Les certificats d’autres autorités de certification que celles listées par l’arrêté du 28 août 2006 (PRIS V1) ou situées dans d’autres Etats membres de l’UE, soulèvent la question de la reconnaissance de la qualité au regard des conditions de sécurité définies par le RGS « Référentiel Général de Sécurité ». Le système de vérification mis en place par PEPPOL en interrogeant les différents services de validation Européens disponibles est capable d’identifier ce certificat, de tester sa validité et d’indiquer un niveau de qualité correspondant à une politique de certification. Comment établir la correspondance entre le niveau défini par PEPPOL et le niveau étoilé du RGS (1) de façon à permettre au destinataire de statuer sur sa qualité et le cas échéant de rejeter cette signature si celle-ci ne présente pas le niveau requis ?
Alain ESTERLE chercheur associé à la FRS et responsable pour PEPPOL de la partie signature a travaillé sur la correspondance entre les paramètres de contrôle de PEPPOL et le référentiel RGS.
L’arrêté signature électronique en préparation vise à établir les critères de validité des certificats au regard du dispositif communautaire en faisant référence à la TSL Européenne et au RGS « Référentiel Général de Sécurité ». Aujourd’hui, il n’existe pas de correspondance immédiate entre les certificats référencés par la TSL et la conformité au RGS. En effet, l’arrêté du 28 août 2006, précise que pour être valides, les certificats doivent être « d’une part conformes au RGS et d’autre part référencés sur la liste mise à disposition par voie électronique par le ministère chargé de la réforme de l’Etat » (PRISv1) mais rien ne stipule précisément le sort réservé aux certificats étrangers. Pourtant, rien n’interdit aujourd’hui à un opérateur économique étranger de répondre à un appel d’offres National un utilisant un certificat émis dans son propre pays.
Fonctionnement du service de validation PEPPOL
Le dispositif de validation mis en place par PEPPOL est fondé sur un réseau collaboratif de services de validation (VS), chaque VS est capable de collecter les informations concernant les certificats et les politiques de certification des autorités de certifications locales et de fournir ces informations à n’importe quel service de requête distant.
Le destinataire peut ainsi vérifier que le niveau de cette signature est conforme à la réglementation quelque soit l’usage de cette signature, marchés publics ou autres.
Les paramètres définis par PEPPOL se réfèrent aux normes de l’ETSI (*) , TS 101 456 et TS 102 042 alors que la réglementation Française se fonde sur le RGS « référentiel Général de Sécurité » de l’ANSSI « Agence Nationale de Sécurité des Systèmes d’Informations » qui définit 3 niveaux de qualité une étoile (*) deux étoiles (**) et trois étoiles (**).Comment établir cette correspondance de façon explicite à l’utilisateur final à partir des seuls paramètres délivrés par PEPPOL ?
PEPPOL détermine la qualité du certificat à partir de quatre paramètres, la politique de certification noté de 1 à 6 , l’indépendance de l’assurance de 1 à 7, l’algorithme de hachage (hash function) et la longueur de la clé publique.
En France les autorités de certification sont qualifiées par le LSTI (Laboratoire de Sécurité des Technologies de l’Information) et le COFRAC sur accréditation de l’ANSSI. Depuis avril 2012, le LSTI est d’ailleurs seul habilité à délivrer ou renouveler l’accréditation CSP. De façon pratique, cette accréditation de la politique de certification correspond à la délivrance d’une conformité par audit externe, c’est à dire au niveau 7 de PEPPOL.
Le RGS et les niveaux de qualité définis par PEPPOL (2)
Bien que l’on considère que le niveau trois étoiles est équivalent à la signature qualifiée définie par le cadre Européen, il n’y a pas de concordance systématique entre le RGS et les niveaux définis par PEPPOL.
Pour la partie cryptographique, le niveau recommandé par le RGS deux étoiles (**) correspond à une fonction de hachage SHA 256 sur la base d’une longueur de clé de 2048 bits. Il est à noter qu’au plan International, 1024 bits n’est plus considéré comme présentant un niveau de sécurité suffisant pour les échanges Internationaux depuis le 1er janvier 2011, la signature devra donc impérativement présenter une clé publique de 2048 bits minimum.
Le niveau RGS trois étoiles (***) est plus exigeant que les spécifications TS 101 456 au regard de la vérification de l’identité numérique du porteur et la sécurisation du dispositif de signature par des moyens physiques. Après analyse des différents paramètres, le niveau RGS (***) correspond donc au niveau QCP+ « Qualified Certificate Policy » de PEPPOL.
Le niveau RGS deux étoiles (**) est lui moins exigeant que le niveau trois étoiles (***) au regard des conditions évoquées plus haut et conforme aux spécifications TS 102 042. Il s’ensuit que le RGS (**) correspond au niveau NCP+ « Normalized Certificate Policy ». Enfin le RGS (*) est conforme au niveau LCP « Lightweight Certificate Policy ».
En pratique :
Les exemples de mise en œuvre de la vérification de signature sur le portail SUNNYSTAMP de LexPersona permettent de lire les paramètres décrits plus haut. L’utilisateur est donc en mesure de s’assurer de façon certaine de l’identité du signataire, de la validité et de la qualité du certificat émis au regard de la politique de certification.
En présence d’un certificat étranger :
Ou d’un certificat émis par une autorité Française :
Au-delà des vérifications habituelles portant sur la validité du certificat, le service fournit des informations précises qui vont souvent au-delà des moyens de vérifications classiquement rencontrés sur les plates-formes.Il est donc possible à partir des outils PEPPOL de s’assurer non seulement de l’origine mais de l’authenticité d’un certificat électronique auprès de n’importe quelle autorité référencée par les services de validation PEPPOL. Le service peut-être généralisé à un ensemble d’applications, pour les échanges électroniques, les téléprocédures et bien d’autres services en ligne encore. De ce point de vue, PEPPOL sans se substituer à la réglementation Nationale vient compléter avantageusement l’information sur la qualité du certificat. Le service est par ailleurs rendu de façon systématique pour l’ensemble des certificats du marché.
La vérification OCSP « Online Certificate Status Protocole » qui permet de délivrer un jeton de vérification par connexion directe au serveur de l’autorité de certification est toujours possible mais cette pratique est encore insuffisamment répandue.
Thierry AMADIEU
Responsable des pilotes PEPPOL pour l’Adetef et OpenPEPPOL France
(1) ANSSI / RGS
(2) Niveau de qualité des politiques de certifications PEPPOL
LCP: Lightweight Certificate Policy ( TS 101 456)
NCP: Normalized Certificate Policy , equivalent à QCP sans l’obligation légale de la Directive 1999/93 article 6 ( responsabilité dommage )
NCP+: Normalized Certificate Policy +, équivalent à QCP+ sans l’obligation légale de la Directive 1999/93 article 6 (responsabilité dommage)
QCP: Qualified Certificate Policy, i.e. politique de certification conforme à la délivrance de certificats qualifies pour le secteur public (conformité avec annexes 1 & 2 de la Directive 1999/93)
QCP+: Qualified Certificate Policy, i.e. politique de certification conforme à la délivrance de certificats qualifies pour le secteur public et nécessitant l’utilisation de dispositifs de sécurité (SSCD)