Prestataires de signature de confiance ou pas

… telle est la question.
La signature électronique a connu un essor sans précédent ces derniers mois, comme tous les services numériques.
Comme tous les services qui ont aidé à supporter le « télé-travail », forcé et contraint par la situation singulière et inédite pour l’humanité.
Par conséquent, déconcentration des forces vives, éparpillement et mise à distance des relations professionnelles. Un contexte anxiogène où le débat de la confiance redevient central. Alors, quelle confiance accorder à nos outils numériques ou aux usages numériques qui nous sont imposés?

Besoin de confiance

Le besoin en « Tiers de confiance » est évident. Noyés dans la matrice, nous nous sommes trouvés contraints d’avoir des outils « de confiance »: l’accès à internet, confiance à la sécurisation de l’accès aux ressources de l’entreprise, etc.
Mais aussi besoin confiance dans les outils de communication: visio, etc.

Aussi, professionnellement, conclure un accord se traduit par une signature sur un document. Or il a été impossible de se rencontrer et de signer « face-à-face ». Alors où et comment retrouver la confiance dans les outils numériques?
Autrement dit, sur quel prestataire (tiers) de confiance se reposer pour la signature numérique?

Enfin, ils sont si nombreux ! Pêle-mêle et dans le désordre, voici : DocuSign, Adobe Sign, Universign, Eversign, YouSign, SignaturIt, Maileva, SignEasy, Docage, Contralia, Sunnystamp, Connectiva, CertSign, LiveConsent, LuxTrust, etc.

Un diplôme ou un label pour les bons prestataires

La blague du bon et du mauvais chasseur, transposée aux prestataires de signature. Ça marche aussi!
Il y a donc des bons et des mauvais PSCo de signature. Le bon prestataire, il voit un document… Bah il le fait signer, hein… Et le mauvais presta, etc.

En bref, un bon prestataire ça se labellise, ça se fait « certifier ». Une telle entreprise va écrire sa politique de certification et de signature. Puis se faire auditer sur cette politique. Enfin faire vérifier que ladite politique respecte le cahier des charges d’un « référentiel » connu de tous.
Selon le périmètre, le référentiel change.

En France, l’ANSSI a décrit le sien, nommé RGS (Référentiel Général de Sécurité). Valable en France et c’est tout.

L’Europe a produit le règlement eIDAS. Valable dans tous les pays de l’UE, dont la France évidemment où il a force de loi. Les prestataires certifiés sont présents sur l’EUTL: European Union Trust List.

Le monde… il n’y a pas de cadre mondial. Aucun organisme, aucune ONG n’a réussi ou tenté. Pas l’ONU, ni l’OMC, l’EFF ou autre organe de régulation/normalisation. Par contre, le marché s’en est chargé.
Adobe a créé et entretenu un standard documentaire, le format PDF (« portable document format »). Quoi de plus normal de se positionner comme « acteur incontournable » de la confiance? Adobe a donc créé AATL: Adobe Approved Trust List, un club fermé.
Parmi ces membres, certains sont adhérents au CSC (consortium de signatures cloud) : ces fournisseurs de services approuvés s’engagent à fournir des services d’identification numérique conformes à la norme d’API ouverte du consortium de signatures cloud

Le cas DocuSign

J’aime bien DocuSign. C’est un poids lourd du marché, omniprésent à l’échelle mondiale, incontournable. Il participe à la « transition numérique », comme on dit.

Leurs outils sont exemplaires d’un point de vue « UX » (eXpérience Utilisateur). C’est facile, ultra-efficace, plutôt intuitif. Ma maman adorerait.

Et après ça, quelle confiance accorder aux services proposés par DocuSign à destination d’utilisateurs en Europe? Quelle valeur juridique opposable ont les documents passés par cette plateforme?
Commençons par distinguer DocuSign et DocuSign. Ou plus précisément « DocuSign, Inc. » (CA, USA) et « DocuSign France ».

Gérez vos certificats avec EJBCA

logo EJBCA

Des certificats ?  EJBCA ? C’est un logiciel open-source pour construire une AC (autorité de certification), l’entretenir et produire des certificats électroniques.
Oui mais, la crypto et les certificats… c’est compliqué d’après les moteurs de recherche et les blogs. Installer son service de PKI c’est l’enfer à ce qu’on raconte.
OK, défi accepté.

Archive téléchargée depuis https://sourceforge.net/projects/ejbca/files/ejbca6/ (Primekey publie sa version community sur sourceforge).
On s’intéresse dans ce billet à la version « 6.5 CE » de l’application.

Read More

eIDAS vu de l’ANSSI

signatureelectronique1er juillet 2016, le règlement eIDAS devient applicable, après son adoption le 23 juillet 2014 par le Parlement européen et de Conseil de l’UE et son entrée en vigueur le 17 septembre 2014.
« eIDAS » c’est précisément le règlement n°910/2014/UE sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur.

L’ANSSI a publié un article à ce propos, je m’y suis intéressé et ai pointé quelques éléments dans ce billet.

Read More