Le NOUVEL ACHAT

Aller au contenu | Aller au menu | Aller à la recherche

Tag - certificats électroniques

Fil des billets

vendredi, avril 12 2013

Les autorités de certification bien mal préparées à l’arrivée des nouveaux certificats électroniques RGS

La transition vers le RGS est très mal gérée par les autorités de certifications qui donnent l'impression d'être prises au dépourvu par une réforme pourtant prévue de longue date et rappelée à l’ordre du jour par la publication le 15 juin 2012 du décret signature.

Rappelons d’abord que la nouvelle réglementation impose aux opérateurs d’utiliser des certificats électroniques RGS de niveau 2 étoiles ou 3 étoiles pour les marchés publics et cela à compter du 19 mai 2013 . Jusqu’à cette date vos anciens certificats PRIS V1 restent valables.

Au-delà du 19 mai à quoi doit-on s’attendre ?
Si vous signez avec un certificat PRIS V1 « ancien régime », Il se peut que certaines plates-formes appliquant les textes à la règle, soient amenées à rejeter systématiquement votre certificat dès le 19 mai, interdisant la réponse électronique. Il parait toutefois plus probable que le profil d’acheteur n’interdise pas l'utilisation de votre certificat mais vous prévienne qu'il n’est juridiquement pas conforme. Même si cela ne bloque pas votre réponse dématérialisée, le couperet Juridique fera le reste en constituant une raison suffisante de rejet de votre offre. Ne prenons donc pas ce risque.

La difficulté réside dans le fait que les nouveaux certificats présentent des spécifications techniques telles qu'elles imposent aux autorités d’en émettre de nouveaux. Ce qui signifie pour les utilisateurs, la nécessité de commander les nouveaux certificats en remplacement des anciens avec la fourniture d’un nouveau support cryptographique USB. Les autorités qui ont anticipé le problème en livrant les deux certificats PRIS V1 et RGS sur la même clé sont à notre connaissance, très peu nombreuses. Si vous avez fait ce choix, bravo, vous n’avez rien à faire. Si comme moi vous faites partie de la deuxième catégorie, alors prenez votre courage à deux mains et votre carnet de chèque. Notez que les autorités bien conscientes de cet inconvénient, peuvent décider de vous faire une remise exceptionnelle sur votre nouvel achat qui pourrait aller jusqu'à 50% . En attendant qu’un règlement européen vienne encore modifier la donne mais à chaque jour suffit sa peine…

mardi, octobre 23 2012

Arrêté signature électronique du 15 juin 2012, l'explication de texte de la DAJ

Le 22 octobre à l'occasion d'une réunion de l'OEAP, Monsieur Serge DOUMAIN de la Direction des Affaires Juridiques s'explique sur l'arrêté signature electronique des marchés publics. Il rappelle que ce texte est motivé par la recherche d'une plus grande simplicité et la nécessité d'un élargissement de la signature au cadre européen. La DAJ qui avait déjà engagé une vaste concertation à laquelle nous avions pris part (1) se veut rassurante quant à la mise en application du dispositif. Nous saluons au passage cette avancée qui consacre l'utilisation du parapheur pour les entreprises; sujet pour lequel nous avions longtemps milité et quelques autres aussi. Le texte qui ne dispose que pour les marchés publics n'est pas figé et est encore susceptible d'évolutions en fonction du retours des utilisateurs précise la DAJ.

  • Certificats


Rappel des types certificats électroniques objet du présent arrêté. L'abrogation de l'arrêté du 28 août 2006 rend caduque la liste PRIS dès l'entrée en vigueur du RGS, le 19 mai 2013 (2). D'ici là, les certificats PRIS V1 pourront être utilisés. La prise en compte de ces disposition par les autorités de certification et l'organisation de la migration gratuite ou non vers une conformité RGS soulève quelques interrogations. Il faudra être vigilant sur ce point. La DAJ rappelle à ce sujet que le référencement n'est pas obligatoire pour produire du certificat RGS. Elle relève uniquement de la politique de certification décidée par l'AC.

Pour les certificats étrangers, il sont valables dès l'instant qu'ils répondent à des normes équivalentes au RGS. Comment établir cette correspondance ? Nous avions attiré votre attention sur le mapping des paramètres du RGS en regard des conditions de l'ETSI notamment pour les autres certificats européens; travail effectué par Alain ESTERLE dans le cadre de PEPPOL. (3)

  • Vérification mode d'emploi


La DAJ indique qu'un mode d'emploi à l'attention des acheteurs doit être ajouté à la réponse dématérialisée pour indiquer les moyens de vérification de la signature. Le fait que ce mode d'emploi soit inclus et non extérieur à l'offre elle-même ne semble pas poser de problème aux acheteurs (le mettre à l'extérieur serait une source d'oubli et compliquerait la réponse). Nous avions pris les devants en recommandant aux utilisateurs d'un parapheur électronique maison, qu'un document « politique de signature » soit systématiquement ajouté à l'offre transmise. Ce document devant indiquer, le type de parapheur utilisé, le format de signature et les moyens de vérification utilisés par l'acheteur.


  • Les formats


Les formats avancés CADES, XADES, PADES (confirmé par décision de la Commission Européenne) s'imposent par défaut à l'acheteur. D'autres formats peuvent être utilisés s'ils sont spécifiés explicitement dans le RC. La problématique de vérification reste entière. La DAJ souligne que cette vérification est de la responsabilité de l'acheteur et ne saurait être déléguée. Au passage, quelques mots sur la signature PDF (PADES) qui présente bien des avantages en terme de vérifications. Autoportante, PADES incorpore les moyens de vérification à l'aide du lecteur ACROBAT dans le document lui même. Pour l'utilisateur, cette signature est rassurante car elle présente l’avantage d'une représentation graphique par un tampon cryptographique qui intègre les paramètres de vérification juridique. Les limites de PADES sont liées à la politique de référencement d'ADOBE qui ne référence pas systématiquement les autorités de certification (référencement payant). Cela implique que ce référencement soit effectué manuellement par le vérificateur directement dans sont lecteur ACROBAT. PADES ne permet pas non plus de signer d'autres documents que PDF ce qui exclu d'autres types de fichiers (.xls, .doc etc.). Pour ce type de fichier, c'est le mode détaché qui prévaut (XADES, CADES etc.) En pratique, la transformation systématique de tous les fichiers en PDF avant signature nous semble souhaitable pour éviter les erreurs de manipulation. Pour résoudre ce problème et sauf contre-indication du RC, il suffit d'une version PDF signée du tableau Excel ajoutée systématiquement par l'entreprise à la version native utilisable par l'acheteur mais celle-ci non signée.

  • LexPersona, le parapheur

Présentation du parapheur Sunnystamp de LexPersona qui insiste qur le fait que la vérification ne donnera pas le même résultat sans une cohérence des critères de validation. D'où la nécessité d'une table de correspondance. Pour les certificats LP met à disposition de l’interrogateur PEPPOL sur son site. (2).

En conclusion, ce texte nous semble encourager les avancées de la dématérialisation même si la charge de la vérification qui repose désormais sur les acheteurs soulève de vrais questions. Evitons toutefois de tomber dans le travers d'une vérification dont les paramètres trop contraignants risquerait de freiner les développements ultérieurs. La complexité technique est particulièrement anxiogène pour l'ensemble des utilisateurs. A ce propos, que se passe t-il en cas de survenance d'un litige, s'inquiète un acheteur ? La question jurisprudentielle laisse la DAJ sans réponse qui souligne que le juge se trouve particulièrement démuni pour traiter de la haute technicité du sujet. A notre avis, plus nous augmenterons les conditions techniques de recevabilité plus nous multiplierons les sources de litiges. Où faut-il positionner le curseur ? Comme toujours en telle matière "au milieu se tient la vertu". Soyons donc pragmatique en présumant d'abord de la bonne foi de l'entreprise dès l'instant que la signature apposée sur un fichier est manifeste.
(1) projet d'arrêté, nos commentaires

(2) arrêté signature, mode d'emploi

(3) vérification de la qualité d'un certificat avec PEPPOL