30/08/01
Comment
Certeurope a construit son architecture de confiance multi-niveaux
Fondée
au début de l'année 2001, l'entreprise Certeurope
se définit comme l'autorité de certification des
professionnels du droit et du chiffre. Et pour cause,
le site mis en ligne en version complète à
la fin du mois de juin regroupe toute une série
d'acteurs du domaine, depuis les greffiers jusqu'aux experts
comptables, en passant par les entreprises qui pourront
effectuer en ligne dès septembre leur déclaration
de TVA de façon ultra-sécurisée.
"Certeurope a pour vocation d'héberger des
autorités de certification, et est elle même
autorité de certification", rappelle Philippe
Fabre, président de la structure et initiateur
du projet. "Quand je dis que nous les hébergeons,
il faut effectuer une distinction de cibles. Tout d'abord,
nous hébergeons Infogreffe
qui rassemble les quatre cinquièmes des greffiers
des tribunaux de commerce. Mais en fait, nous hébergeons
l'autorité de certification d'Infogreffe (du nom
de Certigreffe), et les greffes des tribunaux de commerce
sont aussi des autorités de certification qui reçoivent
les certificats signés Infogreffe."
"Nous avons aussi signé avec un réseau
de 2 000 experts comptables qui sont des autorités
d'enregistrement, poursuit-il. Par rapport à eux,
nous sommes l'autorité de certification en tant
que personne morale et nous servons leurs clients, les
entreprises auxquelles nous distribuons les certificats."
Pour simplifier, Certeurope met en place l'infrastructure
qui permet à tout ce petit monde de fonctionner
ensemble, les experts comptables, le greffe et les utilisateurs
en entreprise. Parmi les autres initiatives en cours de
négociation, l'on peut citer CertiPresse, l'autorité
de certification du syndicat de la presse judiciaire.
Le
projet très réfléchi dépasse
son étape télématique
Après avoir initialisé en 1997 des interventions
pour le compte d'entreprises destinées au recouvrement
judiciaire de créances, Philippe Fabre constate
que les modalités d'applications s'avéraient
pour le moins compliquées. De fait, les PMEs hésitaient
à avoir recours au tribunal de commerce. Partant
de là, il décide de mettre en place des
procédures télématiques de transmission
aux huissiers de justice et auprès des greffes.
Une procédure simplifiée est donc implantée
à titre de test au tribunal de commerce de Bobigny.
"En 1999, j'ai donc proposé au greffe d'étudier
quelles seraient les conséquences sur le métier
de la signature électronique et de la certification
de documents", témoigne-t-il. "Pendant
un an, j'ai alors réalisé des maquettes
pour exposer le principe de la signature et les domaines
d'application qui pourraient être concernés."
Thales
Secure Solutions jugé meilleur prestataire
Les premiers contacts
entre M. Fabre et M. Coléou, dg de Thales
Secure Solutions, sont ainsi pris au début
de l'été 2000. Un peu avant la mise en ligne,
en avril 2001, d'une vitrine HTML statique du site réalisée
par D.Interactive le contrat est signé entre Certeurope
et l'organe sécurité du géant de
l'informatique-électronique. Après à
peine plus de deux mois consacrés par ses ingénieurs
à l'implémentation des solutions, la mise
en production du service opérationnel hébergé
dans l'une de ses salles blanches intervient au tournant
de mai-juin. "Thales Secure Solutions est un partenaire
avec qui nous pouvions travailler de concert car ils sont
eux même ingéniéristes", déclare
Philippe Fabre. "Un autre partenaire potentiel était
IBM Global Services, mais ils n'ont pas la souplesse d'une
société française, et ils ne pouvaient
pas nous fournir les garanties nécessaires en vue
de signer un accord de partenariat avec eux. Nous n'avons
pas fait d'appel d'offres, mais nous avons pu identifier
le meilleur partenaire possible."
Des partenaires
en cascade pour assurer la confiance
En
tant qu'autorité de certification, Certeurope a
pour vocation de servir la chaîne de confiance à
travers ses quatre composantes : la diffusion des
certificats, l'archivage des documents électroniques,
l'horodatage et la traçabilité des documents.
Sur ces deux derniers points particuliers, la démarche
vise respectivement à imprimer de manière
indélébile le jour et l'heure d'envoi de
la télédéclaration (si une date buttoir
est dépassée, l'entreprise est surtaxée),
et à assurer un suivi dans le cadre des nombreux
exemples de chaînes de récepteurs/émetteurs
de certificats en vue de savoir où se trouve le
document lui-même.
En même temps, pour s'adjuger la confiance des autorités
et celle des utilisateurs, il fallait à Certeurope
le soutien de partenaires particuliers. Le choix s'est
porté sur Ernst & Young
comme auditeur technique. Maître Piette-Coudol,
juriste reconnu dans la profession, est intervenu sur
la partie juridique. Enfin, "j'ai établi de
bonnes relations avec la Caisse
des Dépôts et Consignations qui nous
soutient dans l'analyse technique et dans notre approche
des professions règlementées", affirme
Philippe Fabre. "Cette institution a mis en place
la structure CDC Kineon dont le rôle est justement
d'étudier les solutions techniques, en particulier
concernant la problématique d'archivage qui peut
s'avérer complexe. Quant à l'approche des
professions règlementées, la CDC est un
point de passage obligé puisqu'ils sont notamment
les banquiers spécifiques des notaires."
Déploiement
des certificats sur des cartes à puce
Les
certificats étant de la classe 3, parmi les
plus élevées en raison du caractère
critique des téléprocédures - notamment
la TéléTVA -, leur circuit d'émission
s'avère relativement complexe. Tout d'abord, le
demandeur émet ses pièces justificatives
à l'autorité d'enregistrement qui vérifie
son identité et exerce son pouvoir. Celle-ci signe
alors la demande de certificat du premier, qui est transférée
dans une zone consacrée au dépôt des
demandes chez Thales Secure Solutions qui héberge
la partie sécurisée de Certeurope. L'autorité
de certification vérifie alors cette signature,
et en appose une autre sur le certificat qu'elle génère.
Ensuite, l'insertion des informations d'authentification
dans l'annuaire s'effectue en simultané avec l'envoi
du certificat généré par Certeurope.
L'autorité d'enregistrement réceptionne
enfin ce dernier et le transmet au demandeur à
même la carte à puce programmée par
l'éditeur allemand Utimaco.
Infrastructure
PKI et
signature Utimaco
En terme d'infrastructure PKI (à clefs publiques),
"nous avons choisi Utimaco car leur solution nous
semblait répondre au mieux aux besoins des clients
en terme de fonctionnalités", indique Cyril
Autant, responsable du département intégration
de solutions logicielles chez Thales Secure Solutions.
"Tout d'abord, le produit entre dans la norme x509
chargée de définir les standards qui garantissent
l'interopérabilité avec les autres produits
du marché remplissant les mêmes fonctions.
Ensuite, il a été vérifié
par l'organisme allemand équivalent du SCSSI."
Et enfin, pour ne rien gâcher, Utimaco équipe
des références telles que l'Union Européenne
et la Banque de France.
Du côté de l'authentification par signature
électronique, c'est la solution de signature Sign&Crypt
d'Utimaco qui a été choisie par le prestataire en concertation
avec CertEurope. Selon Cyril Autant, "le produit
pouvait être audité et offrait des garanties
conséquentes. Avec certaines solutions subsistent
parfois des chevaux de Troie voire même des portes
dérobées par lesquelles quelqu'un peut s'infiltrer.
Or, il n'est pas toujours possible de le vérifier."
Un
budget essentiellement concentré sur la sécurité
Au
total, plusieurs millions de francs auront été
dépensé sur la totalité du projet
dont le site en lui-même. Les serveurs matériels,
équipés de IIS sur Windows 2000 Serveur
pour la partie statique et d'un Apache modifié
sur Unix pour la certification, ainsi que les logiciels
n'ont visiblement pas dépassé 5 à
10 % de cette somme. L'essentiel aurait-il donc été
consacré aux services ? "La partie sécurité
est à part et c'est elle qui nous a coûté
le plus, mais elle est aussi utilisée par d'autres
services", éclaire à ce sujet François
Renou, le directeur technique de Certeurope. "Sur
la partie PKI, le budget s'est réparti à
moitié/moitié entre les autorités
de certification et les serveurs centraux. En terme d'exploitation
sur cette dernière partie, il est même vraisemblable
que cela dépassera la moitié du poste en
question. Mais une fois que les cartes à puces
et les certificats auront été déployés
chez les clients, le gros de l'investissement aura été
réalisé."
|