Prestataires de signature de confiance ou pas

… telle est la question.
La signature électronique a connu un essor sans précédent ces derniers mois, comme tous les services numériques.
Comme tous les services qui ont aidé à supporter le « télé-travail », forcé et contraint par la situation singulière et inédite pour l’humanité.
Par conséquent, déconcentration des forces vives, éparpillement et mise à distance des relations professionnelles. Un contexte anxiogène où le débat de la confiance redevient central. Alors, quelle confiance accorder à nos outils numériques ou aux usages numériques qui nous sont imposés?

Besoin de confiance

Le besoin en « Tiers de confiance » est évident. Noyés dans la matrice, nous nous sommes trouvés contraints d’avoir des outils « de confiance »: l’accès à internet, confiance à la sécurisation de l’accès aux ressources de l’entreprise, etc.
Mais aussi besoin confiance dans les outils de communication: visio, etc.

Aussi, professionnellement, conclure un accord se traduit par une signature sur un document. Or il a été impossible de se rencontrer et de signer « face-à-face ». Alors où et comment retrouver la confiance dans les outils numériques?
Autrement dit, sur quel prestataire (tiers) de confiance se reposer pour la signature numérique?

Enfin, ils sont si nombreux ! Pêle-mêle et dans le désordre, voici : DocuSign, Adobe Sign, Universign, Eversign, YouSign, SignaturIt, Maileva, SignEasy, Docage, Contralia, Sunnystamp, Connectiva, CertSign, LiveConsent, LuxTrust, etc.

Un diplôme ou un label pour les bons prestataires

La blague du bon et du mauvais chasseur, transposée aux prestataires de signature. Ça marche aussi!
Il y a donc des bons et des mauvais PSCo de signature. Le bon prestataire, il voit un document… Bah il le fait signer, hein… Et le mauvais presta, etc.

En bref, un bon prestataire ça se labellise, ça se fait « certifier ». Une telle entreprise va écrire sa politique de certification et de signature. Puis se faire auditer sur cette politique. Enfin faire vérifier que ladite politique respecte le cahier des charges d’un « référentiel » connu de tous.
Selon le périmètre, le référentiel change.

En France, l’ANSSI a décrit le sien, nommé RGS (Référentiel Général de Sécurité). Valable en France et c’est tout.

L’Europe a produit le règlement eIDAS. Valable dans tous les pays de l’UE, dont la France évidemment où il a force de loi. Les prestataires certifiés sont présents sur l’EUTL: European Union Trust List.

Le monde… il n’y a pas de cadre mondial. Aucun organisme, aucune ONG n’a réussi ou tenté. Pas l’ONU, ni l’OMC, l’EFF ou autre organe de régulation/normalisation. Par contre, le marché s’en est chargé.
Adobe a créé et entretenu un standard documentaire, le format PDF (« portable document format »). Quoi de plus normal de se positionner comme « acteur incontournable » de la confiance? Adobe a donc créé AATL: Adobe Approved Trust List, un club fermé.
Parmi ces membres, certains sont adhérents au CSC (consortium de signatures cloud) : ces fournisseurs de services approuvés s’engagent à fournir des services d’identification numérique conformes à la norme d’API ouverte du consortium de signatures cloud

Le cas DocuSign

J’aime bien DocuSign. C’est un poids lourd du marché, omniprésent à l’échelle mondiale, incontournable. Il participe à la « transition numérique », comme on dit.

Leurs outils sont exemplaires d’un point de vue « UX » (eXpérience Utilisateur). C’est facile, ultra-efficace, plutôt intuitif. Ma maman adorerait.

Et après ça, quelle confiance accorder aux services proposés par DocuSign à destination d’utilisateurs en Europe? Quelle valeur juridique opposable ont les documents passés par cette plateforme?
Commençons par distinguer DocuSign et DocuSign. Ou plus précisément « DocuSign, Inc. » (CA, USA) et « DocuSign France ».

Bidules de Jan.2020

Dell XPS 13 (2020)

Bonne année !
Pour démarrer fort, une nouvelle itération de la série XPS 13, est annoncée le 1er janvier, avec des spécifications à la hausse:

  • D’abord, l’écran qui gagne en hauteur (16/10) pour occuper encore plus d’espace efficace pour les geeks et développeurs (je fais partie de ceux qui préfèrent un bon format 4/3 pour bosser)
  • Ensuite, le clavier avec des touches plus larges (enfin!), peut-être même plus profondes?
  • Encore mieux? La webcam revient en haut. (ouais, le XPS13-9350 de 2016 a la webcam en coin inférieur gauche pour les exhibitionnistes de narine). Youpi!
  • Mise à niveau des processeurs Intel vers la série Core 10eme génération
  • Jusqu’à 32 Go de RAM pour la version « Developer Edition » (projet Sputnik), celui livré avec Ubuntu18.04
  • Pour finir, du Wifi 6 , et un lecteur d’empreinte (Ubuntu : support à venir, yes-yes-yes!)

En conclusion, quelle machine! Elle a fait sensation au salon CES2020. Seul petit regret: l’écran brillant, qui reste pénible en environnement à reflets non contrôlés.
La perfection aurait été avec l’écran mat, ce sera peut-être la prochaine version? Ou bien la déclinaison « Developer Edition »? 🙂
Il parait que le Lenovo X1 Carbon prépare une remise à niveau technique également, un peu plus tard en 2020…

Source: https://bartongeorge.io/2020/01/01/introducing-the-2020-xps-13-developer-edition-this-one-goes-to-32/

Windows 7, the End

Effectivement, le support pour Microsoft Windows 7 a pris fin le 14 janvier 2020. Le « M » de GAFAM continue de pousser vers Windows 10, plus gourmand en espace et en aspiration de données personnelles.
Ainsi, pour mettre à jour, passez sous Linux.

Enfin, A noter que le navigateur Edge nouveau, basé sur « Chromium », devient aussi disponible pour Windows7, paradoxalement.

Gérez vos certificats avec EJBCA

logo EJBCA

Des certificats ?  EJBCA ? C’est un logiciel open-source pour construire une AC (autorité de certification), l’entretenir et produire des certificats électroniques.
Oui mais, la crypto et les certificats… c’est compliqué d’après les moteurs de recherche et les blogs. Installer son service de PKI c’est l’enfer à ce qu’on raconte.
OK, défi accepté.

Archive téléchargée depuis https://sourceforge.net/projects/ejbca/files/ejbca6/ (Primekey publie sa version community sur sourceforge).
On s’intéresse dans ce billet à la version « 6.5 CE » de l’application.

Read More

Extensions Firefox, nécessaire renouvellement

firefox - Please wait while the wizard installs the softwareFirefox, le navigateur libre de Mozilla, est un outil formidable grâce à ses nombreuses extensions.
Avec le temps les technologies ont évolué, les besoins de sécurité et de résistance à la malveillance numérique sont apparus plus forts.

Avec la tempête du bannissement des applets Java, d’autres annonces étaient passées inaperçues: passage au 64bit généralisé, nouveau moteur de rendu multi-processus (e10s), nouvelle interface « photon », gros travaux sur les performances, et généralisation de l’API WebExtensions.

Pourtant, c’est bien un chantier énorme qui voit le jour pour les développeurs d’extension pour Firefox, à nouveau. Ce chantier devient même urgent, avec l’annonce de la version 57 prévue pour le 14 novembre 2017.

Read More

Trouvailles geek de juillet’17

L’heure de publier les trouvailles de juillet !
Pendant que certains se prélassent, les geeks gardent le clavier à portée de doigts. Même en juillet. Même si l’appel du mojito au fond des bois est puissant. Voici deux-trois perles du net qui m’ont ébloui le temps d’un « marque-ta-pageage », pour ma mémoire, et plus si affinités.

sortir couvert tu dois

Read More

OpenXML, ce format de document pas open

keep-calm-and-free-softwareTout le monde connaît le format de document « .docx », moins de monde sait qu’il s’agit du sulfureux « OpenXML » de Microsoft.

Sulfureux, parce que le terme Open de OpenXML est mensonger, l’éditeur a bien gardé sa stratégie de format privateur.
Ainsi, utiliser du docx c’est mal pour notre vie numérique, démonstration ci-après avec quelques arguments éthiques, techniques, fonctionnels et même réglementaires.

OpenXML et l’éthique, un désamour

Nous étions pourtant sensibilisés à la façon particulière dont Microsoft traite ses clients. Qu’ils paient et se taisent, peu importe les considérations non éthiques sur l’obsolescence programmée (y compris celle des logiciels).

Read More

Nuxeo Community après les 30 jours

logo-nuxeo-496pxDans le monde fermé des plateformes de GED (ECM pour les anglophiles), les solutions libres de niveau « entreprise » se comptent sur les doigts de la main gauche. Nuxeo en fait partie, et ça donne envie de tester.

Le modèle c’est: « télécharge-moi! Tu as 30 jours pour te régaler ». waouh, trop génial, essayons et téléchargeons: profitons aussi du cloud « Nuxeo Connect ». La découverte envoie du rêve: l’administrateur se voit proposer auto-magiquement les mises à jour de sécurité (et leur installation est aussi auto-magique, bravo), le Nuxeo Studio pour modéliser et personnaliser, etc.

Ok, mais… au bout de 30 jours d’essai gratis, il se passe quoi ?

Read More

BeeCon’2016 à Bruxelles

WelcomeLes 28 et 29 avril 2016, à Bruxelles, s’est tenue la BeeCon dans un bâtiment tout neuf à conception écologique (le CIRB).
Les hashtags à suivre sur Twitter: #beecon2016 #beecon #Alfresco bien sûr.

BeeCon organisée par « The Order of The Bee »

beecon16-La communauté des enthousiastes d’Alfresco s’était trouvée un groupe: « the Order of the Bee », né à l’été 2014.

beecon16-queenBeePour rappel, il a vocation à faire grandir l’écosystème indépendamment d’Alfresco Inc. , qui entretient une relation parfois ambiguë et peu lisible avec la communauté.

Gouverné par méritocratie assumée, sa mission est de garantir l’existence d’une édition d’Alfresco Community en qualité de logiciel libre de GED, quels que soient les évolutions stratégiques de l’entreprise éponyme.

Ce groupe (une assoce qui ne dit pas encore son nom?) a donc organisé avec brio et succès sa première convention cette année à Bruxelles.
Environ 160 visiteurs, 25 nationalités différentes, un amphithéâtre, deux salles de conférence, des stands (avec les habituels Xenit qui jouent pratiquement à domicile), des sponsors, et le soutien de la société « Alfresco Inc. » avec la venue de quelques cadres techniques de l’engineering.

Read More

Découverte de la GED Nuxeo

Pour le projet d’un client, j’ai besoin de déposer des documents dans une GED « Nuxeo »…
Je ne connais ce logiciel libre que de (bonne) réputation, alors la perspective d’un test/découverte est plutôt réjouissante 🙂

Étant plus familier avec Alfresco, la prudence recommande quelques tests préalables en interne, n’est-ce pas?
Voici donc l’aventure d’un n00b sur cet outil, dont la découverte se révèle bien plus facile que prévu.
(mise à jour le 17/6/2016)

Read More

Plugins JAVA, la fin est si proche

dead-endLes annonces pleuvent sur les applets Java, les utilisateurs font grise mine! (billet mis à jour en Fév. 2017)

Google Chrome en septembre 2015, Mozilla Firefox en cours d’abandon, Microsoft Edge….
Chaque éditeur apporte sa pierre sur la tombe du greffon d’applets JAVA, en supprimant l’accès à la technologie NPAPI inventée par Netscape dans les années 90.

Récapitulons dans ce billet:

  • les versions de « plugin Java » dans la nature,
  • la position d’Oracle/Sun, de Google / Microsoft / Mozilla,
  • et tenter de dégager la tendance à venir.

Courage, ça va bien se passer  😉

Read More