D i m i t r i M o u t o nPréface d’Alain Bobant, président de la FNTC

Sécurité de la dématérialisationDe la signature électronique au coffre-fort

numérique, une démarche de mise en œuvre

G13418_SECURITE_PDT.indd 2 18/06/12 15:11

© Groupe Eyrolles, 2012, ISBN : 978-2-212-13418-6

301

Cas pratiques

accès au compte bancaire 56Achatpublic.com 43, 117, 125,

149, 201Adobe Reader 200affaire Kerviel 299anonymisation de données

médicales 26Applatoo 47, 154archivage

des e-mails 241des versions de travail des

documents 241du code source 242

attaqueman in the middle 104

contre Facebook 141authentification forte 195badge multi-usage 275Banque Casino 203Carte nationale d’identité

électronique 129Certigreffe 109changement de certificat 68CNIE (Carte nationale d’identité

électronique) 129confidentialité des e-mails 146conservation des contrats

conclus avec des particuliers 248

construction d’un bâtiment 235

dématérialisationdes achats 293des factures 9des marchés publics 149,

153, 166, 184, 216, 233fiscale des factures 192, 271

dépôt de marque à l’INPI 57DICT.fr 44, 205Diginotar 133, 139documents RH 241, 246données médicales 157e-attestations 44, 205e-bourgogne 280e-commerce 217e-stonia 129ETSCAF 145horodatage de signature

électronique 223huissiers de justice 244Idénum 131jedeclare.com 281jeux d’argent et de hasard en

ligne 215, 233justificatif de domicile 8lettre recommandée

électronique 217magasin de certificats de

Windows 97Microsoft Office 199notaires 244parapheur électronique 293

Index

Mouton.indb 301 13/06/12 13:16

Index

302

Planet Limousin 70, 120, 202, 204, 213, 280

réponse aux marchés publics 57reseaux-et-canalisations.gouv.fr

70réseaux sociaux 57scellement

d’un certifi cat 194d’une LCR 194d’une réponse OCSP 194d’un horodatage 194de code exécutable 193des traces applicatives 194

services publics dématérialisés 218

signature électroniqued’e-mails 180d’un fi chier ZIP 179et engagement 273par tablette graphique 189

Signexpert 199, 282souscription de contrat

dématérialisé en agence 205télédéclaration IR 38Télé IR 202téléservice Réseaux et

canalisations 117, 126, 192, 202, 206, 217

traçabilitébancaire 215, 220des FAI et fournisseurs

d’hébergement de contenu 216

et données à caractère personnel 272

validation des CGU 206vérifi er une signature

manuscrite 87vote par Internet 150, 153, 155,

231

Défi nitions

AC (Autorité de certifi cation) 92, 107

accusé de réception 227AdES-A (Archiving) 177AdES (Advanced Electronic

Signature) 177AdES-BES (Basic Electronic

Signature) 177AdES-C (Complete) 177AdES-L (Long-term) 177AdES-T (Timestamp) 177AdES-X (Extended) 177AE (Autorité d’enregistrement)

107annuaire 78anonymisation 157ANSSI (Agence nationale de la

sécurité des systèmes d’information) 30

applet Java 200AR (Autorité de révocation) 108

archivageélectronique 235, 262plan d’ 245

archivescourantes 242défi nitives 243intermédiaires 243recherche d’ 249restauration d’ 249

Arjel (Autorité de régulation des jeux en ligne) 215

attaqueécoute et rejeu 77force brute 33, 74man in the middle 133par dictionnaire 75

authentifi cation 28, 58d’un serveur 64faible 69forte 69jeton d’ 80

Mouton.indb 302 13/06/12 13:16

Index

303

autoritéd’enregistrement 107d’horodatage 222de certifi cation 92, 107de révocation 108de validation 108

AV (Autorité de validation) 108bac à sable 193badge multi-usage 275bi-clé 28BPM 10cachet 191

politique de 260serveur 191

CAdES (CMS Advanced Electronic Signature) 177, 197

captcha 76Card Management System 275carte à puce 100cercle de confi ance 83certifi cat 32, 85

AKI 91autosigné 110, 118Basic constraints 92classe 120CN (Common Name) 90CRLDP 91dates de validité 91délivrance 109demande 109DN (Distinguished Name) 89enveloppe autonome 97Extended key usage 91famille de 92, 107interopérabilité 122Key usage 91magasin de 95numéro de série 91porteur de 107profi l de 89qualifi é 121, 168renouvellement 117révocation 113scellement 93

SKI 91stratégie de 92support 94support dynamique

externalisé 98support matériel 99suspension 115utilisateur de 107validation 115

Certifi cate Revocation List 114Certifi cate Signing Request 110certifi cation

chaîne de la 118croisée 119de sécurité de premier

niveau 48opérateur de 108politique de 259

chaînage cryptographique des traces 225

chaînede la certifi cation 118de la confi ance 51

chiffrement 29, 146classe

1 1212 1213 1213+ 121de certifi cat 120

clécryptographique USB 100privée 27publique 27secrète 32symétrique 32taille de la 30

CMS (Card Management System) 275

coffre-fort électronique 237Cofrac (Comité français

d’accréditation) 49condensation 24confi ance 35

Mouton.indb 303 13/06/12 13:16

Index

304

confi dentialité 143politique de 263

contremarque de temps 222convention de preuve 254CRL (Certifi cate Revocation List)

114cross-certifi cation 119cryptage 146cryptographie

à clé publique 27à clé secrète 32asymétrique 27symétrique 32

CSPN (Certifi cation de sécurité de premier niveau) 48

CSR (Certifi cate Signing Request) 110

déclaration de pratiques 257défi /réponse 64délivrance de certifi cat 109Delta LCR 115demande de certifi cat 109dématérialisation 7dictionnaire (attaque par) 75donnée à caractère personnel

144données métier 212Dublin Core 246écoute et rejeu (attaque par) 77empreinte 24enregistrement 107enrôlement 107entiercement 242enveloppe autonome 97étoiles du RGS 123famille de certifi cats 92, 107fédération d’identités 83FNTC (Fédération nationale des

tiers de confi ance) 41fournisseur d’identités 83GED 10génération de clés embarquée

101

gestiondes habilitations 145des identités et des accès 10des processus métier 10électronique de documents

10Hardware Security Module

(HSM) 102hash 24horodatage 221

autorité d’ 222certifi é 222jeton d’ 222politique d’ 258simple 221

HSM (Hardware Security Module) 102

IAM 10ICP (Infrastructure à clé

publique) 108identifi ant 60

constitution 72identifi cation 58identité 55

numérique 56IGC (Infrastructure de gestion de

clés) 108index 238infrastructure

à clé publique 108de gestion de clés 108

inscription en ligne 82intégrité 193interopérabilité des certifi cats

122ISO 15836 246jeton d’horodatage 222key logger 76LCR (Liste de certifi cats

révoqués) 114logs techniques 224magasin de certifi cats 95

de confi ance 124man in the middle 133

Mouton.indb 304 13/06/12 13:16

Index

305

matériel cryptographique 102méta-annuaire 79métadonnées 238, 246mot de passe 60

à usage unique 61constitution 74dynamique 61fort 74

obfuscation 157OC (Opérateur de certifi cation)

108OCSP (Online Certifi cate Status

Protocol) 116OTP (One-Time Password) 61PAdES (PDF Advanced

Electronic Signature) 177, 197PC (Politique de certifi cation)

107PDF/A 243PGP 137phishing 77PIN (Personal Identifi cation

Number) 101PKI (Public Key Infrastructure)

108plan

d’archivage 245de classement 245

politiqued’archivage électronique

240, 262de cachet 260de certifi cation 92, 107, 259de confi dentialité 263de gestion des identités et

d’authentifi cation 263de signature électronique

260de traçabilité et de gestion

de preuves 231, 261d’horodatage 258

PoP (Proof of Possession) 109porteur de certifi cat 107

prestatairede validation de certifi cats

électroniques 43prestataire de services

d’archivage électronique 43d’horodatage électronique

43, 222de certifi cation électronique

(PSCE) 43, 92, 107de confi ance 42

qualifi cation 42de gestion de preuves 43de signature électronique 43de validation de certifi cats

électroniques 43preuve

cryptographique 225de possession 109renversement de la charge de

la 170principe des quatre yeux 151profi l d’acheteur 216Proof of Possession 109protocole de consentement 203provenance 193PSAE (Prestataire de services

d’archivage électronique) 43PSCE (Prestataire de services de

certifi cation électronique) 43, 92, 107

PSCO (Prestataire de services de confi ance) 42

qualifi cation 42, 49PSGP (Prestataire de services de

gestion de preuves) 43PSHE (Prestataire de services

d’horodatage électronique) 43, 222

PSSE (Prestataire de services de signature électronique) 43

Public Key Infrastructure 108PUK (PIN Unlocking Key) 101PVCE (Prestataire de validation

de certifi cats électroniques) 43

Mouton.indb 305 13/06/12 13:16

Index

306

qualifi cation des produits de sécurité 47

question secrète 68recherche d’archives 249rejeu 69rejouable 69renouvellement de certifi cat 117renversement de la charge de la

preuve 170restauration d’archives 249réversibilité 240révocation 113RGS (Référentiel général de

sécurité) 23étoiles 123

sauvegarde 236sécurité 35

applicative 11, 18chaîne de la 21comportementale 19technique 16

session 60signataire 168, 171signature

d’approbation 179de certifi cation 179défi nition

juridique 165pratique 161

électronique 29à la volée 203avancée 171défi nition 162, 166, 171,

175dispositif sécurisé de

création 101politique de 260présumée fi able 166, 170

sécurisée 169simple 168vérifi cation 180, 181, 184

Single Sign-On 80source de temps 221SSL (Secure Socket Layer) 63SSO (Single Sign-On) 80stockage 236strate 221stratégie de certifi cat 92support

de certifi cat 94dynamique externalisé 98logiciel 95matériel 99

système de gestion des cartes 275

TBS Certifi cate 110test de Turing 76tiers

archiveur 240de confi ance 40

TLS (Transport Layer Security) 63

traçabilité 211traces applicatives 224Turing (test de) 76URL 63utilisateur de certifi cat 107VABF (Vérifi cation d’aptitude au

bon fonctionnement) 288validation de certifi cat 115Vérifi cation d’aptitude au bon

fonctionnement (VABF) 288vérifi cation de signature

électronique 180XAdES (XML Advanced

Electronic Signature) 177, 197

Normes

2TUP 267AES 32, 147, 149, 154, 287

AES CBC 32AES ECB 32

Mouton.indb 306 13/06/12 13:16

Index

307

CAdES (CMS Advanced Electronic Signature) 22, 177, 178, 179, 197, 202, 222, 261, 287

CAPI 104CMS 148, 177Convergence 140CSP (Cryptographic Service

Providers) 104, 193CSPN (Certifi cat de sécurité de

premier niveau) 233EBIOS (Expression des besoins

et identifi cation des objectifs de sécurité) 124, 284

ElGamal 151ETSI 101456 50, 127extreme programming 267GS1, recommandations pour

l’échange de factures dématérialisées fi scalement 192

ISO 14641 237ISO 14641-1 22ISO 14721 237ISO 15408 48ISO 15489 237ISO 27000 22ITIL 267label FNTC

coffre-fort électronique 237tiers archiveur 237

LDAP 79Merise 267MoReq2010 237NF Z42-013 22, 237NF Z42-025 23NTP (Network Time Protocol)

221OAIS (Open Archival

Information System) 237PAdES (PDF Advanced

Electronic Signature) 22, 177, 178, 179, 197, 202, 261, 287

PC/SC (Personal Computer/Smart Card) 104

PGP 137PKCS 22PKCS#7 148, 177PKCS#11 104, 193PKCS#12 98, 156PKCS#15 105RACHE (Rapid Application

Conception and Heuristic Extreme-programming) 267

Référentiel général d’accessibilité pour les administrations (RGAA) 287

Référentiel général d’interopérabilité (RGI) 287

RFC 2527 22RFC 2560 22, 116RFC 2630 22, 148RFC 3039 92RFC 3161 22, 222

annexe A 223RFC 3647 259RFC 4055 22RFC 4330 221RFC 5280 22, 89, 115RGAA (Référentiel général

d’accessibilité pour les administrations) 287

RGI (Référentiel général d’interopérabilité) 287

RGS (Référentiel général de sécurité) 23, 167, 172, 191, 258, 259, 274, 282

étoiles 23RSA 27, 147, 149, 154, 164, 175,

287SHA256 24, 175, 287S/MIME 148Sovereign Keys 140SSL (Secure Socket Layer) 63,

151standard d’échange de données

pour l’archivage DAF 237Time Stamp Protocol (TSP) 222

Mouton.indb 307 13/06/12 13:16

Index

308

TLS (Transport Layer Security) 63

TSP (Time Stamp Protocol) 222UML 286X.500 79

X.509 89, 90XAdES (XML Advanced

Electronic Signature) 22, 177, 178, 179, 197, 261, 287

XMLDSig 178

Paroles d’experts

Borghesi Alain, Cecurity.com 239Caprioli Éric, avocat, cabinet

Caprioli et associés 252Colin Pascal, Keynectis 50Denuzière Jean, Ilex 81Du Boullay Charles, CDC Fast et

CDC Arkhinéo 218Kaeb Thomas, Wacom 188Maraval Philippe, Pôle Emploi 185Maréchaux Bertrand, ANTS 130Mattatia Fabrice, CDC 131

Plas Didier, Genitech 287Poidevin Emmanuel,

e-attestations 45Pourcher Gilles, Région

Limousin 294Saphores Jean, CSOEC 281Treins Michel, Ineris 71Trotin Armelle, LSTI 135Vantorre Ignace, Sogelink 20Zimmermann Philip,

cryptologue 139

Textes législatifs et réglementaires

arrêtédu 26 juillet 2004 49du 28 août 2006 252RGS du 18 mai 2010 24

Code civilarticle 1108-2 270article 1156 255article 1162 255article 1316 12article 1316-1 12, 194, 239article 1316-2 252, 254article 1316-3 12article 1316-4 164, 165, 166,

187, 260, 272, 273, 282article 1369-8 217

Code de commerce, article L.123-22 248

Code de la consommationarticle L.132-1 253, 255article L.134-2 248article R132-2 253

Code de la propriété intellectuelle

article L.331-12 216article L.336-3 216

Code des marchés publics 185article 56 216, 271article 57 270

Code des postes et télécommunications, article L.34-1 216

Code général des impôtsannexe 3, article 96 F 272article 289 V 192, 271

communication de la Commission européenne du 8 octobre 1997 38

décretn° 79-1037 du

3 décembre 1979 242n° 2001-272 du 30 mars 2001

101, 107, 122, 164, 166, 168, 169, 170, 191, 272, 282

Mouton.indb 308 13/06/12 13:16

Index

309

n° 2002-535 du 18 avril 2002 47, 49

n° 2011-144 du 2 février 2011 217

RGS 2010-112 du 2 février 2010 48

délibération CNIL n° 2010-371 du 21 octobre 2010 150, 232

directive1999/93/CE du

13 décembre 1999 38, 39, 121, 164, 171, 172, 173, 191, 192, 251

Commerce électronique 2000/31/CE du 8 juin 2000 39

loiInformatique et libertés

n° 78-17 du 6 janvier 1978 7, 11, 144, 220, 230, 272

n° 2000-230 du 13 mars 2000 11, 164, 166, 251, 252

n° 2004-575 pour la confi ance dans l’économie numérique (LCEN) du 21 juin 2004 39, 122, 215

n° 2004-801 du 6 août 2004 144

n° 2009-526 du 12 mai 2009 270

n° 2010-476 du 12 mai 2010 215

ordonnance n° 2005-1516 du 8 décembre 2005 23, 42, 218, 227, 256

règlement n° 97-02 de la Banque de France 51

RGS (Référentiel général de sécurité) 23, 39, 42, 123

Mouton.indb 309 13/06/12 13:16