Comment Certeurope a construit son architecture de confiance multi-niveaux

Fondée au début de l'année 2001, l'entreprise Certeurope se définit comme l'autorité de certification des professionnels du droit et du chiffre. Et pour cause, le site mis en ligne en version complète à la fin du mois de juin regroupe toute une série d'acteurs du domaine, depuis les greffiers jusqu'aux experts comptables, en passant par les entreprises qui pourront effectuer en ligne dès septembre leur déclaration de TVA de façon ultra-sécurisée. "Certeurope a pour vocation d'héberger des autorités de certification, et est elle même autorité de certification", rappelle Philippe Fabre, président de la structure et initiateur du projet. "Quand je dis que nous les hébergeons, il faut effectuer une distinction de cibles. Tout d'abord, nous hébergeons Infogreffe qui rassemble les quatre cinquièmes des greffiers des tribunaux de commerce. Mais en fait, nous hébergeons l'autorité de certification d'Infogreffe (du nom de Certigreffe), et les greffes des tribunaux de commerce sont aussi des autorités de certification qui reçoivent les certificats signés Infogreffe."

"Nous avons aussi signé avec un réseau de 2 000 experts comptables qui sont des autorités d'enregistrement, poursuit-il. Par rapport à eux, nous sommes l'autorité de certification en tant que personne morale et nous servons leurs clients, les entreprises auxquelles nous distribuons les certificats." Pour simplifier, Certeurope met en place l'infrastructure qui permet à tout ce petit monde de fonctionner ensemble, les experts comptables, le greffe et les utilisateurs en entreprise. Parmi les autres initiatives en cours de négociation, l'on peut citer CertiPresse, l'autorité de certification du syndicat de la presse judiciaire.

Le projet très réfléchi dépasse son étape télématique
Après avoir initialisé en 1997 des interventions pour le compte d'entreprises destinées au recouvrement judiciaire de créances, Philippe Fabre constate que les modalités d'applications s'avéraient pour le moins compliquées. De fait, les PMEs hésitaient à avoir recours au tribunal de commerce. Partant de là, il décide de mettre en place des procédures télématiques de transmission aux huissiers de justice et auprès des greffes. Une procédure simplifiée est donc implantée à titre de test au tribunal de commerce de Bobigny. "En 1999, j'ai donc proposé au greffe d'étudier quelles seraient les conséquences sur le métier de la signature électronique et de la certification de documents", témoigne-t-il. "Pendant un an, j'ai alors réalisé des maquettes pour exposer le principe de la signature et les domaines d'application qui pourraient être concernés."

Thales Secure Solutions jugé meilleur prestataire
Les premiers contacts entre M. Fabre et M. Coléou, dg de Thales Secure Solutions, sont ainsi pris au début de l'été 2000. Un peu avant la mise en ligne, en avril 2001, d'une vitrine HTML statique du site réalisée par D.Interactive le contrat est signé entre Certeurope et l'organe sécurité du géant de l'informatique-électronique. Après à peine plus de deux mois consacrés par ses ingénieurs à l'implémentation des solutions, la mise en production du service opérationnel hébergé dans l'une de ses salles blanches intervient au tournant de mai-juin. "Thales Secure Solutions est un partenaire avec qui nous pouvions travailler de concert car ils sont eux même ingéniéristes", déclare Philippe Fabre. "Un autre partenaire potentiel était IBM Global Services, mais ils n'ont pas la souplesse d'une société française, et ils ne pouvaient pas nous fournir les garanties nécessaires en vue de signer un accord de partenariat avec eux. Nous n'avons pas fait d'appel d'offres, mais nous avons pu identifier le meilleur partenaire possible."

Des partenaires en cascade pour assurer la confiance
En tant qu'autorité de certification, Certeurope a pour vocation de servir la chaîne de confiance à travers ses quatre composantes : la diffusion des certificats, l'archivage des documents électroniques, l'horodatage et la traçabilité des documents. Sur ces deux derniers points particuliers, la démarche vise respectivement à imprimer de manière indélébile le jour et l'heure d'envoi de la télédéclaration (si une date buttoir est dépassée, l'entreprise est surtaxée), et à assurer un suivi dans le cadre des nombreux exemples de chaînes de récepteurs/émetteurs de certificats en vue de savoir où se trouve le document lui-même.

En même temps, pour s'adjuger la confiance des autorités et celle des utilisateurs, il fallait à Certeurope le soutien de partenaires particuliers. Le choix s'est porté sur Ernst & Young comme auditeur technique. Maître Piette-Coudol, juriste reconnu dans la profession, est intervenu sur la partie juridique. Enfin, "j'ai établi de bonnes relations avec la Caisse des Dépôts et Consignations qui nous soutient dans l'analyse technique et dans notre approche des professions règlementées", affirme Philippe Fabre. "Cette institution a mis en place la structure CDC Kineon dont le rôle est justement d'étudier les solutions techniques, en particulier concernant la problématique d'archivage qui peut s'avérer complexe. Quant à l'approche des professions règlementées, la CDC est un point de passage obligé puisqu'ils sont notamment les banquiers spécifiques des notaires."

Déploiement des certificats sur des cartes à puce
Les certificats étant de la classe 3, parmi les plus élevées en raison du caractère critique des téléprocédures - notamment la TéléTVA -, leur circuit d'émission s'avère relativement complexe. Tout d'abord, le demandeur émet ses pièces justificatives à l'autorité d'enregistrement qui vérifie son identité et exerce son pouvoir. Celle-ci signe alors la demande de certificat du premier, qui est transférée dans une zone consacrée au dépôt des demandes chez Thales Secure Solutions qui héberge la partie sécurisée de Certeurope. L'autorité de certification vérifie alors cette signature, et en appose une autre sur le certificat qu'elle génère. Ensuite, l'insertion des informations d'authentification dans l'annuaire s'effectue en simultané avec l'envoi du certificat généré par Certeurope. L'autorité d'enregistrement réceptionne enfin ce dernier et le transmet au demandeur à même la carte à puce programmée par l'éditeur allemand Utimaco.

Infrastructure PKI et signature Utimaco
En terme d'infrastructure PKI (à clefs publiques), "nous avons choisi Utimaco car leur solution nous semblait répondre au mieux aux besoins des clients en terme de fonctionnalités", indique Cyril Autant, responsable du département intégration de solutions logicielles chez Thales Secure Solutions. "Tout d'abord, le produit entre dans la norme x509 chargée de définir les standards qui garantissent l'interopérabilité avec les autres produits du marché remplissant les mêmes fonctions. Ensuite, il a été vérifié par l'organisme allemand équivalent du SCSSI." Et enfin, pour ne rien gâcher, Utimaco équipe des références telles que l'Union Européenne et la Banque de France.

Du côté de l'authentification par signature électronique, c'est la solution de signature Sign&Crypt d'Utimaco qui a été choisie par le prestataire en concertation avec CertEurope. Selon Cyril Autant, "le produit pouvait être audité et offrait des garanties conséquentes. Avec certaines solutions subsistent parfois des chevaux de Troie voire même des portes dérobées par lesquelles quelqu'un peut s'infiltrer. Or, il n'est pas toujours possible de le vérifier."

Un budget essentiellement concentré sur la sécurité
Au total, plusieurs millions de francs auront été dépensé sur la totalité du projet dont le site en lui-même. Les serveurs matériels, équipés de IIS sur Windows 2000 Serveur pour la partie statique et d'un Apache modifié sur Unix pour la certification, ainsi que les logiciels n'ont visiblement pas dépassé 5 à 10 % de cette somme. L'essentiel aurait-il donc été consacré aux services ? "La partie sécurité est à part et c'est elle qui nous a coûté le plus, mais elle est aussi utilisée par d'autres services", éclaire à ce sujet François Renou, le directeur technique de Certeurope. "Sur la partie PKI, le budget s'est réparti à moitié/moitié entre les autorités de certification et les serveurs centraux. En terme d'exploitation sur cette dernière partie, il est même vraisemblable que cela dépassera la moitié du poste en question. Mais une fois que les cartes à puces et les certificats auront été déployés chez les clients, le gros de l'investissement aura été réalisé."