Le NOUVEL ACHAT

Aller au contenu | Aller au menu | Aller à la recherche

Tag - RGS

Fil des billets

vendredi, avril 12 2013

Les autorités de certification bien mal préparées à l’arrivée des nouveaux certificats électroniques RGS

La transition vers le RGS est très mal gérée par les autorités de certifications qui donnent l'impression d'être prises au dépourvu par une réforme pourtant prévue de longue date et rappelée à l’ordre du jour par la publication le 15 juin 2012 du décret signature.

Rappelons d’abord que la nouvelle réglementation impose aux opérateurs d’utiliser des certificats électroniques RGS de niveau 2 étoiles ou 3 étoiles pour les marchés publics et cela à compter du 19 mai 2013 . Jusqu’à cette date vos anciens certificats PRIS V1 restent valables.

Au-delà du 19 mai à quoi doit-on s’attendre ?
Si vous signez avec un certificat PRIS V1 « ancien régime », Il se peut que certaines plates-formes appliquant les textes à la règle, soient amenées à rejeter systématiquement votre certificat dès le 19 mai, interdisant la réponse électronique. Il parait toutefois plus probable que le profil d’acheteur n’interdise pas l'utilisation de votre certificat mais vous prévienne qu'il n’est juridiquement pas conforme. Même si cela ne bloque pas votre réponse dématérialisée, le couperet Juridique fera le reste en constituant une raison suffisante de rejet de votre offre. Ne prenons donc pas ce risque.

La difficulté réside dans le fait que les nouveaux certificats présentent des spécifications techniques telles qu'elles imposent aux autorités d’en émettre de nouveaux. Ce qui signifie pour les utilisateurs, la nécessité de commander les nouveaux certificats en remplacement des anciens avec la fourniture d’un nouveau support cryptographique USB. Les autorités qui ont anticipé le problème en livrant les deux certificats PRIS V1 et RGS sur la même clé sont à notre connaissance, très peu nombreuses. Si vous avez fait ce choix, bravo, vous n’avez rien à faire. Si comme moi vous faites partie de la deuxième catégorie, alors prenez votre courage à deux mains et votre carnet de chèque. Notez que les autorités bien conscientes de cet inconvénient, peuvent décider de vous faire une remise exceptionnelle sur votre nouvel achat qui pourrait aller jusqu'à 50% . En attendant qu’un règlement européen vienne encore modifier la donne mais à chaque jour suffit sa peine…

mercredi, juin 20 2012

Vérification systématique de la qualité d’un certificat électronique avec PEPPOL

Les certificats d’autres autorités de certification que celles listées par l’arrêté du 28 août 2006 (PRIS V1) ou situées dans d’autres Etats membres de l’UE, soulèvent la question de la reconnaissance de la qualité au regard des conditions de sécurité définies par le RGS « Référentiel Général de Sécurité ». Le système de vérification mis en place par PEPPOL en interrogeant les différents services de validation Européens disponibles est capable d’identifier ce certificat, de tester sa validité et d’indiquer un niveau de qualité correspondant à une politique de certification. Comment établir la correspondance entre le niveau défini par PEPPOL et le niveau étoilé du RGS (1) de façon à permettre au destinataire de statuer sur sa qualité et le cas échéant de rejeter cette signature si celle-ci ne présente pas le niveau requis ?
Alain ESTERLE chercheur associé à la FRS et responsable pour PEPPOL de la partie signature a travaillé sur la correspondance entre les paramètres de contrôle de PEPPOL et le référentiel RGS.



L’arrêté signature électronique en préparation vise à établir les critères de validité des certificats au regard du dispositif communautaire en faisant référence à la TSL Européenne et au RGS « Référentiel Général de Sécurité ». Aujourd’hui, il n'existe pas de correspondance immédiate entre les certificats référencés par la TSL et la conformité au RGS. En effet, l’arrêté du 28 août 2006, précise que pour être valides, les certificats doivent être « d’une part conformes au RGS et d’autre part référencés sur la liste mise à disposition par voie électronique par le ministère chargé de la réforme de l’Etat » (PRISv1) mais rien ne stipule précisément le sort réservé aux certificats étrangers. Pourtant, rien n’interdit aujourd’hui à un opérateur économique étranger de répondre à un appel d’offres National un utilisant un certificat émis dans son propre pays.

Fonctionnement du service de validation PEPPOL
Le dispositif de validation mis en place par PEPPOL est fondé sur un réseau collaboratif de services de validation (VS), chaque VS est capable de collecter les informations concernant les certificats et les politiques de certification des autorités de certifications locales et de fournir ces informations à n’importe quel service de requête distant. Le destinataire peut ainsi vérifier que le niveau de cette signature est conforme à la réglementation quelque soit l’usage de cette signature, marchés publics ou autres. Les paramètres définis par PEPPOL se réfèrent aux normes de l’ETSI (*) , TS 101 456 et TS 102 042 alors que la réglementation Française se fonde sur le RGS « référentiel Général de Sécurité » de l’ANSSI « Agence Nationale de Sécurité des Systèmes d’Informations » qui définit 3 niveaux de qualité une étoile (*) deux étoiles (**) et trois étoiles (**).Comment établir cette correspondance de façon explicite à l’utilisateur final à partir des seuls paramètres délivrés par PEPPOL ?
PEPPOL eSign PEPPOL détermine la qualité du certificat à partir de quatre paramètres, la politique de certification noté de 1 à 6 , l’indépendance de l’assurance de 1 à 7, l’algorithme de hachage (hash function) et la longueur de la clé publique. En France les autorités de certification sont qualifiées par le LSTI (Laboratoire de Sécurité des Technologies de l’Information) et le COFRAC sur accréditation de l’ANSSI. Depuis avril 2012, le LSTI est d’ailleurs seul habilité à délivrer ou renouveler l’accréditation CSP. De façon pratique, cette accréditation de la politique de certification correspond à la délivrance d’une conformité par audit externe, c’est à dire au niveau 7 de PEPPOL.

Le RGS et les niveaux de qualité définis par PEPPOL (2)

Bien que l’on considère que le niveau trois étoiles est équivalent à la signature qualifiée définie par le cadre Européen, il n’y a pas de concordance systématique entre le RGS et les niveaux définis par PEPPOL. Pour la partie cryptographique, le niveau recommandé par le RGS deux étoiles (**) correspond à une fonction de hachage SHA 256 sur la base d’une longueur de clé de 2048 bits. Il est à noter qu'au plan International, 1024 bits n’est plus considéré comme présentant un niveau de sécurité suffisant pour les échanges Internationaux depuis le 1er janvier 2011, la signature devra donc impérativement présenter une clé publique de 2048 bits minimum. Le niveau RGS trois étoiles (***) est plus exigeant que les spécifications TS 101 456 au regard de la vérification de l’identité numérique du porteur et la sécurisation du dispositif de signature par des moyens physiques. Après analyse des différents paramètres, le niveau RGS (***) correspond donc au niveau QCP+ « Qualified Certificate Policy » de PEPPOL. Le niveau RGS deux étoiles (**) est lui moins exigeant que le niveau trois étoiles (***) au regard des conditions évoquées plus haut et conforme aux spécifications TS 102 042. Il s’ensuit que le RGS (**) correspond au niveau NCP+ « Normalized Certificate Policy ». Enfin le RGS (*) est conforme au niveau LCP « Lightweight Certificate Policy ».

En pratique :

Les exemples de mise en œuvre de la vérification de signature sur le portail SUNNYSTAMP de LexPersona permettent de lire les paramètres décrits plus haut. L’utilisateur est donc en mesure de s’assurer de façon certaine de l’identité du signataire, de la validité et de la qualité du certificat émis au regard de la politique de certification.
En présence d'un certificat étranger :

eSign2 PEPPOL

Ou d'un certificat émis par une autorité Française :

eSign1 PEPPOL

Au-delà des vérifications habituelles portant sur la validité du certificat, le service fournit des informations précises qui vont souvent au-delà des moyens de vérifications classiquement rencontrés sur les plates-formes.Il est donc possible à partir des outils PEPPOL de s’assurer non seulement de l’origine mais de l’authenticité d’un certificat électronique auprès de n’importe quelle autorité référencée par les services de validation PEPPOL. Le service peut-être généralisé à un ensemble d’applications, pour les échanges électroniques, les téléprocédures et bien d’autres services en ligne encore. De ce point de vue, PEPPOL sans se substituer à la réglementation Nationale vient compléter avantageusement l’information sur la qualité du certificat. Le service est par ailleurs rendu de façon systématique pour l’ensemble des certificats du marché. La vérification OCSP « Online Certificate Status Protocole » qui permet de délivrer un jeton de vérification par connexion directe au serveur de l’autorité de certification est toujours possible mais cette pratique est encore insuffisamment répandue.
Thierry AMADIEU
Responsable des pilotes PEPPOL pour l'Adetef et OpenPEPPOL France

(1) ANSSI / RGS

(2) Niveau de qualité des politiques de certifications PEPPOL

LCP: Lightweight Certificate Policy ( TS 101 456)

NCP: Normalized Certificate Policy , equivalent à QCP sans l’obligation légale de la Directive 1999/93 article 6 ( responsabilité dommage )

NCP+: Normalized Certificate Policy +, équivalent à QCP+ sans l’obligation légale de la Directive 1999/93 article 6 (responsabilité dommage)

QCP: Qualified Certificate Policy, i.e. politique de certification conforme à la délivrance de certificats qualifies pour le secteur public (conformité avec annexes 1 & 2 de la Directive 1999/93)

QCP+: Qualified Certificate Policy, i.e. politique de certification conforme à la délivrance de certificats qualifies pour le secteur public et nécessitant l’utilisation de dispositifs de sécurité (SSCD)