Prestataires de signature de confiance ou pas

… telle est la question.
La signature électronique a connu un essor sans précédent ces derniers mois, comme tous les services numériques.
Comme tous les services qui ont aidé à supporter le « télé-travail », forcé et contraint par la situation singulière et inédite pour l’humanité.
Par conséquent, déconcentration des forces vives, éparpillement et mise à distance des relations professionnelles. Un contexte anxiogène où le débat de la confiance redevient central. Alors, quelle confiance accorder à nos outils numériques ou aux usages numériques qui nous sont imposés?

Besoin de confiance

Le besoin en « Tiers de confiance » est évident. Noyés dans la matrice, nous nous sommes trouvés contraints d’avoir des outils « de confiance »: l’accès à internet, confiance à la sécurisation de l’accès aux ressources de l’entreprise, etc.
Mais aussi besoin confiance dans les outils de communication: visio, etc.

Aussi, professionnellement, conclure un accord se traduit par une signature sur un document. Or il a été impossible de se rencontrer et de signer « face-à-face ». Alors où et comment retrouver la confiance dans les outils numériques?
Autrement dit, sur quel prestataire (tiers) de confiance se reposer pour la signature numérique?

Enfin, ils sont si nombreux ! Pêle-mêle et dans le désordre, voici : DocuSign, Adobe Sign, Universign, Eversign, YouSign, SignaturIt, Maileva, SignEasy, Docage, Contralia, Sunnystamp, Connectiva, CertSign, LiveConsent, LuxTrust, etc.

Un diplôme ou un label pour les bons prestataires

La blague du bon et du mauvais chasseur, transposée aux prestataires de signature. Ça marche aussi!
Il y a donc des bons et des mauvais PSCo de signature. Le bon prestataire, il voit un document… Bah il le fait signer, hein… Et le mauvais presta, etc.

En bref, un bon prestataire ça se labellise, ça se fait « certifier ». Une telle entreprise va écrire sa politique de certification et de signature. Puis se faire auditer sur cette politique. Enfin faire vérifier que ladite politique respecte le cahier des charges d’un « référentiel » connu de tous.
Selon le périmètre, le référentiel change.

En France, l’ANSSI a décrit le sien, nommé RGS (Référentiel Général de Sécurité). Valable en France et c’est tout.

L’Europe a produit le règlement eIDAS. Valable dans tous les pays de l’UE, dont la France évidemment où il a force de loi. Les prestataires certifiés sont présents sur l’EUTL: European Union Trust List.

Le monde… il n’y a pas de cadre mondial. Aucun organisme, aucune ONG n’a réussi ou tenté. Pas l’ONU, ni l’OMC, l’EFF ou autre organe de régulation/normalisation. Par contre, le marché s’en est chargé.
Adobe a créé et entretenu un standard documentaire, le format PDF (« portable document format »). Quoi de plus normal de se positionner comme « acteur incontournable » de la confiance? Adobe a donc créé AATL: Adobe Approved Trust List, un club fermé.
Parmi ces membres, certains sont adhérents au CSC (consortium de signatures cloud) : ces fournisseurs de services approuvés s’engagent à fournir des services d’identification numérique conformes à la norme d’API ouverte du consortium de signatures cloud

Le cas DocuSign

J’aime bien DocuSign. C’est un poids lourd du marché, omniprésent à l’échelle mondiale, incontournable. Il participe à la « transition numérique », comme on dit.

Leurs outils sont exemplaires d’un point de vue « UX » (eXpérience Utilisateur). C’est facile, ultra-efficace, plutôt intuitif. Ma maman adorerait.

Et après ça, quelle confiance accorder aux services proposés par DocuSign à destination d’utilisateurs en Europe? Quelle valeur juridique opposable ont les documents passés par cette plateforme?
Commençons par distinguer DocuSign et DocuSign. Ou plus précisément « DocuSign, Inc. » (CA, USA) et « DocuSign France ».

Bidules de Jan.2020

Dell XPS 13 (2020)

Bonne année !
Pour démarrer fort, une nouvelle itération de la série XPS 13, est annoncée le 1er janvier, avec des spécifications à la hausse:

  • D’abord, l’écran qui gagne en hauteur (16/10) pour occuper encore plus d’espace efficace pour les geeks et développeurs (je fais partie de ceux qui préfèrent un bon format 4/3 pour bosser)
  • Ensuite, le clavier avec des touches plus larges (enfin!), peut-être même plus profondes?
  • Encore mieux? La webcam revient en haut. (ouais, le XPS13-9350 de 2016 a la webcam en coin inférieur gauche pour les exhibitionnistes de narine). Youpi!
  • Mise à niveau des processeurs Intel vers la série Core 10eme génération
  • Jusqu’à 32 Go de RAM pour la version « Developer Edition » (projet Sputnik), celui livré avec Ubuntu18.04
  • Pour finir, du Wifi 6 , et un lecteur d’empreinte (Ubuntu : support à venir, yes-yes-yes!)

En conclusion, quelle machine! Elle a fait sensation au salon CES2020. Seul petit regret: l’écran brillant, qui reste pénible en environnement à reflets non contrôlés.
La perfection aurait été avec l’écran mat, ce sera peut-être la prochaine version? Ou bien la déclinaison « Developer Edition »? 🙂
Il parait que le Lenovo X1 Carbon prépare une remise à niveau technique également, un peu plus tard en 2020…

Source: https://bartongeorge.io/2020/01/01/introducing-the-2020-xps-13-developer-edition-this-one-goes-to-32/

Windows 7, the End

Effectivement, le support pour Microsoft Windows 7 a pris fin le 14 janvier 2020. Le « M » de GAFAM continue de pousser vers Windows 10, plus gourmand en espace et en aspiration de données personnelles.
Ainsi, pour mettre à jour, passez sous Linux.

Enfin, A noter que le navigateur Edge nouveau, basé sur « Chromium », devient aussi disponible pour Windows7, paradoxalement.

Oracle JDK, OpenJDK: du FUD et de la JAVA

FUD dans la JAVA

La cupidité n’a pas de limite.

En avril 2019, Oracle a modifié les conditions d’utilisation de son JAVA. Ainsi la licence Java précise que l’utilisation est payante? Oui, depuis la version « java 8 update 201 » pour des usages autres que personnel ou de développement.

Depuis l’acquisition de Sun-Microsystems par Oracle, il s’est passé beaucoup de choses concernant Java. Le propos n’est pas de détailler cette histoire de politique technologique.
Il y a une multitude d’implémentations de JAVA à ce jour. Parce qu’il s’agit d’une spécification ouverte.

En outre, JAVA ne se résume pas à version gratuite ou payante. Malgré des publications alarmistes sur le web, pour générer du clic.
Voici quelques pépites :
https://lafibre.info/logiciel/java-payant/
https://java.com/fr/download/help/distribution.html
https://java.developpez.com/actu/253773/La-prochaine-mise-a-jour-de-securite-de-Java-8-prevue-pour-le-16-avril-2019-sera-payante-avertit-Oracle/

Oracle ne se gêne pas pour entretenir cette stratégie de terreur. C’est une rhétorique bien connue. D’ailleurs Elle porte même un nom: « FUD » pour Fear Uncertainty Doubt. Distiller la peur l’incertitude et le doute pour asseoir sa domination.

La liberté

Mais, Oracle n’est pas une fatalité. Il existe des tas d’autres implémentations disponibles, plus ou moins libres et plus ou moins gratuites (IBM, Google, etc.).
Exemple: https://www.dsfc.net/developpement/jre-payant-je-passe-a-openjdk/

Les éditeurs de logiciel libre (exemple: Libriciel SCOP) développent parfois sur technologie JAVA. Vis-à-vis de la politique tarifaire d’Oracle concernant son implémentation propriétaire et commerciale de sa JVM Java (« Oracle Java SE »), comment agir ?

  • L’évolution de la politique commerciale d’Oracle ne concerne que les organisations qui sont déjà sous contrat de licence commerciale. Autrement dit, d’un strict point de vue financier, les exploitants sont impactés, pas l’éditeur.
  • Protéger l’exploitant vis-à-vis des actions commerciales d’Oracle, c’est potentiellement faire évoluer la solution logicielle utilisant JAVA. Dans le but de ne plus être dépendant d’Oracle.
  • Sinon, il convient de payer la dîme.

Enfin, quelques éléments de réponse concernant le cas i-Parapheur :

  • La famille i-Parapheur v4.xx utilise Oracle Java 8 dans une version antérieure au changement de politique commerciale. Comme ce changement n’a pas de rétroaction, les voyants restent au vert pour les exploitants: « rien à payer à Oracle ».
  • Les postes de travail sont des navigateurs Web. Zéro impact pour la plupart signataires. L’outil de signature utilise une technologie sans Oracle Java. C’est valable Mozilla Firefox, Google Chrome, ou Microsoft Edge.
  • Toutefois, attention à la seule fenêtre d’attaque: les postes de travail qui restent esclaves de l’utilisation du navigateur IE11. Pour la signature électronique sur ce navigateur, une applet JAVA reste nécessaire. La dépendance au runtime Oracle JAVA pour IE11 subsiste dans ce cas particulier.
  • Quant à i-Parapheur v5, l’application s’appuie sur OpenJDK, sous licence GPL, qui a le bon goût de la gratuité d’usage.

Gérez vos certificats avec EJBCA

logo EJBCA

Des certificats ?  EJBCA ? C’est un logiciel open-source pour construire une AC (autorité de certification), l’entretenir et produire des certificats électroniques.
Oui mais, la crypto et les certificats… c’est compliqué d’après les moteurs de recherche et les blogs. Installer son service de PKI c’est l’enfer à ce qu’on raconte.
OK, défi accepté.

Archive téléchargée depuis https://sourceforge.net/projects/ejbca/files/ejbca6/ (Primekey publie sa version community sur sourceforge).
On s’intéresse dans ce billet à la version « 6.5 CE » de l’application.

Read More

Extensions Firefox, nécessaire renouvellement

firefox - Please wait while the wizard installs the softwareFirefox, le navigateur libre de Mozilla, est un outil formidable grâce à ses nombreuses extensions.
Avec le temps les technologies ont évolué, les besoins de sécurité et de résistance à la malveillance numérique sont apparus plus forts.

Avec la tempête du bannissement des applets Java, d’autres annonces étaient passées inaperçues: passage au 64bit généralisé, nouveau moteur de rendu multi-processus (e10s), nouvelle interface « photon », gros travaux sur les performances, et généralisation de l’API WebExtensions.

Pourtant, c’est bien un chantier énorme qui voit le jour pour les développeurs d’extension pour Firefox, à nouveau. Ce chantier devient même urgent, avec l’annonce de la version 57 prévue pour le 14 novembre 2017.

Read More

Trouvailles geek de juillet’17

L’heure de publier les trouvailles de juillet !
Pendant que certains se prélassent, les geeks gardent le clavier à portée de doigts. Même en juillet. Même si l’appel du mojito au fond des bois est puissant. Voici deux-trois perles du net qui m’ont ébloui le temps d’un « marque-ta-pageage », pour ma mémoire, et plus si affinités.

sortir couvert tu dois

Read More

Dual-boot Ubuntu sur ultrabook

L’idée est d’installer Ubuntu dernière version sur un ultrabook (ultra portable), tout en gardant quelque part le Windows10 livré d’origine.
Donc « dual-boot », passant par la réduction de la partition Windows.

Remarque: rédaction le 27/12/2016, avec les méthodes du moment

Découverte de la machine ultrabook

Les ultrabooks sont des des PC portables optimisés sur le poids et la capacité de transport: moins de 2kg, écran de taille modeste.

Ce n’est donc pas une machine de guerre, ni une console de jeux. Rappelons-nous, il y a quelques années le Asus eeePC créait un marché avec des machines ultra-portables. Aujourd’hui, plusieurs modèles de PC portables occupent la place ouverte par le célèbre Macbook-Air sur le marché haut de gamme:

  • DELL XPS 13 , par exemple le modèle 9350: surpuissant mais léger
  • Asus ZenBook 3 en 12 pouces, moins de 1kg sur la balance et des performances exceptionnelles

Préparation pour recevoir Ubuntu

Préparer Windows10

Pour les manipulations à suivre, il faut défaire certains paramètres systèmes Windows de base: Désactivation du Fast-boot Windows absolument nécessaire, activation de l’affichage des fichiers cachés et système

Suppression temporaire: hiberfile.sys and co

Réduction partition Windows

Défragmentation successive avec « Defraggler » puis « UltraDefrag » (sourceForge) pour déplacer le MFT, puis Defraggler

Puis réduction avec le gestionnaire de disque.

Remise du Windows à un état normal

Réactivation des éléments Windows: hibernation, PageFile, « System protection »

  • hibernation: « powercfg /h on » dans un terminal lancé en administrateur: Win+X puis « Invite de commandes (admin) »
  • PageFile: Win+R  …. , onglet « avancé », cocher « Gestion automatique du fichier d’échange pour les lecteurs »
  • System protection: Win+R …, onglet « protection du système », sélection du disque C:, bouton « Configurer », sélectionner « Activer la protection du système » puis appliquer et OK.
  • reboot !

Re-masquage des fichiers cachés et système.

Création des partitions pour Ubuntu

Démarrage avec Ubuntu live depuis la clé USB. Comment faire? Un tutoriel fort bien fait:

https://libreaquimperle.blogspot.fr/p/redemarrer-en-mode-efi-avec-windows.html

Mais surtout utile ici: https://libreaquimperle.blogspot.fr/p/windows-10.html

Donc, avec la clé USB de boot Ubuntu16.10 insérée : dans l’écran paramètres (icône « engrenages » dans le menu démarrer): choisir « Mise à jour et sécurité » (icône de recyclage): onglet « Récupération » cliquer sur le bouton « Redémarrer maintenant » du chapitre de démarrage avancé.
Un écran bleu apparaît…. Stress… Il s’agit de choisir une option parmi 4 : « Utiliser un périphérique » est celle qu’il faut, puis choisir « UEFI Removable Device »

ça démarre, faire le partitionnement avec gparted

Regénérer les indexes i-Parapheur

logo i-parapheur_300pxL’application i-Parapheur v4.x, sous le capot, s’appuie toujours sur un moteur de GED « Alfresco Community 3.4.c » jusqu’à présent. Ce moteur de GED est utilisé en boîte noire, c’est-à-dire que les capacités de GED pure et de workflow sont rendues inaccessibles à l’utilisateur.

Alfresco se révèle très efficace pour tout un tas de fonctions, mais subit aussi un certain nombre de bugs, notamment du moteur de recherche qui a tendance à se corrompre dans cette version. C’est dû le plus souvent à des pics de charge qui sont mal digérés par LUCENE. Une seule porte de sortie efficace: re-générer les indexes du moteur de recherche.

Read More

Migrer son code de SVN vers Git

Logo GIT
Logo GIT

Avec SVN ou autre, bien élevé, l’Homo Sapiens Codeur gère sa production de logiciel dans un « SCM » (gestionnaire de code source) qui va lui permettre d’organiser le moins salement possible ses différentes versions de prose code-sourcitisque. #novlangue

De génération en génération, bien élevé que j’espère avoir été, j’ai donc sué avec:

  • des outils libres: vénérable RCS (à l’école!), CVS, Subversion (alias SVN),
  • et propriétaires: PVCS, ClearCase, MS-VSS,…

Ils sont aujourd’hui tous passés de mode (ça ne nous rajeunit pas), même SVN. La mode du moment est plutôt de travailler sur du Mercurial ou l’inévitable GIT (via l’opérateur-ogre de la plate-forme github.com notamment).

Mes projets de +8 ans d’âge (pas si vieux) et surtout toujours actifs/maintenus se trouvent encore sur SVN. Et depuis que j’ai goûté à GitLab, j’ai fort fort envie d’en faire profiter ces projets-là… #MigrationEnVue

Read More