Préface d’Alain Bobant, président de la FNTC … 304 confi dentialité 143 politique de 263...
Transcript of Préface d’Alain Bobant, président de la FNTC … 304 confi dentialité 143 politique de 263...
D i m i t r i M o u t o nPréface d’Alain Bobant, président de la FNTC
Sécurité de la dématérialisationDe la signature électronique au coffre-fort
numérique, une démarche de mise en œuvre
G13418_SECURITE_PDT.indd 2 18/06/12 15:11
© Groupe Eyrolles, 2012, ISBN : 978-2-212-13418-6
301
Cas pratiques
accès au compte bancaire 56Achatpublic.com 43, 117, 125,
149, 201Adobe Reader 200affaire Kerviel 299anonymisation de données
médicales 26Applatoo 47, 154archivage
des e-mails 241des versions de travail des
documents 241du code source 242
attaqueman in the middle 104
contre Facebook 141authentification forte 195badge multi-usage 275Banque Casino 203Carte nationale d’identité
électronique 129Certigreffe 109changement de certificat 68CNIE (Carte nationale d’identité
électronique) 129confidentialité des e-mails 146conservation des contrats
conclus avec des particuliers 248
construction d’un bâtiment 235
dématérialisationdes achats 293des factures 9des marchés publics 149,
153, 166, 184, 216, 233fiscale des factures 192, 271
dépôt de marque à l’INPI 57DICT.fr 44, 205Diginotar 133, 139documents RH 241, 246données médicales 157e-attestations 44, 205e-bourgogne 280e-commerce 217e-stonia 129ETSCAF 145horodatage de signature
électronique 223huissiers de justice 244Idénum 131jedeclare.com 281jeux d’argent et de hasard en
ligne 215, 233justificatif de domicile 8lettre recommandée
électronique 217magasin de certificats de
Windows 97Microsoft Office 199notaires 244parapheur électronique 293
Index
Mouton.indb 301 13/06/12 13:16
Index
302
Planet Limousin 70, 120, 202, 204, 213, 280
réponse aux marchés publics 57reseaux-et-canalisations.gouv.fr
70réseaux sociaux 57scellement
d’un certifi cat 194d’une LCR 194d’une réponse OCSP 194d’un horodatage 194de code exécutable 193des traces applicatives 194
services publics dématérialisés 218
signature électroniqued’e-mails 180d’un fi chier ZIP 179et engagement 273par tablette graphique 189
Signexpert 199, 282souscription de contrat
dématérialisé en agence 205télédéclaration IR 38Télé IR 202téléservice Réseaux et
canalisations 117, 126, 192, 202, 206, 217
traçabilitébancaire 215, 220des FAI et fournisseurs
d’hébergement de contenu 216
et données à caractère personnel 272
validation des CGU 206vérifi er une signature
manuscrite 87vote par Internet 150, 153, 155,
231
Défi nitions
AC (Autorité de certifi cation) 92, 107
accusé de réception 227AdES-A (Archiving) 177AdES (Advanced Electronic
Signature) 177AdES-BES (Basic Electronic
Signature) 177AdES-C (Complete) 177AdES-L (Long-term) 177AdES-T (Timestamp) 177AdES-X (Extended) 177AE (Autorité d’enregistrement)
107annuaire 78anonymisation 157ANSSI (Agence nationale de la
sécurité des systèmes d’information) 30
applet Java 200AR (Autorité de révocation) 108
archivageélectronique 235, 262plan d’ 245
archivescourantes 242défi nitives 243intermédiaires 243recherche d’ 249restauration d’ 249
Arjel (Autorité de régulation des jeux en ligne) 215
attaqueécoute et rejeu 77force brute 33, 74man in the middle 133par dictionnaire 75
authentifi cation 28, 58d’un serveur 64faible 69forte 69jeton d’ 80
Mouton.indb 302 13/06/12 13:16
Index
303
autoritéd’enregistrement 107d’horodatage 222de certifi cation 92, 107de révocation 108de validation 108
AV (Autorité de validation) 108bac à sable 193badge multi-usage 275bi-clé 28BPM 10cachet 191
politique de 260serveur 191
CAdES (CMS Advanced Electronic Signature) 177, 197
captcha 76Card Management System 275carte à puce 100cercle de confi ance 83certifi cat 32, 85
AKI 91autosigné 110, 118Basic constraints 92classe 120CN (Common Name) 90CRLDP 91dates de validité 91délivrance 109demande 109DN (Distinguished Name) 89enveloppe autonome 97Extended key usage 91famille de 92, 107interopérabilité 122Key usage 91magasin de 95numéro de série 91porteur de 107profi l de 89qualifi é 121, 168renouvellement 117révocation 113scellement 93
SKI 91stratégie de 92support 94support dynamique
externalisé 98support matériel 99suspension 115utilisateur de 107validation 115
Certifi cate Revocation List 114Certifi cate Signing Request 110certifi cation
chaîne de la 118croisée 119de sécurité de premier
niveau 48opérateur de 108politique de 259
chaînage cryptographique des traces 225
chaînede la certifi cation 118de la confi ance 51
chiffrement 29, 146classe
1 1212 1213 1213+ 121de certifi cat 120
clécryptographique USB 100privée 27publique 27secrète 32symétrique 32taille de la 30
CMS (Card Management System) 275
coffre-fort électronique 237Cofrac (Comité français
d’accréditation) 49condensation 24confi ance 35
Mouton.indb 303 13/06/12 13:16
Index
304
confi dentialité 143politique de 263
contremarque de temps 222convention de preuve 254CRL (Certifi cate Revocation List)
114cross-certifi cation 119cryptage 146cryptographie
à clé publique 27à clé secrète 32asymétrique 27symétrique 32
CSPN (Certifi cation de sécurité de premier niveau) 48
CSR (Certifi cate Signing Request) 110
déclaration de pratiques 257défi /réponse 64délivrance de certifi cat 109Delta LCR 115demande de certifi cat 109dématérialisation 7dictionnaire (attaque par) 75donnée à caractère personnel
144données métier 212Dublin Core 246écoute et rejeu (attaque par) 77empreinte 24enregistrement 107enrôlement 107entiercement 242enveloppe autonome 97étoiles du RGS 123famille de certifi cats 92, 107fédération d’identités 83FNTC (Fédération nationale des
tiers de confi ance) 41fournisseur d’identités 83GED 10génération de clés embarquée
101
gestiondes habilitations 145des identités et des accès 10des processus métier 10électronique de documents
10Hardware Security Module
(HSM) 102hash 24horodatage 221
autorité d’ 222certifi é 222jeton d’ 222politique d’ 258simple 221
HSM (Hardware Security Module) 102
IAM 10ICP (Infrastructure à clé
publique) 108identifi ant 60
constitution 72identifi cation 58identité 55
numérique 56IGC (Infrastructure de gestion de
clés) 108index 238infrastructure
à clé publique 108de gestion de clés 108
inscription en ligne 82intégrité 193interopérabilité des certifi cats
122ISO 15836 246jeton d’horodatage 222key logger 76LCR (Liste de certifi cats
révoqués) 114logs techniques 224magasin de certifi cats 95
de confi ance 124man in the middle 133
Mouton.indb 304 13/06/12 13:16
Index
305
matériel cryptographique 102méta-annuaire 79métadonnées 238, 246mot de passe 60
à usage unique 61constitution 74dynamique 61fort 74
obfuscation 157OC (Opérateur de certifi cation)
108OCSP (Online Certifi cate Status
Protocol) 116OTP (One-Time Password) 61PAdES (PDF Advanced
Electronic Signature) 177, 197PC (Politique de certifi cation)
107PDF/A 243PGP 137phishing 77PIN (Personal Identifi cation
Number) 101PKI (Public Key Infrastructure)
108plan
d’archivage 245de classement 245
politiqued’archivage électronique
240, 262de cachet 260de certifi cation 92, 107, 259de confi dentialité 263de gestion des identités et
d’authentifi cation 263de signature électronique
260de traçabilité et de gestion
de preuves 231, 261d’horodatage 258
PoP (Proof of Possession) 109porteur de certifi cat 107
prestatairede validation de certifi cats
électroniques 43prestataire de services
d’archivage électronique 43d’horodatage électronique
43, 222de certifi cation électronique
(PSCE) 43, 92, 107de confi ance 42
qualifi cation 42de gestion de preuves 43de signature électronique 43de validation de certifi cats
électroniques 43preuve
cryptographique 225de possession 109renversement de la charge de
la 170principe des quatre yeux 151profi l d’acheteur 216Proof of Possession 109protocole de consentement 203provenance 193PSAE (Prestataire de services
d’archivage électronique) 43PSCE (Prestataire de services de
certifi cation électronique) 43, 92, 107
PSCO (Prestataire de services de confi ance) 42
qualifi cation 42, 49PSGP (Prestataire de services de
gestion de preuves) 43PSHE (Prestataire de services
d’horodatage électronique) 43, 222
PSSE (Prestataire de services de signature électronique) 43
Public Key Infrastructure 108PUK (PIN Unlocking Key) 101PVCE (Prestataire de validation
de certifi cats électroniques) 43
Mouton.indb 305 13/06/12 13:16
Index
306
qualifi cation des produits de sécurité 47
question secrète 68recherche d’archives 249rejeu 69rejouable 69renouvellement de certifi cat 117renversement de la charge de la
preuve 170restauration d’archives 249réversibilité 240révocation 113RGS (Référentiel général de
sécurité) 23étoiles 123
sauvegarde 236sécurité 35
applicative 11, 18chaîne de la 21comportementale 19technique 16
session 60signataire 168, 171signature
d’approbation 179de certifi cation 179défi nition
juridique 165pratique 161
électronique 29à la volée 203avancée 171défi nition 162, 166, 171,
175dispositif sécurisé de
création 101politique de 260présumée fi able 166, 170
sécurisée 169simple 168vérifi cation 180, 181, 184
Single Sign-On 80source de temps 221SSL (Secure Socket Layer) 63SSO (Single Sign-On) 80stockage 236strate 221stratégie de certifi cat 92support
de certifi cat 94dynamique externalisé 98logiciel 95matériel 99
système de gestion des cartes 275
TBS Certifi cate 110test de Turing 76tiers
archiveur 240de confi ance 40
TLS (Transport Layer Security) 63
traçabilité 211traces applicatives 224Turing (test de) 76URL 63utilisateur de certifi cat 107VABF (Vérifi cation d’aptitude au
bon fonctionnement) 288validation de certifi cat 115Vérifi cation d’aptitude au bon
fonctionnement (VABF) 288vérifi cation de signature
électronique 180XAdES (XML Advanced
Electronic Signature) 177, 197
Normes
2TUP 267AES 32, 147, 149, 154, 287
AES CBC 32AES ECB 32
Mouton.indb 306 13/06/12 13:16
Index
307
CAdES (CMS Advanced Electronic Signature) 22, 177, 178, 179, 197, 202, 222, 261, 287
CAPI 104CMS 148, 177Convergence 140CSP (Cryptographic Service
Providers) 104, 193CSPN (Certifi cat de sécurité de
premier niveau) 233EBIOS (Expression des besoins
et identifi cation des objectifs de sécurité) 124, 284
ElGamal 151ETSI 101456 50, 127extreme programming 267GS1, recommandations pour
l’échange de factures dématérialisées fi scalement 192
ISO 14641 237ISO 14641-1 22ISO 14721 237ISO 15408 48ISO 15489 237ISO 27000 22ITIL 267label FNTC
coffre-fort électronique 237tiers archiveur 237
LDAP 79Merise 267MoReq2010 237NF Z42-013 22, 237NF Z42-025 23NTP (Network Time Protocol)
221OAIS (Open Archival
Information System) 237PAdES (PDF Advanced
Electronic Signature) 22, 177, 178, 179, 197, 202, 261, 287
PC/SC (Personal Computer/Smart Card) 104
PGP 137PKCS 22PKCS#7 148, 177PKCS#11 104, 193PKCS#12 98, 156PKCS#15 105RACHE (Rapid Application
Conception and Heuristic Extreme-programming) 267
Référentiel général d’accessibilité pour les administrations (RGAA) 287
Référentiel général d’interopérabilité (RGI) 287
RFC 2527 22RFC 2560 22, 116RFC 2630 22, 148RFC 3039 92RFC 3161 22, 222
annexe A 223RFC 3647 259RFC 4055 22RFC 4330 221RFC 5280 22, 89, 115RGAA (Référentiel général
d’accessibilité pour les administrations) 287
RGI (Référentiel général d’interopérabilité) 287
RGS (Référentiel général de sécurité) 23, 167, 172, 191, 258, 259, 274, 282
étoiles 23RSA 27, 147, 149, 154, 164, 175,
287SHA256 24, 175, 287S/MIME 148Sovereign Keys 140SSL (Secure Socket Layer) 63,
151standard d’échange de données
pour l’archivage DAF 237Time Stamp Protocol (TSP) 222
Mouton.indb 307 13/06/12 13:16
Index
308
TLS (Transport Layer Security) 63
TSP (Time Stamp Protocol) 222UML 286X.500 79
X.509 89, 90XAdES (XML Advanced
Electronic Signature) 22, 177, 178, 179, 197, 261, 287
XMLDSig 178
Paroles d’experts
Borghesi Alain, Cecurity.com 239Caprioli Éric, avocat, cabinet
Caprioli et associés 252Colin Pascal, Keynectis 50Denuzière Jean, Ilex 81Du Boullay Charles, CDC Fast et
CDC Arkhinéo 218Kaeb Thomas, Wacom 188Maraval Philippe, Pôle Emploi 185Maréchaux Bertrand, ANTS 130Mattatia Fabrice, CDC 131
Plas Didier, Genitech 287Poidevin Emmanuel,
e-attestations 45Pourcher Gilles, Région
Limousin 294Saphores Jean, CSOEC 281Treins Michel, Ineris 71Trotin Armelle, LSTI 135Vantorre Ignace, Sogelink 20Zimmermann Philip,
cryptologue 139
Textes législatifs et réglementaires
arrêtédu 26 juillet 2004 49du 28 août 2006 252RGS du 18 mai 2010 24
Code civilarticle 1108-2 270article 1156 255article 1162 255article 1316 12article 1316-1 12, 194, 239article 1316-2 252, 254article 1316-3 12article 1316-4 164, 165, 166,
187, 260, 272, 273, 282article 1369-8 217
Code de commerce, article L.123-22 248
Code de la consommationarticle L.132-1 253, 255article L.134-2 248article R132-2 253
Code de la propriété intellectuelle
article L.331-12 216article L.336-3 216
Code des marchés publics 185article 56 216, 271article 57 270
Code des postes et télécommunications, article L.34-1 216
Code général des impôtsannexe 3, article 96 F 272article 289 V 192, 271
communication de la Commission européenne du 8 octobre 1997 38
décretn° 79-1037 du
3 décembre 1979 242n° 2001-272 du 30 mars 2001
101, 107, 122, 164, 166, 168, 169, 170, 191, 272, 282
Mouton.indb 308 13/06/12 13:16
Index
309
n° 2002-535 du 18 avril 2002 47, 49
n° 2011-144 du 2 février 2011 217
RGS 2010-112 du 2 février 2010 48
délibération CNIL n° 2010-371 du 21 octobre 2010 150, 232
directive1999/93/CE du
13 décembre 1999 38, 39, 121, 164, 171, 172, 173, 191, 192, 251
Commerce électronique 2000/31/CE du 8 juin 2000 39
loiInformatique et libertés
n° 78-17 du 6 janvier 1978 7, 11, 144, 220, 230, 272
n° 2000-230 du 13 mars 2000 11, 164, 166, 251, 252
n° 2004-575 pour la confi ance dans l’économie numérique (LCEN) du 21 juin 2004 39, 122, 215
n° 2004-801 du 6 août 2004 144
n° 2009-526 du 12 mai 2009 270
n° 2010-476 du 12 mai 2010 215
ordonnance n° 2005-1516 du 8 décembre 2005 23, 42, 218, 227, 256
règlement n° 97-02 de la Banque de France 51
RGS (Référentiel général de sécurité) 23, 39, 42, 123
Mouton.indb 309 13/06/12 13:16