1.5. CHAMP D'APPLICATION... 6 1.6. LISTE D AUTORITES DE CERTIFICATION REFERENCEES PAR LA POLITIQUE DE SIGNATURE... 7 1.7. MODIFICATIONS ET APPLICATION DE LA POLITIQUE DE SIGNATURE... 7 1.8. COORDONNEES DES ENTITES RESPONSABLES DE LA PRESENTE POLITIQUE DE SIGNATURE... 8 1.8.1. Organisme responsable... 8 1.8.2. Contact... 8 1.9. REFERENCES NORMATIVES... 8 2. DISPOSITIONS DE PORTEE GENERALE... 10 2.1. INTERVENANTS ET ROLES... 10 2.1.1. Rôle de l Autorité de Certification... 10 2.1.2. Rôle du Signataire... 10 2.1.3. Rôle de l'applicatif Accepteur... 11 2.1.4. Rôle de l Autorité de Validation de Signature... 11 2.2. OBLIGATIONS... 11 2.2.1. Introduction... 11 2.2.2. Obligations incombant au Signataire... 11 2.2.3. Obligations incombant à l Applicatif Accepteur... 12 2.2.4. Obligations incombant à l Autorité de Validation de Signature... 12 2.3. RESPECT ET INTERPRETATION DES DISPOSITIONS JURIDIQUES... 12 2.4. PUBLICATION ET DEPOT DE DOCUMENTS... 12 2.4.1. Dépôt et diffusion... 12 2.4.2. Fréquence de diffusion... 12 2.4.3. Contrôle d accès... 12 2.4.4. Archivage... 13 Politique de Signature du Crédit Agricole PAGE 2/13
PREAMBULE Les Caisses Régionales ou les filiales du CREDIT AGRICOLE, ci-après le CREDIT AGRICOLE, proposent à leurs clients des services de sécurité fondés sur l utilisation de certificats électroniques émis par le CEDICAM ou par des établissements partenaires appelés «Autorités de certification». Dans ce cadre, des applications du CREDIT AGRICOLE appelées «Applicatifs-accepteurs», sont amenées à proposer des services permettant de signer électroniquement des documents à l'aide de certificats électroniques. La présente Politique de Signature est constituée d un ensemble de règles applicables et de vérifications à effectuer, qui permettent de définir les conditions de validité d'une telle signature électronique. Politique de Signature du Crédit Agricole PAGE 3/13
1. INTRODUCTION Ce document constitue la Politique de Signature inhérente aux services de signature électronique du CREDIT AGRICOLE. 1.1. PRESENTATION GENERALE Une Politique de Signature (PS) est identifiée par un identifiant unique (OID ou Object Identifier). Elle est composée d un ensemble de règles et de dispositions définissant les exigences auxquelles chacun des acteurs impliqués se conforme et qui régit la création et la vérification de la validité des signatures électroniques. 1.2. DENOMINATION ET IDENTIFICATION La présente Politique de Signature est nommée : Politique de Signature du Crédit Agricole. Dans la suite de ce document, il y sera fait référence sous le nom «Politique de Signature». L OID de cette Politique de Signature est 1.2.250.1.104.3.1.1.3.1.1.1.1 1.3. GLOSSAIRE ET LISTE DES ACRONYMES UTILISES AC AVS CN CRL DN FQDN ICP LCR OID PC PFV PKI PV PS SSL TLS Autorité de Certification Autorité de Validation de Signature Common Name - Nom commun Certificate Revocation List, ou LCR (Liste des Certificats Révoqués) Distinguished Name Fully Qualified Domain Name Infrastructure à Clés Publiques, ou PKI Liste des Certificats Révoqués, ou CRL Object Identifier Politique de Certification Plate-Forme de Validation Public Key Infrastructure, ou ICP (Infrastructure à Clés Publiques) Politique de Validation Politique de Signature Secure Sockets Layer Transport Layer Security 1.4. DEFINITIONS DES TERMES UTILISES DANS LA POLITIQUE DE SIGNATURE Accepteur (de certificat) : entité intégrant l utilisation d un certificat, qui agit en faisant confiance à ce certificat et/ou à une signature numérique vérifiée grâce à ce certificat. Ce peut être une entité responsable d une application utilisant les services de certification, ou une personne physique. Les qualités d Accepteur de certificat et de titulaire de certificat ne sont pas forcément mutuellement exclusives : une application pourra éventuellement dans le même temps être Accepteur et titulaire de certificat. Politique de Signature du Crédit Agricole PAGE 4/13
Bien qu un porteur puisse être Accepteur de certificat (par exemple dans le cadre de la vérification d une signature de courriel ou d un accusé de réception émis par une application), il est considéré dans le reste de ce document que seules les applications (processus automatiques) peuvent tenir le rôle d Accepteurs. Il sera alors question d Applicatifs Accepteurs. Applicatif Accepteur : processus en principe automatisé («applicatif») destinataire d un certificat ou d une signature. Voir «Accepteur». Authentification : opérations de contrôle, permettant de s assurer de l'identité d'une personne ou d'une application. Autorité de Certification : entité, composante de base de la PKI, qui délivre des certificats à une population de porteurs ou à d autres composants d infrastructure. L Autorité de Certification s'engage en fonction de ses contrôles sur l'identité d'une personne au travers du certificat qu'elle lui délivre et qu elle signe à l aide de sa clé privée. Autorité de Validation de Signature (AVS) : composante d infrastructure à qui un Accepteur peut déléguer la validation des certificats ou des signatures électroniques qui lui sont présentés. Il incombe alors à l Autorité de Validation de Signature de prendre en charge des vérifications permettant de déterminer si l accepteur peut ou non se fier au certificat ou à la signature qui lui est présenté(e). La composante technique de l Autorité de Validation de Signature est nommée PFV. Autorité d'horodatage (AH) : entité de confiance tierce, qui crée des jetons d'horodatage certifiés. Bi-clés : couple de clés cryptographiques, composé d'une clé privée (devant être conservée secrète) et d'une clé publique (largement diffusée par le biais du certificat). Ce couple de clés permet, par le biais de divers mécanismes, de rendre des services de sécurité comme la nonrépudiation, l authentification, la confidentialité et l intégrité. Certificats référencés (famille de) : famille de certificats numériques référencée par la présente Politique de Signature et émise par l une des Autorités de Certification énumérées au paragraphe 1.6 de la présente Politique. Certificat (numérique) d identité : pièce d'identité électronique dont le contenu est garanti par une Autorité de Certification. Il permet dans les transactions électroniques d attester de la correspondance entre une clé publique et l'identité de son titulaire (et éventuellement de son souscripteur si celui-ci est différent du titulaire). Il contient donc des informations qui permettent cette identification (nom, éventuellement entreprise, adresse etc.). Chaîne de confiance (chemin de certification) : ensemble ordonné des certificats nécessaires pour vérifier la filiation d'un certificat donné. Compromission : une clé privée est dite compromise lorsqu'elle est utilisable ou a été utilisée par d'autres personnes que celles habilitées à la mettre en œuvre. Entité finale : entité utilisatrice des services de la PKI. Une entité finale peut être titulaire de certificat, accepteur de certificat, ou les deux simultanément. Infrastructure à Clé Publique (ICP ou PKI Public Key Infrastructure) : ensemble de composants, fonctions et procédures dédiés à la gestion de clés et de certificats utilisés par des services de sécurité basés sur la cryptographie à clé publique. Liste de Certificats Révoqués (LCR ou CRL) : liste de numéros de certificats ayant fait l'objet d'une révocation. Object IDentifier (ou OID) : identifiant alphanumérique unique enregistré conformément à la norme d'enregistrement ISO pour désigner un objet ou une classe d'objets spécifiques. Politique de Signature du Crédit Agricole PAGE 5/13
Outil de signature : application de confiance fonctionnant sur le poste de travail du signataire, lui permettant de visualiser les documents à signer, et de choisir en pleine connaissance de cause de signer électroniquement ou non le document. Politique de Certification (PC) : ensemble de règles définissant les exigences auxquelles chacun des acteurs impliqués se conforme et qui indique le niveau de sécurité commun accordé aux certificats. Politique de Signature (PS) : ensemble de règles et dispositions pour la création et la validation d'une signature électronique, suivant lesquelles une signature peut être déclarée valide. Ces règles définissent des exigences à la fois techniques et procédurales. Porteur (de certificat) : personne physique titulaire d un certificat. On peut distinguer le porteur de certificat (certificate holder) du souscripteur du certificat (certificate owner) : le porteur utilisera le certificat en qualité de représentant du souscripteur du certificat. Révocation (d'un certificat) : opération de mise en opposition qui entraîne la suppression de l'engagement de par l Autorité de Certification sur un certificat donné avant la fin de sa période de validité. Par exemple, la compromission, la destruction d'une clé privée, le changement d'informations contenues dans un certificat ou encore le non-respect des règles d'utilisation du certificat doivent provoquer la révocation du certificat. Secure Socket Layer (ou SSL) : protocole de sécurisation couramment utilisé sur Internet (notamment pour sécuriser HTTP). SSL (comme son successeur TLS) offre notamment des services d authentification, d intégrité, et de confidentialité. Signataire : personne physique qui crée une signature électronique à l'aide de son certificat. Signature électronique : une donnée qui résulte de l'usage d'un procédé répondant aux conditions définies à l'article 1316-4 du code civil. En particulier et comme indiqué dans ce même article, la signature électronique identifie celui qui l'appose, et manifeste son consentement aux obligations qui découlent de l acte (à l instar de la signature manuscrite). Souscripteur de certificat (certificate owner) : personne, morale ou physique, qui a souscrit un certificat d identité auprès d une AC. Le souscripteur du certificat se distingue du titulaire de certificat. Le souscripteur de certificat est en concessionnaire d une licence d utilisation du certificat, et le porteur utilise ce dernier au titre de sa mission professionnelle. Titulaire de certificat : sujet, personne ou entité, auquel est délivré un certificat par une AC. Lorsque le titulaire est une personne physique, cette dernière est également appelée «porteur». Transport Layer Security (ou TLS) : cf. Secure Socket Layer. Vérification de validité (d un certificat) : opération de contrôle du statut d'un certificat (ou d'une chaîne de certification). Un certificat référencé peut être dans l'un des trois états suivants : valide, expiré ou révoqué. Vérification de validité (d une signature) : opérations de contrôle, permettant de s assurer que la signature peut raisonnablement être considérée comme fiable. 1.5. CHAMP D'APPLICATION Les conditions suivantes sont toutes nécessaires : L'Applicatif-Accepteur est un service proposé par le CREDIT AGRICOLE à ses clients. L'Applicatif-Accepteur met à disposition du Signataire un Outil de signature qualifié par la DCSSI, pour qu'il puisse signer électroniquement les documents. Politique de Signature du Crédit Agricole PAGE 6/13
L Applicatif-Accepteur accepte les certificats émis par les Autorités de Certification référencées par la présente politique. La Politique de Signature (OID, adresse de publication, empreinte de ce document) est référencée à la fois dans la signature réalisée par le Signataire à l'aide de l'outil de signature, et dans la preuve de validation de signature renvoyée par l'autorité de Validation de Signature à l'applicatif- Accepteur. Cette Politique de Signature ne s'applique donc pas si l'une de ces conditions ci-dessus mentionnées n'est pas remplie. 1.6. LISTE D AUTORITES DE CERTIFICATION REFERENCEES PAR LA POLITIQUE DE SIGNATURE Au regard des services, les certificats appartenant à l une des gammes référencées ci-dessous peuvent être considérés comme valides : Certificats OID de la Politique de Certification CA CERTIFICAT 1.2.250.1.104.1.1.1.1.1 CA SECURE 1.2.250.1.104.1.1.2.1.1 LE CERTIFICAT DU LCL 1.2.250.1.94.1.1.3.1.3 L offre interne à usage groupe, E-BADGE 1.2.250.1.104.1.1.3.2.1 Si de nouvelles gammes de certificats devaient être référencées, la présente Politique de Signature serait mise à jour pour les mentionner explicitement. 1.7. MODIFICATIONS ET APPLICATION DE LA POLITIQUE DE SIGNATURE Cette Politique de Signature sera revue périodiquement par l Autorité de Validation de Signature, notamment pour : mettre à jour la liste des gammes de certificats concernées par la Politique de Signature ; s adapter aux évolutions technologiques. La périodicité minimale de révision de cette Politique de Signature est de un (1) an. Le tableau indiquera les principales modifications de ce document en comparaison à la version antérieure. Version Date Principaux points de modification 1.0 8 décembre 2006 Création Tableau 1: Historique de la Politique de Signature Politique de Signature du Crédit Agricole PAGE 7/13
La présente version de la Politique de Signature s applique à l ensemble des opérations effectuées avec un certificat appartenant à l une des gammes de certificats référencées au paragraphe 1.6, pour le compte d un Applicatif Accepteur pendant la période suivante : à compter de la date de création, au trentième jour suivant la publication d une nouvelle version. Elle continue de s appliquer après cette date à toutes les opérations de validation qui ont été réalisées au cours de cette période. 1.8. COORDONNEES DES ENTITES RESPONSABLES DE LA PRESENTE POLITIQUE DE SIGNATURE 1.8.1. Organisme responsable Le CEDICAM est l organisme responsable de cette Politique de Signature : CEDICAM / Certification 83 BD DES CHENES 78280 GUYANCOURT 1.8.2. Contact CEDICAM / Certification 83 BD DES CHENES 78280 GUYANCOURT 1.9. REFERENCES NORMATIVES [RFC3370] : Cryptographic Message Syntax (CMS). Texte original disponible à l URL : http://www.ietf.org/rfc/rfc3370.txt. [RFC3280] : IETF RFC 3280 (Proposed standard) Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile. Ce document rend obsolète la RFC 2459. Texte original disponible à l URL : http://www.ietf.org/rfc/rfc3280.txt. [RFC3275] : IETF RFC 3275 (Draft standard) (Extensible Markup Language) XML-Signature Syntax and Processing. Texte original disponible à l URL : http://www.ietf.org/rfc/rfc3275.txt. [RFC3125] : IETF RFC 3125 (Experimental standard) Electronic Signature Policies. Texte original disponible à l URL : http://www.ietf.org/rfc/rfc3125.txt. [ETSI_TS101733] : ETSI TS 101 733 V.1.2.2 Electronic Signature Formats. Texte original disponible à l URL : http://www.etsi.org. [ETSI_TS102041] : ETSI TS 102 041 V.1.1.1 Signature Policies Report. Texte original disponible à l URL : http://www.etsi.org. [CEN/ISSS_WS/ESIGN_AREAG2] : CEN/ISSS WS/E-Sign Area G2 Procedures for electronic signature verification. Texte original disponible à l URL : http://www.etsi.org. Politique de Signature du Crédit Agricole PAGE 8/13
[X.509] : ITU-T Recommendation X.509 (1997 E): Information Technology - Open Systems Interconnection - The Directory: Authentication Framework, June 1997. Politique de Signature du Crédit Agricole PAGE 9/13
2. DISPOSITIONS DE PORTEE GENERALE La présente Politique de signature, a pour objet de présenter la synthèse des prestations fournies par le CREDIT AGRICOLE soit en qualité de Prestataire de services de signature électronique, soit en qualité d' Applicatif-Accepteur aux clients avec lesquels il conclut les conventions appropriées. Elle n'a pas d'effet contractuel par elle-même et ne peut créer aucune obligation du CREDIT AGRICOLE envers les tiers. 2.1. INTERVENANTS ET ROLES 2.1.1. Rôle de l Autorité de Certification L Autorité de Certification est une entité qui distribue et opère pour le compte de ses clients un service d émission de certificats garantissant l identité de leur Porteur (indépendamment de l usage du certificat : authentification, signature, etc.). 2.1.2. Rôle du Signataire Le signataire est une personne physique qui, à la lecture d'un document sous une forme électronique, décide de signer ce document à l'aide de son certificat électronique. Il s'agit donc nécessairement d'un Porteur. (indépendamment de l usage du certificat : authentification, signature, etc.). Il incombe notamment au signataire sous sa responsabilité : Politique de Signature du Crédit Agricole PAGE 10/13
de prendre connaissance du formulaire ou du document présenté dans sa globalité ; de décider ou non d'apposer sa signature électronique au document ou au formulaire présenté. Rappelons que la signature électronique marque le consentement du signataire pour la transaction ou l acte avec la même valeur et les mêmes conséquences que la signature manuscrite. 2.1.3. Rôle de l'applicatif Accepteur L Applicatif Accepteur offre des services en ligne sécurisés à l aide de certificats et de signatures numériques. Il présente les documents à signer au Signataire au moyen d'un Outil de Signature. Techniquement, pour savoir si un certificat ou une signature est valide, il s adresse à la Plate- Forme de Validation à l aide du module d interrogation fourni par l Autorité de validation de Signature. 2.1.4. Rôle de l Autorité de Validation de Signature L Autorité de Validation de Signature opère sous sa responsabilité contractuelle, une Plate- Forme de Validation qui réalise les opérations techniques nécessaires à la vérification de la validité d un certificat ou d une signature. Ces opérations techniques permettent de s'assurer que la signature est techniquement intègre (le document n'a pas été modifié après signature), et que le certificat ayant servi à réaliser cette signature est valide au moment de la vérification (notamment qu'il n'est pas révoqué ou expiré, et qu'il a été émis par une Autorité de Certification autorisée par l'applicatif Accepteur). L'Autorité de Validation de Signature constitue des éléments de preuve de la transaction avec un horodatage, le tout étant archivé sous sa responsabilité. 2.2. OBLIGATIONS 2.2.1. Introduction Les obligations relatives à l'autorité de Certification sont indiquées dans sa Politique de Certification. 2.2.2. Obligations incombant au Signataire Les obligations incombant au Signataire en tant que Porteur sont indiquées dans la Politique de Certification, rappelées dans le contrat liant le Porteur et l'autorité de Certification. Ces obligations sont rappelées au signataire lors d une signature. Les obligations du Signataire vis à vis de l'applicatif-accepteur, notamment en ce qui concerne la convention de preuves, sont indiquées dans le contrat liant le Signataire et l'applicatif- Accepteur. Il est rappelé dans cette convention de preuve que la signature électronique engage le Signataire envers l'applicatif-accepteur. Politique de Signature du Crédit Agricole PAGE 11/13
Le souscripteur du certificat reconnaît la valeur probante de la signature dans les relations avec l'applicatif-accepteur. En d autres termes, la responsabilité du signataire (dont l identité est indiquée dans le champ Subject du certificat) est engagée sur le document dont l empreinte figure dans la signature. Cette signature manifeste son consentement sur le contenu du document et sur les droits et obligations qui en découlent. 2.2.3. Obligations incombant à l Applicatif Accepteur Les obligations de l'applicatif-accepteur vis à vis du Signataire y compris la convention de preuve sont indiquées dans le contrat liant le Signataire et l'applicatif-accepteur. La présente Politique de Signature ne crée pas par elle-même d'obligations particulières à la charge de l'applicatif-accepteur lorsqu'il reçoit un document dont la signature est reconnue valide vis à vis de cette Politique de Signature. En tout état de cause, il est de la responsabilité de l'applicatif Accepteur de rejeter tout document ou formulaire qui n'est pas signé par le Signataire, ou qui a été modifié après signature (document falsifié). 2.2.4. Obligations incombant à l Autorité de Validation de Signature L AVS a obligation de diffuser vers les Applicatifs Accepteurs, toute nouvelle version de la Politique de Signature. En retour, les Applicatifs Accepteurs acceptent explicitement la nouvelle version de la Politique de Signature. A défaut, la nouvelle version s applique à partir du trentième jour. 2.3. RESPECT ET INTERPRETATION DES DISPOSITIONS JURIDIQUES Les clauses concernant le respect et l'interprétation des dispositions juridiques sont indiquées dans la politique de certification d'une part, et dans le contrat liant le Signataire et l'applicatif- Accepteur d'autre part. 2.4. PUBLICATION ET DEPOT DE DOCUMENTS 2.4.1. Dépôt et diffusion Cette Politique de Signature est téléchargeable sur le site internet du CEDICAM dédié à la certification à l'adresse suivante : http://www.ca-certificat.com/doc/04- client/politique_signature_credit_agricole.pdf 2.4.2. Fréquence de diffusion La Politique de Signature est mise à jour après chaque modification (cf. paragraphe 1.7 à ce sujet). 2.4.3. Contrôle d accès Des habilitations spécifiques sont mises en place afin de n autoriser l accès en modification à la Politique de Signature qu au personnel autorisé. Le CEDICAM assure l intégrité de la Politique de Signature. Politique de Signature du Crédit Agricole PAGE 12/13
2.4.4. Archivage Les Politiques de Signature consécutives seront archivées dans la perspective de la vérification d une validation a posteriori. Politique de Signature du Crédit Agricole PAGE 13/13