Identité numérique : la base de la confiance en ligne

SOMMAIRE
  • SOMMAIRE

Identité numérique : la base de la confiance en ligne

L’identité numérique est au cœur de la confiance dans le cadre des échanges en ligne. Faute de disposer d’une identité forte sur le réseau et des moyens de protéger cette identité, le développement des échanges électroniques et des services de confiance est voué à l’échec. Cette notion est à la base de tous les processus d’authentification et de sécurisation des données – certificat électronique, certificat SSL, signature électronique. L’identité numérique, c’est donc l’incontournable socle sur lequel doit s’édifier la confiance en ligne de votre entreprise.

Qu’est-ce que l’identité numérique ?

La notion d’identité, au sens administratif, est relativement récente. En France, la carte d’identité nationale est apparue seulement en 1921, mais elle est restée facultative depuis lors (exception faite d’une brève période de temps pendant la Seconde Guerre mondiale), et n’a été généralisée qu’à la toute fin du XXe siècle. En tout état de cause, posséder un justificatif d’identité quel qu’il soit est indispensable pour effectuer la plupart des démarches, comme s’inscrire sur une liste électorale, ouvrir un compte bancaire ou acheter une voiture. L’identité permet à chacun de prouver qui il est dans les circonstances qui nécessitent d’apporter cette preuve, à travers une somme d’informations factuelles.

Cette problématique, transposée au monde digital, se complexifie toujours plus. La définition d’une identité numérique se heurte à nombre d’obstacles, à commencer par l’ampleur des éléments qui la constituent. Globalement, une identité numérique est formée par la somme des traces numériques laissées par un individu ou une entreprise. Ces traces peuvent avoir de multiples sources : les profils (sur les réseaux sociaux, par exemple), les données communiquées, les sites fréquentés, les contenus publiés, les comportements, les opinions déclaratives, etc. Elles peuvent être laissées volontairement ou non, consciemment ou non, et prendre tous les formats possibles, depuis les contenus jusqu’aux identifiants de connexion, en passant par les cookies et l’adresse IP.

Relier l’identité numérique à son propriétaire

Néanmoins, cette définition ne recouvre qu’un seul des aspects de l’identité numérique. Les traces laissées sur le web informent sur ce qu’une entité ou une personne semble être, mais pas sur ce qu’elle est réellement. Dans le contexte de la dématérialisation des services et des formalités administratives, la nuance est importante : quand un internaute achète sur un site e-commerce, quand un acteur commercial signe un contrat avec un autre, ils doivent être certains d’avoir affaire au bon site ou à la bonne entité.

L’essor des échanges électroniques tend à multiplier les risques. Pour une entreprise, la menace d’usurpation d’identité est majeure : elle doit absolument protéger son identité numérique et veiller à ce que ses interlocuteurs, eux aussi, soient vraiment ceux qu’ils prétendent être. L’enjeu, c’est donc de parvenir à relier l’identité numérique à son propriétaire. À faire en sorte que tout le monde puisse faire le lien entre l’identité régalienne (l’entreprise que vous êtes) et son équivalent digital (un certificat ou une signature électronique, par exemple). Cette démarche permet de garantir l’identité du signataire dans tous les cas de figure, qu’il s’agisse de protéger les échanges avec les internautes ou de donner une valeur légale à des documents électroniques.

Le besoin d’une identité numérique sécurisée

Le développement des échanges en ligne contraint les entreprises à disposer de moyens de s’authentifier numériquement aux yeux du public et de leurs partenaires. « Contraint » est le bon terme : depuis juillet 2016, le règlement eIDAS (electronic Identification, Authentification and trust Services) encadre l’identification électronique et les services de confiance au niveau européen. En imposant un socle sécuritaire commun dans le cadre des échanges de données, eIDAS oblige les entreprises à adopter des processus permettant de garantir leur identité numérique à travers plusieurs niveaux de fiabilité et de sécurité. Le règlement intègre également des exigences quant à la création d’une signature électronique, sur la base d’un certificat numérique délivré par une Autorité de Certification comme CertEurope (voir notre article au sujet d’eIDAS).

La signature électronique, justement, est la clé d’une identité numérique sécurisée. Cautionnée par un certificat électronique, elle protège votre entreprise contre toute tentative d’usurpation d’identité, garantit l’intégrité des documents échangés, et consolide votre présence en ligne. Grâce à cette signature, les démarches de consentement et d’engagement sont limitées au seul porteur du certificat numérique, tandis que le certificat en question sécurise les données échangées via une clé de chiffrement.

De son côté, l’authentification forte (l’utilisation de deux facteurs d’identification) permet aux entreprises de sécuriser leurs accès à leur système d’information depuis n’importe quel support, de façon à protéger des données sensibles ou confidentielles. L’authentification forte est soutenue par l’émission d’un certificat électronique signé par un tiers de confiance.

Enfin, l’obtention d’un certificat électronique intégrant le protocole SSL vise à protéger l’intégrité des données échangées entre un serveur et un client, mais aussi à garantir l’identité du possesseur du certificat (pour des certificats présentant un haut niveau de sécurité : OV ou EV).

L’adoption d’outils fiables de maîtrise de l’identité numérique, à l’image de la signature électronique et du certificat électronique, est donc un préalable indispensable à des échanges électroniques sécurisés. Et un gage de confiance incontournable.

 

Certificat SSL, SSL, certificat TLS… 5 questions pour tout comprendre

SOMMAIRE
  • SOMMAIRE

Certificat SSL, TLS… 5 questions pour tout comprendre

Les Français sont de plus en plus connectés : la moitié d’entre eux a l’habitude d’effectuer des achats en ligne, et ils sont 80 % à consulter leurs comptes bancaires depuis des interfaces web. Mais comment assurer la sécurité de leurs données personnelles ? La réponse, c’est le protocole SSL, permettant d’assurer la confidentialité des données échangées entre les internautes et les plateformes web. Voici 5 questions pour tout comprendre au sujet du fameux certificat SSL et de son successeur, le certificat TLS.

Le SSL, c’est quoi ?

Dans certificat SSL, il y a « SSL », abréviation de Secure Socket Layer. Il s’agit d’un protocole permettant de sécuriser les échanges entre un internaute et une plateforme (site web, serveur, application mobile) via le chiffrement des données. Ce protocole, inventé dans les années 90 par Netscape pour Mastercard dans le but de protéger les transactions effectuées en ligne, élimine les risques d’interception « en clair » des données par des personnes tierces. Les informations échangées sont donc cryptées et inaccessibles aux pirates informatiques.

Le protocole SSL a contribué à la sécurisation du web et au développement du commerce en ligne. Utilisé en grande partie pour sécuriser les données confidentielles et les coordonnées bancaires des internautes, et pour garantir leur intégrité, le SSL est également une méthode d’ « authentification forte ». À travers un certificat SSL, l’utilisateur peut s’assurer de l’identité du serveur avec lequel il communique.

Comment fonctionne un certificat SSL ?

Le certificat SSL est donc un certificat électronique qui intègre le protocole SSL. Il atteste du lien entre l’identité numérique et l’identité physique d’une personne ou d’une entreprise. Et garantit ainsi la confidentialité des données échangées entre le serveur et les internautes, par le biais d’une clé cryptographique.

Installé sur un serveur, le certificat SSL autorise des connexions sécurisées sur le navigateur. Celles-ci sont signalées par la présence du protocole HTTPS dans l’URL du serveur, et par l’affichage d’un cadenas de sécurité dans la barre d’adresse (à gauche ou à droite, en fonction des navigateurs).

Ce certificat de site web assure-t-il la sécurité des utilisateurs ?

Au départ, le certificat SSL est destiné à la sécurisation des données sensibles, essentiellement dans le cadre des paiements en ligne. Par la suite, le SSL s’est imposé comme la norme pour protéger l’accès aux comptes utilisateurs, l’envoi de documents dématérialisés ou les déclarations fiscales (entre autres). Même les réseaux sociaux ont adopté le protocole SSL : vous pouvez constater, en vous connectant sur Facebook, Twitter ou LinkedIn, que ces plateformes affichent bien le protocole HTTPS et le fameux cadenas.

Un certificat SSL permet ainsi de faire la distinction entre un site sécurisé et légitime, et un site mal protégé, voire malveillant, par exemple dans un cas de « phishing » (une forme d’attaque consistant à imiter une page web pour convaincre un internaute de livrer des informations confidentielles).

Toutefois, il ne faut pas oublier une chose : le SSL signifie que les données sont protégées par un chiffrement. Ce qui n’empêche nullement un pirate informatique d’acheter un certificat SSL à faible niveau de sécurité (un certificat DV, par exemple, est délivré au propriétaire d’un nom de domaine, sans plus de vérifications) afin d’afficher HTTPS et cadenas. Les données sont effectivement chiffrées, mais l’internaute n’est pas protégé pour autant.

Pour garantir une protection optimale, il est nécessaire d’installer un certificat SSL offrant un haut niveau de sécurisation, permettant de garantir l’identité de l’entreprise propriétaire et gestionnaire du site. C’est le cas des certificats à validation d’organisation ou à validation étendue.

Comment obtenir un certificat SSL ?

Un certificat SSL suppose une vérification préalable, dont la teneur est fonction du niveau de sécurisation demandée. Une entreprise qui souhaite adopter le protocole SSL doit s’adresser à une Autorité de Certification (AC), seule habilitée à fournir le certificat en question, de la même façon que seuls les services administratifs compétents sont en mesure de délivrer une carte d’identité ou un passeport. Les Autorités de Certification sont nombreuses, et CertEurope est l’une d’entre elles. Selon les AC, le niveau de fiabilité des procédures de vérification et d’émission des certificats diffère.
Notez qu’il est également possible de passer par des intermédiaires (les fournisseurs de certificats SSL) qui travaillent avec ces autorités.

Quelle différence entre un certificat SSL et un certificat TLS ?

Afin d’intégrer des algorithmes de chiffrement plus précis et plus robustes, et ainsi faire face aux évolutions des problématiques de sécurité, le SSL a connu des versions successives… Jusqu’à se transformer en TLS (Transport Layer Security).
Le protocole TLS est donc le successeur du SSL. L’arrivée du TLS en 1999 n’a pas mis au rebut les protocoles précédents (SSL 2.0 et 3.0), mais ceux-ci ont été progressivement désapprouvés par les autorités. Conséquence : un site web qui utilise un protocole trop ancien n’offre pas une expérience utilisateur sécurisée, et voit son préfixe HTTPS barré en guise d’avertissement aux internautes. Le TLS est donc le protocole en vigueur.
Pour autant, il faut savoir que protocole et certificat sont deux choses différentes – et indépendantes l’une de l’autre. Si le protocole TLS s’est imposé, on parle toujours de « SSL » par convention. Ce qui veut dire qu’un certificat SSL et un certificat TLS sont une seule et même chose.
Vous n’avez donc pas besoin de vous précipiter auprès de votre autorité compétente pour acheter un certificat TLS, dès lors que vous en possédez déjà un en version SSL !

Comment utiliser la plateforme de déclaration Synapse ?

SOMMAIRE
  • SOMMAIRE

Comment utiliser la plateforme de déclaration Synapse ?

Si vous êtes fabricant, vendeur, importateur, responsable de la mise sur le marché ou utilisateur de produits chimiques ou de préparations à risques, la plateforme de déclaration en ligne Synapse ne vous est sans doute pas inconnue. Dans le cadre de vos activités, vous êtes tenu de déclarer certains de ces produits, à des fins d’évaluation et de prévention des risques, auprès des organismes agréés. Comment fonctionne cette plateforme ? Quelles sont les étapes à suivre pour effectuer une déclaration sur Synapse ? Et pourquoi faut-il absolument être en possession d’un certificat RGS pour accéder à ce portail ?

Synapse, c’est quoi ?

La plateforme de déclaration Synapse est un outil mis en place conjointement par l’INRS (Institut national de recherche et de sécurité) et les CAPTV (Centres antipoison et de toxico-vigilance français). Accessible et utilisable en ligne, elle permet aux industriels qui vendent des produits chimiques et des préparations de les déclarer de façon simple et sécurisée, par le biais d’une interface dynamique. Le but ? Évaluer le niveau de risque présenté par ces substances et prévenir les éventuels risques toxicologiques.

Cette obligation s’applique :

  • Aux produits classés dangereux, en fonction de leur classification.
  • Aux produits phytopharmaceutiques (destinés à protéger les végétaux et à combattre les organismes nuisibles qui s’en prennent à eux).
  • Aux produits biocides (destinés à détruire ou repousser les nuisibles : désinfectants, produits de protection, substances permettant de lutter contre les nuisibles, etc.).
  • Aux produits classés dangereux considérés comme « nouveaux », c’est-à-dire mis sur le marché pour la première fois, issus d’une nouvelle composition, concernés par une évolution d’étiquetage, achetés auprès d’un fournisseur inédit, etc.).
  • À tout type de produit dès lors que la demande de déclaration émane directement de l’INRS.

Pour simplifier cette démarche, l’INRS se charge d’enregistrer les déclarations en ligne via une plateforme spécifique : Synapse. La déclaration sur Synapse est une obligation depuis l’arrêté du 25 janvier 2017. Mais comment se déroule-t-elle ?

Comment effectuer une déclaration sur Synapse ?

Le portail Synapse a été conçu pour faciliter et sécuriser les déclarations de produits et de préparations de façon dématérialisée. Une déclaration sur Synapse peut être prise en charge par l’industriel qui fabrique, vend ou utilise la substance en question, ou bien par un prestataire de service mandaté pour l’occasion.

Les démarches à suivre pour procéder à une déclaration sur Synapse sont les suivantes :

  • S’inscrire sur la plateforme Synapse (une étape préalable obligatoire conditionnée à l’utilisation d’un certificat électronique RGS délivré par un Tiers de Confiance : nous y reviendrons un peu plus loin) ;
  • Accéder à son espace personnel sur le portail (« Mes déclarations ») ;
  • Créer une « Nouvelle déclaration » ;
  • Remplir les onglets de la déclaration, dans l’ordre prédéfini ou non, chacun devant être validé individuellement en ayant pris soin d’inscrire les items obligatoires (signalés par un astérisque rouge), parmi lesquels : le contexte, l’identification, la nomenclature, l’usage du produit, les informations de commercialisation, les caractéristiques physico-chimiques, la composition des substances, l’étiquetage, etc.

Une fois la déclaration Synapse effectuée, il est possible de la consulter et d’en suivre le traitement depuis l’onglet « Mes déclarations », ou d’en changer l’affectation sur l’écran « Gestion des déclarations ».

Le certificat d’authentification RGS : une nécessité pour déclarer sur Synapse

Comme nous l’avons vu plus haut, la possession d’un certificat électronique est le préalable indispensable à toute inscription sur la plateforme, donc à toute déclaration. Mais pas n’importe quel certificat : un certificat RGS (pour « référentiel général de sécurité » : un texte qui fixe les règles à respecter pour garantir un certain niveau de sécurité lors des échanges dématérialisés d’informations).

Pour pouvoir effectuer une déclaration sur Synapse, l’industriel ou le prestataire de service mandaté doit nécessairement s’équiper d’un certificat RGS, afin de s’inscrire sur la plateforme, puis de s’authentifier à chaque fois qu’il souhaite se connecter. Ce certificat permet de garantir un niveau de sécurité élevé dans le cadre d’un accès à distance à une application ou un service en ligne. Il donne l’assurance que le déclarant est bien celui qu’il prétend être, et que les informations déposées et exploitées sont bien celles qui ont été antérieurement fournies par le possesseur dudit certificat.

L’accès au portail Synapse suppose d’obtenir un certificat deux étoiles (**) ou trois étoiles (***) auprès d’une Autorité de Certification comme CertEurope. Le nombre d’étoiles renvoie à l’obligation de remettre le support cryptographique contenant le certificat en mains propres au demandeur. Ces certificats servent à accéder à des espaces sécurisés sur des plateformes comme Synapse, et garantissent l’intégrité des documents signés électroniquement et des informations déposées en ligne.

Le certificat RGS** (au minimum) est donc l’indispensable sésame pour s’inscrire sur Synapse et commencer à effectuer des déclarations en ligne. L’inscription est validée par le gestionnaire de la plateforme après vérification du certificat. Si celui-ci expire, une mise à jour est alors nécessaire sur cette page. Renseignez-vous auprès de votre Tiers de Confiance pour en savoir plus.

Chorus Pro, l’indispensable outil pour transmettre vos factures électroniques aux entreprises publiques

SOMMAIRE
  • SOMMAIRE

Chorus Pro, l’indispensable outil pour transmettre vos factures électroniques aux entreprises publiques

Parmi vos clients, vous comptez des collectivités locales, des ministères, des hôpitaux ou tout autre établissement public ? Dans ce cas, vous êtes sans doute déjà passé à la facturation électronique – ou devrez y passer très prochainement si votre société est une PME ou une micro-entreprise. Depuis le 1er janvier 2017, les entreprises qui fournissent les organismes publics en biens ou en services ont l’obligation d’adopter la dématérialisation des factures. Une contrainte qui n’en est pas vraiment une, grâce à la mise en place de Chorus Pro, le portail gouvernemental qui simplifie la transmission des factures dématérialisées et le suivi de leur traitement, tout en garantissant la sécurité des échanges. Explications.

La facturation électronique obligatoire pour les fournisseurs du service public

Dans l’idée d’inciter les entreprises à adopter massivement la facturation électronique, le gouvernement a prévu d’imposer l’émission de factures dématérialisées à tous les fournisseurs de l’administration publique, pour l’ensemble des échanges de biens et de services. En toute logique, il a également obligé les établissements publics et les collectivités locales à adapter leurs environnements informatiques pour pouvoir recevoir les factures dématérialisées, grâce à un portail dédié.

Ce processus est progressif. Résultant de l’ordonnance n°2014-697 relative au développement de la facturation électronique (à lire sur cette page), dans le cadre du programme de simplification en faveur des entreprises, un calendrier a été mis en place avec les paliers suivants :

  • 1er janvier 2017 : entités publiques et grandes entreprises (plus de 5 000 salariés).
  • 1er janvier 2018 : entreprises de taille intermédiaire (entre 250 et 5 000 salariés).
  • 1er janvier 2019 : petites et moyennes entreprises (entre 10 et 250 salariés).
  • 1er janvier 2020 : micro-entreprises (moins de 10 salariés et entrepreneurs individuels).

En 2020, toutes les sociétés qui travaillent avec les entités publiques devront donc être passées à la facturation électronique. Mais rien ne vous empêche, si vous n’êtes pas encore concerné par cette obligation, de passer à la dématérialisation sans attendre. Le portail permettant d’accueillir les factures électroniques et de les acheminer vers les destinataires prévus existe depuis le 1er janvier 2017 : c’est Chorus Pro.

Chorus Pro : simplifier les échanges de factures dématérialisées

Mis en place par l’AIFE (l’Agence pour l’informatique financière de l’État, une émanation du ministère de l’Économie et des Finances) en remplacement de Chorus Factures, le portail Chorus Pro a été conçu pour faciliter les échanges entre les sociétés et les administrations publiques dans le cadre des demandes de paiement. La plateforme embarque deux fonctionnalités principales :

  • Elle sert de « hub » permettant de centraliser les factures dématérialisées de l’ensemble des fournisseurs, pour les distribuer aux administrations publiques destinataires.
  • Elle permet d’envoyer, de consulter et de télécharger les factures dématérialisées, et de suivre en temps réel l’avancement du traitement des demandes de paiement.

Une fois votre compte créé sur Chorus Pro, vous pouvez sélectionner un mode d’émission (portail, EDI ou service) et un format (PDF signé ou non signé, PDF mixte, fichier XML, format structuré ou mixte, mise à disposition des services du portail sous forme d’API, etc.). Comme nous le verrons plus tard, le choix dépend du volume de factures à envoyer.

De son côté, l’entité publique destinée à recevoir vos demandes de paiement doit elle aussi opter pour un mode de réception : portail (visualisation et téléchargement des factures), EDI (injection automatique du flux, visualisation des factures électroniques sur une feuille de style) ou service (fonctionnalités qui passent par une API).

Les avantages du portail Chorus Pro

Ce qui pourrait ressembler a priori à une contrainte est, en réalité, une opportunité. Car le passage à la dématérialisation des factures par le biais de Chorus Pro offre de nombreux avantages, notamment :

  • Le gain de temps, grâce à l’accélération du processus de transmission des factures.
  • Les économies, en raison de la réduction des coûts d’impression et d’envoi.
  • La confiance, renforcée par une plus grande transparence (la possibilité de suivre en temps réel l’avancement du traitement).
  • La tranquillité d’esprit, du fait d’une diminution des relances et des risques de litige.
  • La réduction de l’empreinte carbone (moindres émissions de CO2).

À tous ces bienfaits, il faut ajouter un gain en matière de sécurité et de confidentialité des échanges – comme nous allons le voir tout de suite.

Des modes de transmission de facture électronique 100 % sécurisés

La dématérialisation des factures, aussi attractive soit-elle, pose la question de la sécurité des échanges. Que deviennent les factures une fois que vous les avez envoyées ? Quelqu’un peut-il transmettre des factures en usurpant votre identité ?

Tout est prévu pour que cela n’arrive pas, en fonction du mode de transmission choisi (dépôt unitaire des factures sur le portail Chorus Pro ou envoi groupé de façon automatisée en EDI – échange de données informatisées).

  • Si vous émettez un nombre peu élevé de factures (par exemple moins de 50 par mois): vous pouvez signer vos factures avec un certificat RGS** pour personne physique, et les déposer de manière unitaire sur Chorus Pro. Vous devez d’abord vous procurer un certificat RGS**, puis signer votre facture dans Adobe Acrobat Reader, et enfin la déposer sur Chorus Pro. Cette solution permet de se passer de la piste d’audit fiable. Découvrez tout le processus de dépôt d’une facture unitaire sur la page dédiée du portail.
  • Si vous émettez un volume important de factures (par exemple plus de 50 par mois): vous pouvez automatiser la transmission de vos factures vers le serveur Chorus Pro.
    • En mode EDI ou API Oauth : il est nécessaire au préalable de s’équiper d’un certificat SSL ce qui permet de procéder au dépôt groupé des factures en format EDI.
    • En mode API Oauth2 : il faudra passer par la plateforme PISTE (Plateforme d’Intermédiation des Services pour la Transformation de l’Etat), qui mutualise les services API de l’Etat et de la sphère publique, et qui a pour vocation à devenir un point d’entrée unique.

Quel que soit le cas de figure que vous choisissez, il est nécessaire de vous équiper soit d’un certificat RGS** pour personne physique, soit d’un certificat d’authentification serveur RGS* auprès d’un Tiers de Confiance comme CertEurope, de manière à ce qu’il soit conforme au RGS.

Tel est l’indispensable socle de confiance sur lequel vous vous appuyez pour garantir la sécurité et la confidentialité de vos factures électroniques transmises via Chorus Pro.

Du certibiocide à la déclaration Synapse : quelles sont les étapes à suivre ?

SOMMAIRE
  • SOMMAIRE

Du certibiocide à la déclaration Synapse : quelles sont les étapes à suivre ?

Dans le but de vendre sur le marché des produits conçus à partir de matières chimiques considérées comme étant dangereuses pour la santé, le ministère de la Transition Écologique impose aux entreprises spécialisées de passer le certibiocide, mais également d’effectuer la déclaration Synapse. Si le certibiocide est un certificat qui s’obtient à la suite d’une courte formation, les procédures actuellement en vigueur autour de la déclaration Synapse sont légèrement plus complexes à appréhender. L’occasion pour nous d’étudier dans cet article, l’ensemble des étapes à suivre afin d’effectuer sa déclaration sur la plateforme prévue à cet effet.

Certibiocide et déclaration synapse

Qu’est-ce que le certibiocide ?
Certibiocide et déclaration synapse

Le certibiocide est un certificat individuel et obligatoire que les professionnels souhaitant mettre en vente des produits biocides, donc nocifs pour certains êtres vivants, doivent obtenir. Ce certificat est délivré par le Ministère de la Transition Ecologique. Sans ce dernier, impossible de continuer son activité. Les produits concernés sont assez nombreux, allant des désinfectants de surface aux produits de lutte contre certains organismes, comme les termites, les rongeurs ou certains insectes.

Comment obtenir le certibiocide ?
Comment obtenir le certibiocide ?

Le certibiocide s’obtient à la suite d’une courte formation. Pour les détenteurs du certiphyto (certificat attestant de connaissances concernant l’utilisation de produits phytopharmaceutiques), cette formation ne durera qu’une seule journée. Pour les autres, il faudra compter sur un cycle de trois journées complètes. Celles-ci s’effectuent auprès d’un organisme spécialement agréé et habilité par le ministère de la Transition Écologique, dont les établissements sont répertoriés sur le site Simmbad. Une fois la formation passée, le certibiocide sera valide pour une durée de 5 ans, à compter du jour où il est officiellement délivré. Au cours de cette formation, les participants en apprendront plus au sujet des réglementations liées aux produits biocides ainsi que sur les usages de ces derniers, en fonction de la catégorie dans laquelle ils sont répertoriés (désinfectant, insecticide, rodenticide). Une partie de cette formation s’articule autour de la prévention de l’utilisation de ces produits et leurs impacts sur notre santé et notre environnement. Une autre partie concerne les stratégies alternatives vers lesquelles se tourner afin d’éviter de recourir à ces biocides. Mais ce certificat n’est pas une fin en soi et certains professionnels doivent aller plus loin, en se tournant notamment vers la plateforme Synapse.

Qu’est-ce que la déclaration Synapse

Depuis 2014, un arrêté invite les entreprises produisant et vendant sur le marché des produits chimiques considérés comme étant dangereux, à déclarer certains d’entre eux sur la plateforme Synapse. Celle-ci a été mise en place et est actuellement gérée par deux organismes : les Centres Antipoison et l’INRS (Institut National de Recherche et de Sécurité pour la prévention des accidents du travail et des maladies professionnelles).

Cette déclaration s’effectue en ligne, à travers le portail Synapse. Le gouvernement a décidé d’aller plus loin le 1er janvier 2019 en obligeant également les entreprises produisant et vendant sur le marché des mélanges considérés comme potentiellement dangereux pour la santé, à les déclarer. En 2022, c’est l’ensemble des mélanges présentant des risques physiques, qui seront à déclarer sur cette plateforme.

Cette déclaration, si elle n’est pas fondamentalement « compliquée », est un processus qui peut être chronophage et requiert des déclarants, qu’ils disposent du certificat RGS/eIDAS (Référentiel Général de Sécurité). Un processus que nous allons étudier plus en profondeur, dans la suite de cet article.

Déclaration synapse : notre guide en 4 étapes

Déclaration synapse : notre guide en 4 étapes

Le certificat RGS, une condition sine qua non

Comme nous venons de l’évoquer, l’inscription sur la plateforme Synapse est conditionnée à l’obtention du certificat RGS. Ce certificat RGS vise à garantir un certain niveau de sécurité. À utiliser à chaque connexion sur Synapse, il sert de « carte d’identité électronique ». En l’utilisant, le professionnel va confirmer auprès de la plateforme, qu’il est bien la personne concernée par la déclaration. Ce certificat s’obtient auprès d’un organisme de certification tel que CertEurope, qui gère nos offres de la gamme Sign (signature numérique), afin de garantir la confiance dans vos échanges numériques.

Plusieurs documents sont demandés par les organismes tiers de certification. Ainsi, dans le but de compléter son dossier, il faut fournir :

  • Un extrait K-Bis de son entreprise. Celui-ci doit être daté de moins de 3 mois.
  • Un avis de situation de l’entreprise, afin de s’assurer que celle-ci est toujours en activité.
  • Une photocopie des statuts ainsi que des coordonnées de l’entreprise.
  • Un justificatif d’identité de la personne dont le nom figurera sur le certificat, afin de vérifier que celle-ci existe bel et bien et qu’elle sera la propriétaire de ce document.
  • Une confirmation signée par le représentant de la société concernée, confirmant l’identité de la personne à qui sera délivré le certificat.
  • Une participation financière, afin de régler ce service de certification.

La plateforme Synapse n’est plus accessible dès lors que son certificat RGS est périmé, soit après 3 années d’utilisation. Pour continuer à avoir accès à la plateforme et gérer au mieux ses déclarations, il est possible de remplir un formulaire dans lequel le déclarant joint l’empreinte de son nouveau certificat RGS. La mise à jour du compte est réalisée en back-office par les équipes Synapse. Le déclarant peut alors retourner sur son espace personnel, en toute sécurité. Attention, cette procédure, afin qu’elle soit menée à bien, doit être gérée par la personne en charge de la gestion de la déclaration Synapse, inscrite au préalable. Il faut donc fournir un nouveau certificat RGS, au même nom, faute de quoi, la procédure sera annulée. Une fois le certificat obtenu, reste à définir comment effectuer sa déclaration Synapse.

Comment faire sa déclaration Synapse depuis la plateforme ?

Passage obligatoire, le portail Synapse permet aux professionnels de déclarer leurs produits et leurs préparations, de manière totalement dématérialisée. La déclaration s’effectue directement sur la plateforme par le déclarant ou par une tierce personne mandatée pour l’occasion. Les démarches à suivre sont nombreuses, mais l’ensemble du processus est assez simple.

1- S’inscrire sur la plateforme Synapse

Afin de déclarer sur la plateforme Synapse, il faut avant toute chose, s’inscrire sur le portail. Comme nous avons pu le voir ci-dessus, cette inscription est directement conditionnée à l’obtention du certificat électronique RGS.

2- Accéder à son espace personnel

Une fois l’inscription terminée, un espace personnel est directement accessible. Cet espace personnel permet d’avoir accès à plusieurs catégories, comme :

  • L’espace nouvelle déclaration : comme son nom l’indique, cet espace permet la création d’une déclaration synapse.
  • Mes brouillons : cet espace permet de facilement retrouver, en quelques clics seulement, les dossiers en état d’avancement, mais qui ne sont pas encore terminés.
  • Mes déclarations : ce dossier permet le stockage de toutes les déclarations envoyées par le déclarant. C’est ici qu’il est possible de suivre l’évolution de sa déclaration.
  • Gestion : ce dossier permet le stockage de toutes les déclarations envoyées par l’unité déclarant. Cet écran permet également le changement d’affectation d’une ou plusieurs déclarations au sein d’une unité déclarante ainsi que le transfert d’une gamme de produits vers un autre déclarant.

3- Suivre l’onglet « Nouvelle déclaration »

Dans le but de créer une nouvelle déclaration Synapse, il convient de se rendre sur l’onglet « Nouvelle déclaration ». Il faut ensuite remplir les quelques cases obligatoires demandées. Parmi ces dernières, figurent notamment l’identification et l’usage du produit. Ces données sont importantes car elles permettent de rapidement retrouver le produit concerné et surtout, de savoir à quoi il sert. Son usage se déclare à l’aide du référentiel des classes d’utilisation générale qui dénombre 570 différents cas.

Les caractéristiques physiques ainsi que la composition du produit doivent également être détaillées. Ces données, comme la couleur, le pH et le point d’éclair ainsi que l’ensemble des éléments (classés comme dangereux ou non) doivent être présentés. Enfin, d’autres données, comme les informations de commercialisation ou l’étiquetage doivent être mises en avant par le déclarant.

Pour conclure, la déclaration Synapse requiert l’obtention d’un certificat RGS, délivré par un organisme de certification agréé, tel que CertEurope. En situation d’urgence, nous vous garantissons par ailleurs la livraison d’un certificat RGS sous 72 heures.
Pour plus d’informations, n’hésitez pas à visiter notre page dédiée : Comment utiliser la plateforme de déclaration Synapse ?

EBICS : la solution pour gérer vos échanges bancaires en toute sécurité

SOMMAIRE
  • SOMMAIRE

EBICS : la solution pour gérer vos échanges bancaires en toute sécurité

ebics

Les échanges bancaires représentent un risque majeur pour les organisations. C’est pourquoi les normes de sécurité qui les encadrent évoluent en continu, la plus récente étant EBICS : un protocole de communication bancaire standardisé et sécurisé qui garantit la confidentialité des données, permet l’identification des donneurs d’ordre et préserve l’intégrité des fichiers. Avec, en guise de bonus, un processus de validation 100 % automatisé grâce à la signature électronique. Revue de détail.

Qu’est-ce que EBICS ?

EBICS (en anglais : Electronic Banking Internet Communication Standard) est une norme européenne destinée au secteur bancaire. Il vient remplacer l’ancien protocole ETEBAC. Ce protocole standard est utilisé pour sécuriser les échanges de données en ligne entre les organisations et les établissements bancaires : envoi d’ordres de paiement ou d’encaissement, réception de relevés de comptes ou d’avis de bonne fin de traitement, etc. Il permet aussi de compresser les données, afin de transmettre des fichiers moins volumineux, et de signer électroniquement les demandes pour contourner tout risque de fraude.

Il existe deux modes de validation :

  • EBICS T (pour Transport) : les fichiers transmis sont placés en attente par la banque, jusqu’à réception de la confirmation signée par une personne autorisée au sein de l’organisation, transmise par un canal séparé. C’est cette confirmation qui permet l’exécution de l’ordre. Seul hic : depuis le 1er janvier 2017, les banques ne peuvent plus accepter les confirmations d’ordres transmises par fax, ce qui pousse les organisations à préférer EBICS TS.
  • EBICS TS (pour Transport et Signature) : les ordres sont signés électroniquement. On parle aussi de « validation jointe ». Les opérations sont ensuite exécutées directement, sans nécessiter de confirmation. Ce protocole offre le maximum de sécurité.

EBICS est aussi un protocole multi-bancaire. Une organisation peut travailler avec n’importe quelle banque ayant adopté EBICS en Europe.

Comment fonctionne le protocole EBICS ?

  • Les transactions EBICS impliquent quatre entités :

    • Une organisation ou entreprise qui souhaite échanger des données avec un établissement bancaire ;
    • Une banque, au sein de laquelle EBICS Banking Server est installé ;
    • Un partenaire, l’unité interne à l’organisation qui interagit avec la banque ;
    • Un utilisateur de l’organisation, qui effectue les transactions.

    Pour transmettre des données, l’organisation se connecte à un serveur EBICS propre à l’établissement bancaire. Avant d’être envoyé, le fichier désiré est zippé, chiffré à l’aide d’une clé cryptographique, puis encodé en Base64. Il est ensuite découpé en fragments inférieurs à 1 Mo, insérés dans autant de messages XML. Il est possible de joindre la validation des fichiers ou de le faire ultérieurement en utilisant une signature électronique (selon le mode de validation privilégié). Dans ce dernier cas, la signature de l’ordre a pour conséquence la création d’un fichier de signature, qui permet à la banque de vérifier la conformité de l’ordre et la validité du certificat utilisé par l’organisation (vérification faite auprès de l’Autorité de Certification qui a délivré le certificat).

    C’est toujours l’organisation qui est à l’initiative d’une transaction, qu’il s’agisse d’émettre ou de recevoir.

Quel est le niveau de sécurité des échanges ?

Le protocole EBICS garantit la sécurité de vos échanges bancaires à deux niveaux. D’une part, il utilise des messages XML véhiculés par une connexion TCP/IP sur HTTPS.

D’autre part, il sécurise les envois grâce à trois paires de clés RSA :

  • Une clé de signature qui permet de créer la signature électronique liée à la demande ;
  • Une clé de chiffrement qui permet de transmettre la clé AES de chiffrement de la demande ;
  • Et une clé d’authentification qui permet de signer le message XML.

Pour cela, une Autorité de Certification doit au préalable vous avoir délivré un certificat électronique compatible EBICS TS (c’est le cas de CertEurope).

Quelles sont les conditions préalables ?

Si vous souhaitez bénéficier du protocole EBICS pour vos transactions bancaires, votre entreprise doit suivre deux étapes.

Dans un premier temps, il vous faut signer un contrat avec l’établissement bancaire de votre choix par le biais de votre partenaire. Ce document définit les types de transactions ainsi que les autorisations et les droits d’accès. Il donne également des informations au sujet des comptes bancaires des utilisateurs.
Dans un second temps, vous devez échanger vos certificats et confirmer les paramètres bancaires. Conformément au contrat, l’établissement configure les données du partenaire et de l’utilisateur. Vous n’avez plus qu’à passer à la phase d’initialisation : l’échange et la vérification des certificats entre la banque et votre organisation.

Quels sont les avantages ?


Le protocole EBICS est massivement utilisé par les organisations pour leurs échanges bancaires. Cela, en raison de ses multiples avantages :

  • C’est une solution sécurisée permettant de procéder à des échanges bancaires en toute sérénité : les fichiers sont protégés par cryptage électronique au moment de l’envoi, et les opérations ne sont exécutées qu’après une confirmation émise par l’utilisateur (EBICS T), ou si elles sont validées par une signature électronique adéquate (EBICS TS).
  • EBICS permet de transporter tous les formats de fichiers bancaires en émission et en réception (SWIFT, XML, CFONB), y compris ceux qui contiennent de gros volumes d’opérations.
  • EBICS est compatible avec une large gamme de logiciels de communication bancaire, et avec les différents formats de virements et de prélèvements bancaires (comme SEPA au niveau européen).
  • Le protocole offre une grande souplesse, avec plusieurs solutions de validation disponibles et une définition des délégations de signatures adaptée aux besoins de l’entreprise. Vous pouvez choisir un ou plusieurs utilisateurs et définir des profils d’intervention différents. De plus, avec le protocole EBICS TS, l’utilisateur peut émettre des ordres depuis n’importe où dans le monde, dès lors qu’il est connecté à Internet, qu’il dispose de sa clé sécurisée et qu’il a un certificat électronique valide.

EBICS est donc LA solution pour gérer vos échanges bancaires en toute sécurité.

Certificat TLS : Comment instaurer un climat de confiance sur Internet ?

SOMMAIRE
  • SOMMAIRE

Certificat TLS : Comment instaurer un climat de confiance sur Internet ?

certificat TLS

Toutes les organisations, entreprises et administrations présentent digitalement effectuent des transactions sur Internet. Que ce soit par l’intermédiaire d’un intranet, d’un extranet, d’un e-shop pour le commerce électronique, d’un site Web demandant des informations via un formulaire ou par un simple service de messagerie.

Désormais, les visiteurs et utilisateurs de ces portails Web interagissent avec ces derniers par l’intermédiaire d’un navigateur web également pour s’informer, communiquer, ou faire des achats.

Toutefois, Internet possède son lot de failles de sécurité, notamment en matière de confidentialité des échanges. En effet, il est essentiel pour l’image de votre entreprise et sa crédibilité de supprimer les risques d’interception de données sensibles par des individus malveillants. Pour cela, il est essentiel d’anticiper les problèmes et les traiter.

Les internautes prennent de plus en plus conscience du vol de données privées et n’envoient des informations sur Internet que si elles sont sûres que leurs données personnelles (mot de passe, numéro de carte de crédit, données financières, dossier médical, email, formulaire de demande de renseignement, etc.) sont entre de bonnes mains.

En installant un certificat TLS sur un serveur Web ou un serveur de messagerie électronique, les données confidentielles transitent en toute sécurité. Il garantit aux utilisateurs que leurs échanges sont chiffrés et donc sécurisés.

La confiance est un élément essentiel dans le domaine des échanges et des transactions en ligne. C’est pourquoi les signes visibles de la sécurisation d’un site Web font partie des éléments pris en compte par les internautes soucieux de protéger leurs informations en ligne.

Ce guide permet donc de faire le point sur :

  • Les enjeux de la sécurité sur Internet
  • Les notions de cryptographie et d’Autorité de Certification
  • La technologie des certificats TLS

Le protocole TLS et les certificats numériques

En 1995, la société Netscape a développé le protocole SSL (Secure Socket Layer).  C’est depuis le mode de sécurisation privilégié des transmissions de données sur Internet. 

L’IETF a poursuivi son développement en le rebaptisant Transport Layer Security (TLS). On utilise aussi les termes SSL/TLS pour désigner indifféremment SSL ou TLS. Intégré aux principaux navigateurs et serveurs Web, ce protocole utilise des techniques de cryptage qui s’appuient sur un système dit “asymétrique” :  à clé publique et clé privée.

L’établissement d’une connexion TLS nécessite l’installation d’un fichier appelé “certificat numérique” sur le serveur Web. 

Ce certificat, répondant à la norme X.509, utilise les clés publiques et privées pour le cryptage, et identifie le serveur de manière unique et définitive. 

Les certificats numériques s’apparentent à une forme de carte d’identité électronique qui permet au client (le navigateur) d’authentifier le serveur avant l’établissement d’une communication cryptée.

Les risques encourus par un site Internet non sécurisé

La confiance et la sécurité des échanges sont les conditions nécessaires et essentielles pour le développement du commerce électronique et des transactions sur Internet.

Lors des transactions menées dans le monde physique, la sécurité se base sur des éléments tangibles. Les clients acceptent souvent les risques liés à l’utilisation de leurs cartes de crédit dans les magasins. Cela car ils peuvent voir, toucher la marchandise et se faire une opinion sur le vendeur.

Sur Internet, sans toutes ces données physiques, il est beaucoup plus difficile d’évaluer si un magasin est sérieux. 

De plus, au cours des dernières années, d’importants risques de sécurité ont été mis au jour et il ne se passe pas une semaine sans qu’une fraude virtuelle ou un vol de données ne soit annoncé dans les médias.

Comment conserver la confiance des utilisateurs ? 

Pour conserver la confiance des utilisateurs, les entreprises doivent prendre conscience des risques relatifs aux transactions en ligne. Il est important d’acquérir des solutions de sécurité performantes pour se protéger contre plusieurs types d’attaques :

  • Phishing : Le faible coût de développement d’un site Web et la facilité avec laquelle on peut copier des pages existantes favorisent l’émergence de sites pirates (technique du phishing).  La technique du phishing consiste à créer un site vitrine à l’apparence professionnelle, qui imite des boutiques ou des plateformes administratives existantes. Ainsi des personnes malveillantes arrivent à obtenir illégalement des numéros de cartes de crédit ainsi que des mots de passe.
  • Divulgation non autorisée : Lorsque des informations de transaction sont transmises « en clair », les pirates peuvent les intercepter pour obtenir des informations confidentielles sur des utilisateurs et des clients.
  • Action non autorisée : Un hacker, un fraudeur peut modifier votre site Internet afin de refuser aux clients l’accès à ses services, ou simplement l’empêcher de fonctionner.
  • Modification des données : Le contenu d’une transaction peut être intercepté et altéré en cours d’acheminement. Les noms d’utilisateurs, les numéros de cartes de crédit…
Les études sur la cybercriminalité

L’ensemble des études montrent que la cybercriminalité augmente fortement et se renouvelle. Les enjeux et challenges changent, tout comme l’identité des hackers, selon une étude de 2022 de la PwC « Global Economic and Fraud ».

La cybercriminalité, véritable fléau qui touche désormais deux entreprises sur trois en France, est potentiellement synonyme de pertes financières pour les entreprises. Mais également de risques pour les utilisateurs de leurs services. Sans oublier qu’elle est globalement nuisible à la e-réputation d’une marque.

L’étude “Net Losses: Estimating the Global Cost of Cybercrime” réalisée en 2014 par McAfee évalue à plus de 400 milliards de dollars le coût de la cybercriminalité mondiale.

Reconnaître et consulter les informations d’un site Web sécurisé par un certificat SSL

On reconnaît facilement un site Web qui utilise un certificat SSL à cause du petit symbole de cadenas ou de clé dans la barre de statut des navigateurs web. Parfois également au préfixe « https:// » qui apparaît en tête des URL affichées dans la barre d’adresse des navigateurs.

La totalité des navigateurs du marché supporte le protocole SSL. L’affichage de la sécurisation par SSL varie cependant légèrement entre les différents navigateurs.

Pour consulter le détail des informations du certificat SSL, il suffit de cliquer sur l’icône du cadenas. Une fenêtre s’ouvre et vous donne les informations relatives au propriétaire du certificat et du site Web qui l’utilise.

Comment visualiser les informations

Pour visualiser les informations du certificat SSL, il suffit de cliquer sur le lien indiquant le domaine sécurisé. Par exemple *ssl-europa.com sur notre exemple ci-dessous. Puis de consulter les trois onglets “Général”, “Détails” et «Chemin d’accès de certification».

1- L’onglet «Général» fournit les informations relatives au certificat. Telles que: son utilisation (authentification d’un serveur), le nom du site originaire de la demande, l’Autorité de Certification validante et la période de validité. Dans le cas où une des informations est invalide (par exemple : autorité non reconnue, adresse du site ne correspondant pas, date de validité dépassée). Vous serez averti par le navigateur via un message d’alerte et la session ne s’ouvrira pas automatiquement.

2- L’onglet «Détails» permet de visualiser le contenu des différents champs du certificat :

  • Nom du domaine à certifier
  • Coordonnées de l’entreprise à qui appartient le certificat SSL
  • Clé publique du certificat (permettant le chiffrement)
  • Date de validité et d’expiration du certificat SSL
  • Nom de l’Autorité de Certification qui émet le certificat SSL
  • Signature de l’Autorité de Certification

3- L’onglet, «Chemin d’accès de certification» donne accès au chemin de certification. A noter que le navigateur précise que le certificat est valide. En plus de vérifier les informations obtenues via l’onglet général, le navigateur vérifie que la signature du certificat est valide. Ceci grâce à la clé publique de l’Autorité de Certification.

Notions d’Autorité de Certification

En cryptographie, une Autorité de Certification (AC) est un tiers de confiance qui permet de valider l’identité des correspondants. Il peut également s’appeler Certificate Authority (CA) en anglais. Une Autorité de Certification délivre des certificats décrivant des identités numériques. Elle met à disposition des moyens techniques pour vérifier la validité de ces derniers.

Les rôles d’une Autorité de Certification

Les services des Autorités de Certification s’utilisent notamment dans le cadre de la sécurisation des communications numériques. Il s’utilise via le protocole SSL/TLS pour sécuriser les communications web (HTTPS).

Lors de la délivrance du certificat, l’Autorité de Certification signe numériquement chaque certificat émis. Chaque navigateur contient une liste des Autorités de Certification dites “de confiance”. Une fois la connexion SSL établie, le navigateur vérifie que le certificat du serveur a pour origine une Autorité de Certification digne de confiance. Si cette autorité n’est pas digne de confiance, un message d’alerte s’affiche.

Les obligations d’une Autorité de Certification s’organisent autour de deux fonctions distinctes :

  • Fonction d’organisation : traitement des demandes de certificats, contrôle des informations, validation ou rejet des demandes, révocation des certificats.
  • Fonction technique : manipulation d’équipements cryptographiques, environnement sécurisé de bout en bout, maintien d’une capacité de production adaptée aux besoins de fonctionnement de l’Autorité de Certification.

Pour offrir son service de certificats SSL, l’Autorité de Certification peut s’appuyer d’une part sur une Autorité d’Enregistrement (AE). Ce dernier les aspects organisationnels. D’autre part, sur une unité de production (l’opérateur de services de certification), qui crée les certificats.

Une relation de confiance hiérarchique peut lier des AC successives. Une Autorité est à la base de toutes ces AC, c’est l’Autorité de Certification Racine (Root CA en anglais). C’est la référence pour la communauté d’utilisateurs des certificats émis par ces AC. La réputation de l’Autorité se lie au degré de confiance qui est accordée au certificat.

Comment reconnaître une Autorité de Certification (AC) de confiance ?

Les Autorités de Certification dites de confiance, sont des entités qui mettent en place des procédures de production de certificats SSL respectant des règles internationales du CAB Forum (https://cabforum.org/). Elles ont pour obligation de se soumettre à des audits annuels et doivent présenter leur certification aux éditeurs de confiance. Ci-dessous, la liste des AC racines de confiance.

La liste des Autorités de Certifications reconnues est accessible depuis n’importe quel navigateur internet. Dès lors que l’Autorité de certification fait partie de cette liste, elle est considérée comme étant de confiance.

Ainsi, l’inconvénient majeur d’utiliser des certificats non délivrés par une Autorité mondialement reconnue (certificat auto-signé par exemple) est que l’internaute qui souhaite se connecter à un serveur web (non sécurisé avec un certificat dit « de confiance ») verra son navigateur afficher une fenêtre d’alerte avec un message lui indiquant qu’il n’est pas en mesure de vérifier ledit certificat car il ne connaît pas la clé publique de l’autorité.

Exemple dans le cas d’un certificat signé par une Autorité de Certification non reconnue.

Comment le certificat SSL sécurise les connexions et les transactions “Client/Serveur Web”

Notions cryptographiques

La cryptographie a pour objectif principal de protéger l’intégrité d’un message. Pour cela, elle chiffre son contenu pour le rendre uniquement lisible par son destinataire et incompréhensible aux autres. On distingue deux types de méthodes : celle employant des algorithmes à clés symétriques (clé secrète) et celle utilisant les algorithmes dits de clés asymétriques (ou clés publiques).

Le protocole de sécurisation SSL/TLS utilise un algorithme asymétrique. Il fonctionne à l’aide de deux clés, l’une publique (que l’on peut diffuser à volonté) et l’autre privée (que l’on garde pour soi). Ces deux clés se lie par une fonction mathématique appelée algorithme de chiffrement. Celui-ci utilise la clé publique (donc connue) d’une personne pour envoyer un message chiffré (donc confidentiel). Seule la personne disposant de la clé privée correspondante est alors en mesure de déchiffrer le message ainsi transmis.

Émission d’un certificat SSL

Le certificat SSL est un « document numérique » permettant d’authentifier une clé publique. C’est-à-dire prouver qu’elle appartient bien à une personne ou à une entité connue.

Un certificat associe donc une clé publique à une identité. Cette identité peut être celle :

  • D’une personne physique (on parle de certificat individuel) permettant par exemple à son titulaire de sécuriser son e-mail.
  • D’une machine (comme un serveur web). On parle alors de « certificat serveur ». Il s’utilise par la machine titulaire afin de prouver son identité aux clients qui souhaitent établir une connexion sécurisée avec elle.

Ainsi, un certificat numérique SSL fonctionne sur le même principe qu’une pièce d’identité classique. Les informations qu’il contient se certifie par l’Autorité de Certification (AC). Celui-ci signe le certificat avec sa clé privée de telle sorte que quiconque disposant de la clé publique de cette AC est en mesure de vérifier l’authenticité de chaque certificat délivré.

Comment mettre en place un serveur web sécurisé

Les navigateurs Web intègrent nativement une liste de certificats provenant de différentes Autorités de Certification selon des règles internes définies par les développeurs du navigateur. Notons que depuis 2014, pour assurer l’inviolabilité des informations chiffrées, la taille minimum de la clé privée de signature doit être de 2048 bits.

Lorsqu’une personne physique ou morale souhaite mettre en place un serveur web utilisant une communication HTTPS sécurisée par SSL/TLS, elle génère une clé publique, une clé privée puis envoie à l’une de ces Autorités de Certification une demande de signature de certificat (en anglais CSR : Certificate Signing Request) contenant sa clé publique ainsi que des informations sur son identité (coordonnées postales, téléphoniques, email…).

Après vérification de l’identité du demandeur du certificat par une Autorité d’Enregistrement (AE), l’Autorité de Certification signe le CSR grâce à sa propre clé privée qui devient alors un certificat puis le transmet en retour à la personne qui en a fait la demande.

Le certificat ainsi retourné sous forme de fichier informatique s’intègre dans le serveur web du demandeur. Lorsqu’un utilisateur se connecte à ce serveur web, celui-ci lui transmet à son tour le certificat fourni précédemment par l’Autorité de Certification.

Le protocole HTTPS

Le navigateur du client authentifie le certificat du serveur grâce au certificat de l’Autorité de Certification (intégré nativement dans le navigateur). Celui-ci signe précédemment le certificat. L’identité du serveur est ainsi confirmée à l’utilisateur par l’Autorité de Certification.

Le navigateur fait ensuite une demande de vérification OCSP en contactant l’Autorité de Certification afin de savoir si le certificat du serveur est toujours valide. Il s’agit d’une transaction de validation.

Sur le plan technique, cette infrastructure de gestion des clés permet ainsi de s’assurer que :

  • Les données transmises entre le serveur web et le poste du client n’ont pas été modifiées durant le transfert : intégrité par « hachage » des données.
  • Les données proviennent bien d’un serveur web connu et qu’il ne s’agit pas d’une réplique frauduleuse.
  • Les données ne peuvent pas être lisibles par un tiers grâce au chiffrement.
De quoi se compose un certificat SSL

Un certificat SSL se compose donc d’une clé publique et d’une clé privée. La clé publique s’utilise pour le chiffrement des informations et la clé privée s’utilise pour les déchiffrer. Lorsqu’un navigateur se connecte à un domaine sécurisé, une connexion SSL authentifie le serveur et le client (navigateur), puis définit une méthode de cryptage et une clé unique de session. Ils peuvent alors entamer une session sécurisée qui garantit la confidentialité et l’intégrité du message.

Le fonctionnement du protocole SSL peut se décliner selon deux modes distincts – étant entendu que le certificat peut se trouver sur le serveur et/ou sur le poste client :

  • Dans le premier cas, on authentifie le serveur
  • Dans le second cas, on authentifie le client/navigateur c’est-à-dire l’internaute destinataire

Techniquement, serveur et client utilisent le même format de certificats (x509) mais ils diffèrent par l’information qu’ils contiennent. Ainsi, un certificat côté navigateur sert à identifier un utilisateur et contient donc des informations sur cet utilisateur. Côté serveur, le certificat a pour but d’authentifier le serveur, mais aussi l’organisme auquel il appartient s’il s’agit d’un certificat OV ou EV. Le schéma ci-dessous illustre le procédé qui garantit la protection des communications entre serveur et client.

En résumé, lors d’une connexion SSL avec un certificat :

Authentification

  • Le serveur envoie au navigateur son certificat
  • Le navigateur reçoit ce certificat
  • Le navigateur remonte le chemin de confiance du certificat (il vérifie que le certificat reçu a bien été signé par une Autorité de Certification)

Chiffrement

  • Le certificat envoyé par le serveur vers le navigateur contient la clé publique du serveur. La clé privée du serveur reste cachée sur le serveur
  • Le navigateur génère de son côté une clé de session
  • Cette clé de session est envoyée par le navigateur vers le serveur sous forme chiffrée par le navigateur, en utilisant la clé publique (le certificat) du serveur.
  • Une fois reçue par le serveur, elle est ensuite déchiffrée à l’aide de la clé privée du serveur
  • Toutes les données sont alors chiffrées par cette clé de session par les deux parties

Les champs d’application des certificats SSL

  • En utilisant un certificat SSL, vos transactions sur Internet sont sûres. Vos clients ont confiance en votre système de protection et savent avec certitude où ils envoient les données. En retour, vous êtes assurés que votre entreprise reçoit des données fiables.

  • Une connexion sécurisée augmente l’indice de confiance de l’utilisateur, ce qui, en retour, améliore la fréquentation et l’utilisation de vos sites, surtout en ce qui concerne des actes d’achat. Lorsque vous installez un certificat SSL, les clients potentiels savent qu’ils se trouvent sur un site sécurisé. De plus, le référencement de votre site Web par le moteur de recherche Google est améliorée.

Le protocole SSL peut être utilisé de diverses façons et à des fins différentes :

  • Communications «de navigateur à serveur»: la plupart du temps le SSL sert à sécuriser les communications entre un serveur Web et un navigateur, notamment dans le cadre de transmissions d’informations sensibles (achats en ligne, dossiers médicaux ou transactions bancaires). La technologie SSL permet de confirmer à l’utilisateur l’identité du destinataire de ses informations personnelles, tout en assurant que seule cette entité autorisée y aura accès.
  • Communications « de serveur à serveur »: le protocole SSL peut également être utilisé pour sécuriser les communications entre deux serveurs, telles que les transactions entre deux entreprises. Dans ce scénario, les deux serveurs possèdent généralement un certificat qui leur permet de s’authentifier mutuellement et de sécuriser leurs communications bilatérales.
  • Respect des obligations réglementaires : de nombreuses réglementations juridiques et sectorielles exigent des niveaux d’authentification et de confidentialité que les certificats SSL permettent d’obtenir. Le standard PCI DSS (Payment Card Industry Data Security Standard) exige, par exemple, l’utilisation de technologies d’authentification et de cryptage pour tout paiement en ligne.

Comment obtenir un certificat SSL pour sécuriser son site Internet ou son serveur Web ?

Nous l’avons vu, une session SSL ne peut pas être ouverte si le serveur Web ne dispose pas d’un certificat permettant au navigateur (client) de vérifier l’identité du serveur. La vérification de cette identité se fait sur l’adresse DNS du serveur. Cela ne se fait pas sur l’identité du titulaire de certificat comme pour les certificats de personnes physique. Le processus de délivrance des certificats SSL est donc légèrement différent de celui d’un certificat client ou de messagerie.

Le demandeur de certificat doit générer tout d’abord une paire de clés publiques avec un algorithme de chiffrement (de type RSA). Ensuite il renseigne un formulaire concernant l’organisation (l’entreprise) titulaire du certificat. Par exemple contact technique, ville, département, etc. C’est à partir de ces informations que se créée ce qu’on appelle une RSC (pour Requête de Signature de Certificat). Sinon plus généralement une CSR (Certificate Signing Request) en anglais. La CSR doit se générer avec une clé de 2048 bits.

La génération de cette CSR dépend du serveur web que vous utilisez.

Avant de la générer, vous devez bien vous assurer que les champs du Distinguished Name (DN) dans le formulaire sont correctement renseignés.

Le DN est un fichier chiffré qui contient :

  • La clé publique de votre organisation
  • Le nom de votre organisation
  • Sa localité
  • Le nom de domaine enregistré

En générant une CSR, le serveur web créera deux fichiers :

  • Une clé privée (à conserver soigneusement et à ne pas divulguer)
  • Une requête de signature de certificat (CSR)

Lors de la saisie de votre formulaire en ligne, vous devrez rentrer un mot de passe qui servira à chiffrer la clé privée du serveur. La CSR se signe à l’aide de la clé privée du serveur pour laquelle elle se génère. Cela permet ainsi à l’Autorité de Certification d’être sûre que le demandeur est bien en possession de la clé privée en question.

La CSR contient ainsi toutes les informations saisies par le demandeur ainsi que la clé publique du serveur. C’est à partir de ces informations que l’Autorité de Certification (AC) signe et délivre le certificat après sa vérification. Il ne reste alors plus qu’à installer le certificat ainsi obtenu sur le serveur Web pour permettre l’utilisation du protocole SSL lors des transactions entre le site Web et les navigateurs des utilisateurs.

Voici un exemple de CSR :

—–BEGIN CERTIFICATE REQUEST—–

MIIBpTCCAQ4CAQAwZTELMAkGA1UEBhMCRlIxEjAQBgNVBAoTCUtFWU5FQ1RJUzEX

MBUGA1UECxMOMDAwMiA0NzgyMTczMTgxDTALBgNVBAsTBFRFU1QxGjAYBgNVBAMT

EXd3dy5rZXluZWN0aXMubmV0MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC3

1XuFvLFtJMgzfpQfk5E4x2oTgAz74KKuBQ9GX2jzIKfJA5RRZ/j7jeXJJZgFT0+e

z8+89qgRxTwUH4yuJV3usegp+dtq0eHAXjClSgqwCPpEKMmQ3aAABM45lCKxQbMZ

k0ARyFHCKnhhFbHi3VMwye2tqjDwNS5kXktCYrQodwIDAQABoAAwDQYJKoZIhvcN

KdveiQ/lYtNn+/xJAavBYQ2O6CO8E85MmxzBVoQl2E5U+wot1cbDERI

—–END CERTIFICATE REQUEST—–

La génération de la CSR constitue donc l’étape préalable à toute demande en ligne d’un certificat SSL.

Une fois générée, cette CSR doit se copier dans le champ du formulaire de demande de certificats en ligne. Le serveur vérifie la bonne syntaxe du contenu puis demande la saisie des informations administratives relatives au titulaire du certificat.

Une fois l’ensemble des champs correctement renseignés, la demande de certificat s’envoie au service clients de l’Autorité de Certification qui procède à un certain nombre de vérifications administratives et téléphoniques avant de la valider et de déclencher sa fabrication. Ces vérifications dépendent du type de certificat : vérification du domaine Internet dans le cas d’un certificat SSL “Domain Validated” (DV SSL), à laquelle s’ajoutent les vérifications concernant l’organisation (l’entreprise) pour les certificats SSL “Organization Validated” (OV SSL) et “Extended Validation” (EV SSL).

Si l’étape de vérification se passe correctement, l’Autorité de Certification génère alors le certificat SSL puis le signe avec sa clé privée. Le certificat peut alors être récupéré par le demandeur sur une URL spécifique qui lui aura été communiquée.

Il faut ensuite établir le chemin de certification jusqu’au certificat sur le serveur web. Il est alors nécessaire de télécharger :

  • Le certificat de l’Autorité de Certification Racine : reconnu par tous comme autorité du niveau le plus élevé et figurant de manière native dans les navigateurs
  • Le certificat de l’Autorité de Certification SSL : celui signé par l’AC délivrant des certificats SSL.

www.ssl-europa.com/solutions/certificats-ssl

Pourquoi Helios a-t-il été mis en place par la direction générale de la comptabilité publique ?

SOMMAIRE
  • SOMMAIRE

Pourquoi la direction générale de la comptabilité publique a mis en place Hélios ?

hélios

Depuis le 1er janvier 2015, la dématérialisation de la chaîne comptable et financière est obligatoire. Cela implique que les collectivités territoriales transmettent les pièces comptables au trésorier par voie électronique. Cela concerne les budgets, les mandats, les titres de recettes, les bordereaux et les pièces justificatives des dépenses et recettes. Pour faciliter la gestion informatique de la transmission dématérialisée des pièces comptables des collectivités locales et des établissements publics locaux, la direction générale des Finances publiques (DGFiP) a mis en place une application informatique de gestion comptable et financière : Hélios.

Qu’est-ce que la transmission Hélios ?

Hélios est une application qui facilite la gestion des flux financiers. Elle concerne les collectivités locales et les établissements publics locaux. Par exemple les établissements publics de santé, les établissements publics sociaux et médico-sociaux, ainsi que les établissements publics d’habitations à loyer modéré. Hélios est la télétransmission des données comptables qui repose sur la modernisation du système de gestion informatique et sur l’avènement d’Internet. L’application est paramétrable. Elle devra améliorer dans l’immédiat la gestion quotidienne des comptables. Ainsi, les comptables et les ordonnateurs peuvent suivre l’ordonnancement et l’exécution des dépenses et des recettes des collectivités.

Un outil moderne au service des gestionnaires publics

Internet étant un outil de développement technologique d’échange, il est logique que la DGFiP suive le changement pour la dématérialisation complète de la chaîne budgétaire et comptable entre les collectivités et le trésorier. Cette nouvelle application de gestion comptable et financière des collectivités locales et établissements publics locaux apporte donc beaucoup plus d’avantages que les autres applications utilisées précédemment par la DGFiP. Les données comptables et financières provenant des collectivités territoriales sont présentées en fichier XML, d’après le Protocole d’Échange standard (PES). Ces données se transmettent dans le système Hélios après transmission et contrôle en trésorerie.

Hélios apporte de la modernisation des échanges entre les collectivités locales et les comptables publics. Cela se traduit par la dématérialisation des pièces comptables et par la mise en place de la signature électronique. Hélios garantie ainsi une rapidité, une simplicité, une efficacité et une souplesse dans les échanges. Les collectivités locales et la trésorerie bénéficient toutes les deux des avantages proposés par Hélios. Ce dernier garantit des échanges enrichis. Cela que ce soit pour les situations de trésorerie, le paiement des mandats de dépense ou encore le recouvrement des titres de recette. Il en est de même pour la qualité d’information qui s’échange sur le suivi des marchés publics et l’inventaire des éléments d’actif.

En somme, la mise en place de l’application Hélios permet d’accélérer les paiements et les recouvrements. En effet, l’échange entre les collectivités locales et les comptables publics pour l’exécution des budgets constitue près de 550 millions de documents papier chaque année. Cette dématérialisation des pièces d’exécution budgétaire et comptables permet de réduire le coût, de fiabiliser la transmission, et d’améliorer le contenu des missions d’exécution et sa gestion.

L’exploitation du traitement Helios

Hélios permet le suivi du recouvrement des titres de recette, des dépenses, des régies et la gestion des ressources des personnes hébergées. Pour le suivi du recouvrement des titres de recette, Hélios permet de traiter diverses informations telles que les caractéristiques du titre, le suivi des encaissements et du recouvrement et l’identification du débiteur. Pour les dépenses, les informations sont les caractéristiques du mandat, l’identification et référence bancaire des fournisseurs. Mais aussi l’identification des titulaires et caractéristiques des marchés, les cessions-oppositions éventuelles, le suivi des paiements …

Pour le suivi des régies, les informations relatives à la régie, au régisseur et à ses mandataires. L’accès aux données est réservé aux personnels utilisateurs habilités. Ceux-ci émanent du poste comptable gestionnaire des collectivités locales, des trésoreries générales et des recettes des finances chargées de la gestion. Mais également du pôle spécialisé de la DGCP chargé du recouvrement contentieux, des services chargés de l’audit et de l’organisme ordonnateur des collectivités locales.

Pour les données à caractère personnel, quelques destinataires peuvent exploiter le traitement Hélios. Les organismes bancaires peuvent être des destinataires des données pour le règlement des dépenses, le recouvrement et les prélèvements. C’est aussi le cas pour les huissiers dans la procédure des actes de saisie. Egalement des gérants des établissements de santé pour les personnes hébergées concernées. Cependant, l’accès sur l’application HELIOS se limite aux données relatives au domaine de compétence des utilisateurs. Les ordonnateurs ne peuvent pas consulter par exemple que les données qu’eux-mêmes ont transmis au Trésor public.

Identifier les numéros de marché en cohérence avec Hélios

Lors de la transmission des données entre ordonnateur et comptable vers le trésorier (Hélios), il faut créer un identifiant unique qui figurera sur la pièce d’ordonnancement (titre ou mandat) pour lier les pièces justificatives dématérialisées et les pièces comptables.

 Deux modes de référencement s’offrent aux ordonnateurs pour créer un lien entre les pièces justificatives « papier » et les titres ou mandats dématérialisés avec le Protocole d’échange standard d’Hélios : un référencement par identifiant unique et un référencement par numéro de mandat ou de titre.

L’identifiant unique doit comporter au minimum un certain nombre d’informations précises à savoir le SIRET du budget collectivité, l’année d’origine, le domaine conformément aux « objets comptables » d’Hélios (dépense, recette…) ou le domaine principal pour des pièces justificatives, le numéro chronologique (identification des numéros de marché en cohérence avec Hélios) et les autres données d’identification choisies par l’ordonnateur pour garantir le lien entre les pièces justificatives dématérialisées et les pièces comptables.

Le référencement par identifiant unique permet l’apposition d’un identifiant unique sur chaque pièce justificative. Ce type de référencement s’effectue selon les modalités techniques que l’ordonnateur a définies. Par exemple des étiquettes ou une référence manuscrite à la pièce justificative. 

Pour faciliter le classement, l’identifiant unique doit comporter l’année d’origine, le domaine et le numéro chronologique. L’ordonnateur effectue le classement selon l’ordre de l’identifiant pour assurer un classement chronologique par domaine. Ce type de référencement reste le même avant et après l’arrivée de la dématérialisation au niveau des pièces justificatives.

Le référencement par numéro de mandat ou de titre incombe à l’ordonnateur Il doit accompagner les pièces justificatives du numéro du mandat ou de titre rattaché. Ainsi, pour ce deuxième mode de référencement il assure le classement des pièces justificatives par numéro d’objet comptable.

Le Protocole d’Echange Standard Version 2 (PES V2)

Tous les autres protocoles de transmission des titres et mandats qui existent précédemment seront remplacés petit à petit par le Protocole d’Echange Standard d’Hélios (PES). Il est actuellement dans sa version 2. Et la dématérialisation de la chaine comptable et financière doit adopter le PES V2 à compter du 1er janvier 2015. Par rapport à la première version, le PES V2 d’Hélios offre la possibilité de dématérialiser des pièces justificatives.

Les formats des pièces et signatures

Dans le cadre d’Hélios, on privilégie le format des fichiers électroniques dématérialisés par l’émetteur. Cependant, il existe des formats référencés par la Direction générale des Finances publiques (DGFiP). Ils sont à destination des collectivités et de leurs établissements publics. Le but est qu’ils puissent fluidifier les échanges avec le comptable du Trésor. Hélios privilégie le format XML. Il doit cependant respecter les schémas référencés ou validés par la convention cadre nationale relative à la dématérialisation des documents de la chaîne comptable et financière des collectivités, établissements publics locaux et établissements publics de santé. 

L’utilisation du format PDF est aussi sollicitée surtout dans sa version PDF-A. Il existe aussi des formats qui sont temporairement acceptés comme : 

  • le format CSV (comma separated value)
  • le format Open Document (ODT) pour les documents « texte » (norme ISO 26300) et le format bureautique « Word RTF ».

Comme pour les pièces comptables, les formats XML et PDF sont aussi privilégiés pour la dématérialisation des pièces justificatives. Et pour faciliter la transmission des documents, il est conseillé d’utiliser les formats ZIP, TAR ou GTAR pour les documents liés. Ces formats de compression garantissent l’archivage des documents et la préservation des noms des fichiers durant la transmission.

Que requiert Hélios ?

Hélios requiert la signature électronique des pièces comptables et des pièces justificatives liées comme les bordereaux de mandats/titres, acte d’engagement des marchés publics, etc. XadES est le format de signatures privilégié pour les fichiers XML selon l’article 289V du CGI. La signature PADES est le format utilisé pour signer les pièces justificatives au format PDF-A telles que les documents contractuels et les factures. Les pièces comptables au format XML simplifié PES (PES facture) se visualisent avec XéMéLios.

Pour les fichiers PES, la signature XadES est le format de signature conseillé. L’utilisation d’un certificat électronique est indispensable pour signer un document dématérialisé. Le certificat délivré par la DGFiP est reconnu pour la signature des fichiers Protocole d’échange standard d’Hélios. Ces certificats électroniques permettent pour rappel de garantir l’identité du signataire et l’intégrité du document. Ainsi, tous les certificats de signature électronique dans les marchés publics se référencent dans la liste de catégories de certificats « listes de confiance » selon  l’arrêté du ministre de l’Économie et des Finances en date du 15 juin 2012.

Hélios et la notification de l’horodatage

L’horodatage permet d’associer un fichier à sa date de création ou de réception. Dans les cas où les collectivités et établissements publics locaux(CEPL) utilisent un horodatage, les documents notifiés sont accompagnés d’un lien permanent. Les documents accompagnant la notification sont ainsi signés par le titulaire. Un jeton d’horodatage (Dont le format RFC3161 est le plus privilégié) accompagne la signature électronique.

 Il représente la date de notification. Cette préconisation devenue obligatoire s’établie pour qu’un tiers horodateur puisse toujours avoir une vision objective. Surtout si la CEPL exploite la plate-forme de dématérialisation. Selon les dispositions des articles 12 et 81 du code des marchés publics, les dispositifs de l’horodatage doivent permettre de déterminer la date de réception de la notification par le titulaire. Le jeton d’horodatage doit être stocké dans une signature électronique.

Que proposent les services de certification et d’horodatage

Les services de certification et d’horodatage proposent différents types de services pour la dématérialisation des marchés publics. Déjà, le certificat numérique permet d’authentifier le titulaire de la signature. Ainsi que l’identifier lors de la connexion sur le Portail de la gestion publique. Les services de certification et d’horodatage permettent aux ordonnateurs des flux comptables des collectivités locales de sceller et de protéger un document contre toute altération ultérieure. Ceci grâce à la signature électronique ou à l’horodatage. 

Le scellage du document permet de garantir son intégrité. L’horodatage électronique permet d’enregistrer la date et l’heure de création ou de réception du document. L’horodatage est comme le cachet de la poste faisant foi de la date d’envoi. Et enfin, le certificat électronique peut garantir la confidentialité d’un document et le protéger contre les consultations non autorisées.

L’application Helios permet en somme un gain de temps significatif pour ce qui est de la procédure de validation et de signature de toutes les pièces comptables et financières. La solution Hélios permet aussi de garantir la confidentialité, l’intégrité, la traçabilité et la non-répudiation des documents.

 

Authentification forte : un gage de confiance pour vos transactions électroniques

SOMMAIRE
  • SOMMAIRE

Authentification forte : un gage de confiance pour vos transactions électroniques

Les transactions électroniques se développent rapidement… tout comme les risques qui pèsent sur elles (à l’instar de l’usurpation d’identité). Pour sécuriser les échanges dématérialisés, la confiance numérique s’impose alors comme un socle indispensable. Or, il ne peut pas y avoir de confiance sans une garantie : celle que les parties disposent d’une identité mutuellement reconnaissable. L’authentification forte, en opposition à sa version « faible » qui repose généralement sur l’utilisation d’un simple mot de passe, permet de répondre pleinement à ces enjeux.

Qu’est-ce que l’authentification forte ?

La notion d’identité numérique soulève une question d’importance. Comment s’assurer que le tiers avec lequel on souhaite échanger électroniquement est bien celui qu’il prétend être ? L’interrogation est d’autant plus cruciale dans le cadre des transactions électroniques entre deux entreprises, ou bien entre une entreprise et un particulier.

La confiance numérique est le socle indispensable sur lequel s’appuie une transaction électronique sécurisée. Pour que deux parties puissent réaliser une transaction digitale sûre, qu’il s’agisse d’un acte commercial, d’une procédure administrative ou d’un simple échange de données, elles ont besoin d’une garantie : celle que l’interlocuteur est bien celui qu’il prétend être. Pour cela, il faut que l’identité de chacun soit immédiatement reconnaissable. Que chaque partie puisse « prouver » son identité en ligne.

L’authentification numérique, et en particulier l’authentification forte, permet de créer ce socle de confiance. Elle apporte un niveau de garantie élevé quant à la personne (physique ou morale) rattachée à une identité numérique. Contrairement à une authentification dite « faible », elle participe à la création d’une identité qui réduit les risques d’usurpation, rendant les transactions électroniques plus sûres.

Vérification : forte VS faible

L’identité d’une entité en ligne peut être vérifiée de trois façons :

  • Par le biais d’une information connue seulement de cette entité (mot de passe, question secrète, etc.) ;
  • Par le biais d’un dispositif électronique détenu exclusivement par l’entité et permettant de l’authentifier (one-time-password, carte à puce, clé USB, carte magnétique, token, certificat électronique, etc.) ;
  • Par le biais d’une information biométrique physique ou comportementale (pour un individu uniquement : empreinte digitale ou rétinienne, signature manuscrite, reconnaissance par la voix, comportement, etc.).

D’autres facteurs d’authentification émergent doucement : la géolocalisation, le réseau ou le profilage comportemental. Mais ces trois-là sont les plus communs et les plus utilisés dans le cadre des transactions électroniques.

Le mot de passe est le facteur d’authentification le plus fréquemment utilisé : c’est lui qui vous permet d’accéder à votre boîte mail, à votre session informatique ou à votre réseau. Il s’agit d’une authentification faible, basée sur un unique facteur. Mais elle offre des garanties limitées, étant très vulnérable aux usurpations d’identité.

Basée sur plusieurs facteurs d’authentification distincts, l’authentification forte (aussi appelée « authentification multi-facteurs ») fonctionne comme une porte à double verrou : pour une personne malveillante, la forcer est plus difficile et exige plus de temps. Elle garantit un niveau de sécurité élevé dans le cadre des transactions numériques. C’est le niveau de sécurité optimal pour les organisations.

L’utilisation de l’authentification forte garantit une protection accrue contre les risques d’usurpation d’identité. C’est le cas, par exemple, des certificats électroniques qualifiés, délivrés par un Tiers de Confiance comme CertEurope. Un certificat de ce type assure un niveau de garantie élevé quant à l’identité de son titulaire, lorsqu’il s’authentifie dans le but d’accéder à un service en ligne. L’authentification forte est ainsi l’élément clé d’une base de confiance numérique, indispensable au développement des échanges dématérialisés.

L’authentification forte comme fondement de la notion d’identité numérique

Les enjeux de l’authentification forte sont directement liés à la problématique de l’identité numérique et de sa protection. Plus les échanges électroniques se développent, et plus la question de la vulnérabilité des systèmes informatiques se pose. Comment sécuriser son identité en ligne ? Garantir la provenance d’une information ? Et créer un socle de confiance ?

Les besoins en matière de renforcement de la sécurité informatique ont permis à la problématique de l’identité numérique d’éclore. Les mécanismes d’authentification découlent de la multiplication des points d’entrée dans les SI et de la prise de conscience de l’importance de la confiance digitale. Jean-Pierre Quémard, président de l’Alliance pour la confiance numérique, a bien exprimé les choses : « L’identité numérique est au cœur de la confiance numérique : sans gestion fiable de l’identité numérique, il est illusoire de croire au développement des services de confiance ». Autrement dit, sans identité digitale forte, impossible de créer de la confiance entre les parties prenantes.

Au-delà de la seule authentification lors des échanges numériques, l’identité numérique d’une entreprise est constituée de l’ensemble des éléments qui lui sont associés (contenus, ressources, réputation) et des valeurs que le public lui attribuent. En somme, l’identité numérique est fortement liée à la notion de réputation (ou de notoriété) digitale. C’est donc un ensemble d’éléments à protéger.

 

L’authentification forte, garantie par un certificat électronique qualifié, protège votre entreprise contre les risques d’usurpation d’identité. Mais elle fait bien plus que cela : elle consolide votre identité numérique et renforce votre image de marque. C’est donc bien plus qu’un outil stratégique : un gage de confiance.

Qu’est-ce qu’un OTP (One Time Password) ?

SOMMAIRE
  • SOMMAIRE

Qu'est-ce qu'un mot de passe à usage unique (OTP : One Time Password), quand l'utiliser et comment le générer ?

mot de passe à usage unique otp

À une époque où la numérisation nous permet d’accéder à une multitude de services à distance, les processus d’authentification et d’enregistrement requièrent un haut degré de sécurité. Il peut également être atteint grâce à un OTP password (mot de passe OTP).

Qu'est-ce qu'un mot de passe à usage unique (OTP) ?​

OTP signifie « One Time Password » (mot de passe à usage unique).

En effet, un code OTP est une chaîne aléatoire de caractères alphanumériques générée par un système d’authentification. Il a pour but d’accorder l’accès à un service de manière sécurisée. Comme son nom l’indique, il s’agit d’un mot de passe à usage unique. Il ne peut être utilisé qu’une seule fois et est généralement valable pour une durée limitée (TOTP, Time-based One-Time Password). Une signature électronique OTP a une valeur légale.

Quand les codes OTP sont-ils utilisés ?

Un OTP token font donc partie des systèmes d’authentification à plusieurs facteurs et sont utilisés dans plusieurs domaines. Par exemple :

  • l’accès aux services de l’administration publique,
  • les transactions via la banque à domicile,
  • l’accès aux réseaux sociaux,
  • l’enregistrement d’un nouveau compte,
  • la modification des paramètres de sécurité de ses comptes,
  • la vérification de l’identité,
  • le commerce électronique et les achats en ligne.

Ainsi, dans de nombreux cas, on demande à l’utilisateur une signature OTP. Cela en plus de la saisie de ses identifiants de connexion (nom d’utilisateur et mot de passe). En effet le mot de passe OTP s’envoie directement sur votre numéro de téléphone sous format SMS, par exemple.

Comment les mots de passe jetables sont-ils générés ?

Les codes OTP se génèrent à l’aide d’algorithmes de cryptage à clé partagée. La clé partagée est une chaîne de caractères que les deux parties utilisent (client et serveur) pour chiffrer et déchiffrer les données. Cela forme une signature électronique OTP.

Dans le cas du mot de passe à usage unique OTP, la clé se génère de manière aléatoire au moment de l’action de l’utilisateur et est stockée sur le serveur.

L’algorithme de cryptage à clé partagée permet de générer une signature OTP sur la base de la clé partagée et de la date du jour. Ainsi, le OTP password s’utilisent pour l’accès qu’à ce moment précis : une fois la durée de validité expirée, il n’est plus utilisable. 

Au-delà des aspects techniques, il existe donc plusieurs méthodes par lesquelles un utilisateur peut obtenir un OTP token. En voici quelques-unes :

  • Les applications pour smartphone : il existe diverses applications, tant pour Android que pour iOS, qui permettent de générer un code à usage unique OTP (OTP password);
  •  Les tokens/jetons : il s’agit de petits dispositifs portables, généralement au format clé USB ou carte à puce, capables de générer un mot de passe OTP ;
  • SMS ou e-mail : dans certains cas, le code peut être envoyé par SMS ou par e-mail ;
  • Services en ligne : certaines entreprises proposent des services en ligne pour générer des OTP token.

Il est important que l’utilisateur utilise le mot de passe OTP dans un laps de temps plutôt court et qu’il le supprime immédiatement après utilisation, afin de l’invalider. En général, le système de génération lui-même considère le mot de passe jetable comme invalide après quelques secondes. 

Quels sont les avantages du code OTP ?

Les OTP token ont pour origine le besoin de garantir la sécurité des processus d’authentification. Puisque ce sont des mots de passe dynamiques, les pirates ne peuvent ni les mémoriser ni les prévoir. 

De plus, leur durée limitée laisse aux cybercriminels trop peu de temps pour procéder au vol des identifiants.

Dans le cas où ils parviendraient à récupérer l’OTP password, ils ne seraient pas en capacité de l’utiliser. En effet, ayant déjà été utilisé pour un accès ou une transaction, le système d’authentification le reconnaîtrait comme n’étant plus valide. Une solution MFA (Multi Factor Authentification) à deux facteurs est donc efficace pour se protéger contre l’usurpation d’identité en ligne.

L’utilisation d’un OTP token pour accéder à des services sensibles garantit un niveau de sécurité plus élevé qu’une simple authentification à deux facteurs. Dans ce dernier cas, l’utilisateur doit seulement fournir un nom d’utilisateur et un mot de passe. L’OTP token permet de surmonter les problèmes de sécurité des mots de passe.

De plus, comme nous l’avons vu, il peut s’utiliser à des fins diverses. De l’accès aux services en ligne à la vérification de l’identité… mais également pour éviter d’avoir besoin de réinitialiser vos mots de passe à chaque oubli. Dans une entreprise, cela permet ainsi également d’optimiser le temps de travail des équipes de support IT.

Tous ces avantages l’emportent largement sur les quelques inconvénients des codes OTP. Essentiellement, ceux ci sont principalement liés à leur gestion. En effet, la durée de validité limitée peut être un problème dans certains cas : si vous oubliez d’enregistrer votre mot de passe OTP ou si vous avez une interruption de connexion pendant que vous le tapez, vous risquez de devoir générer un nouveau code.

Qu'est-ce que l'authentification multi-facteurs ?

Il convient de terminer cet article en consacrant quelques mots à l’authentification multifactorielle.

Également appelée authentification multi-facteurs (MFA/2FA), il s’agit d’une méthode d’authentification qui exige de l’utilisateur qu’il fournisse non seulement ses propres informations de connexion, mais aussi un élément supplémentaire, qui peut être un code OTP ou une clé biométrique (par exemple, une empreinte digitale). 

En d’autres termes, le MFA est un système d’authentification reposant sur plusieurs couches de sécurité, ce qui rend plus difficile l’accès des cybercriminels aux services et données sensibles. En effet, même si un pirate parvenait à obtenir des informations d’accès, il ne serait pas en mesure de surmonter la couche de sécurité supplémentaire que représente, par exemple, le code OTP.

L’utilisation d’un mot de passe à usage unique OTP est donc un excellent moyen de mettre en œuvre le MFA dans ses processus d’authentification. Et quelle que soit la méthode choisie pour générer les codes, le plus important est de toujours accorder la plus grande attention à la sécurité de son appareil et de ses données personnelles.

Icona Top