Cryptoblog [FR]

Cryptolog labellisée Entreprise Innovante des Pôles au sein de Systematic

2011-11-03T10:07:19Z

Paris, le 3 novembre 2011 - Cryptolog, éditeur de référence pour la signature électronique, l'horodatage et la gestion de la preuve, est heureux d'annoncer qu'il vient d'être labellisé Entreprise Innovante du Pôle Systematic Paris-Région.

Le label « EIP - Entreprise Innovante des Pôles » a été lancé le 3 juin 2010 sous l’égide du Ministère de l’Économie, de l’Industrie et de l’Emploi. Il a pour objectif d’aider les entreprises innovantes à potentiel, fortement impliquées dans les projets de R&D des pôles de compétitivité, à mobiliser les investisseurs privés dans le financement de leur croissance. Agissant comme un effet de levier du financement privé, le Label permet d’accroître la visibilité puis l’audience des TPE et PME les plus prometteuses dans l’écosystème des pôles de compétitivité auprès des « business angels » et des fonds d’investissement.

« Depuis sa création, Cryptolog consacre à la R&D une part très substantielle de son chiffre d'affaires. Nous sommes vraiment très heureux d'avoir obtenu ce label qui vient récompenser nos efforts et conforter cette politique d'innovation », déclare Corinne David, directrice Administration et Finances de Cryptolog.

Le Label EIP est un un label national initié par le club des 18 pôles mondiaux, en partenariat avec l’AFIC (Association Française des Investisseurs en Capital), France Angels, Retis et OSEO, et soutenue par la Caisse des Dépôts et Consignations et le Ministère de l’Économie, de l’Industrie et de l’Emploi.

Un programme d'accompagnement

Outre l'accompagnement à la levée de fonds, le label EIP propose aux entreprises sélectionnées un programme d’actions visant à créer les conditions optimales à leur développement et à leur croissance.

C'est dans ce cadre que Cryptolog participera le jeudi 10 novembre 2011 à la journée Ambition PME animée par le pôle Systematic sous le haut patronage d’Éric Besson, Ministre chargé de l’Industrie, de l’Énergie et de l’Économie numérique.

Si vous êtes à la recherche d'un emploi, venez nous rencontrer à cette occasion pour une séance de « job dating » de 9h à 13h30 au Campus des Cordeliers (21 rue de l'École-de-Médecine, Paris 6e, Métro Odéon).

Renseignements et inscriptions sur le site de Systematic.

Signature électronique de contrats en ligne : découvrez le nouveau livre blanc de Cryptolog !

2011-10-06T09:53:59Z

« Comment réussir un projet de contractualisation électronique ? Quelle stratégie adopter en fonction de quel contexte ? Quels sont les critères et les contraintes juridiques à prendre en compte ? Quelles sont les solutions à mettre en oeuvre ? » Autant de questions abordées dans le nouveau livre blanc de Cryptolog.

Paris, le 06 octobre 2011 - Le marché est aujourd'hui profondément en attente de mécanismes simples et fiables permettant de signer à distance des documents contractuels. Que ce soit en BtoB ou en BtoC, les besoins et les attentes liés à la contractualisation en ligne sont énormes : accélération des processus commerciaux, meilleure conversion client, réduction des déplacements, des impressions et des envois postaux, dématérialisation des documents, simplification des opérations...

Fort de ce constat, Cryptolog a le plaisir d'annoncer la publication de son nouveau livre blanc intitulé « Contractualisation en ligne : réussir son projet de signature électronique ».

Fruit de l'expérience unique de Cryptolog en matière de signature électronique depuis plus de dix ans, ce livre blanc a pour ambition d'être un véritable guide de mise en oeuvre pour tous ceux qui souhaitent découvrir et déployer la signature électronique dans leur environnement professionnel.

Destiné aux non-spécialistes, ce document livre, dans un style accessible à tous, l'ensemble des clés de compréhension de la contractualisation électronique, depuis le principe de base de la signature cryptographique jusqu'aux différents scénarios de déploiement en passant par le cadre légal en vigueur.

Il est également l'aboutissement d'une démarche éditoriale authentique, exclusivement focalisée sur la thématique spécifique de la signature électronique contractuelle et dans laquelle aucune zone d'ombre n'a été ignorée.

Pour l'obtenir, contactez-nous à l'adresse sales@cryptolog.com ou bien téléchargez-le gratuitement en cliquant sur le lien ci-dessous :

Et n'hésitez pas à nous faire part de vos remarques, suggestions et commentaires...

Bonne lecture et bonne signature !

Cryptolog partenaire de l'Observatoire GouvInfo 2012 de la gouvernance de l’information.

2011-08-01T09:41:38Z

Cryptolog a décidé d'être partenaire de l'Observatoire de la Gouvernance de l'Information, lancé fin juillet par 3org Conseil et dirigé par Jean-Pascal Perrein. Visitez www.gouvinfo.org pour plus d'informations et pour vous inscrire dès à présent au questionnaire qui sera officiellement lancé début septembre.

Aujourd'hui, l'information est omniprésente dans notre environnement personnel et professionnel. Elle circule à travers de multiples outils (réseaux sociaux, mobiles, logiciels d'entreprise, emails, sites web). Elle adopte différentes formes (papier, document numérique, flux de données, images, vidéo, sons)... et enfin, elle est dynamique, autrement dit elle se transforme, est accessible ou perdue, critique, coûteuse, peut être dangereuse ...

L'information est le fluide vital de nos organisations. Doit-on maîtriser cette information, comment, qui doit le faire, et jusqu'à quel point ?

Pour apporter des éléments de réponse à ces questions d'actualité, un collectif d'organisations dont Cryptolog fait partie a décidé de se réunir pour interroger l'ensemble des entreprises sur ce sujet.

Si vous êtes intéressé pour participer à cet observatoire en apportant votre vision, inscrivez-vous et en retour, vous pourrez bénéficier de la synthèse globale.

Rendez-vous sur http://www.gouvinfo.org

Cryptolog annonce la sortie de CUTE 5.3

2011-06-27T13:42:36Z

Paris, le 27 juin 2011 - Cryptolog a le plaisir d'annoncer la sortie de la version 5.3 de CUTE son toolkit de signature permettant l'ajout de la signature électronique au sein d'une application métier ou d'un site Web. Commercialisé en mode OEM à destination des éditeurs et fournisseurs de service SaaS, le Cryptolog Universal Token Environnement s'intègre en quelques heures au sein de n'importe quel site Web ou logiciel client de manière complètement transparente pour l'utilisateur final. Cette nouvelle version de CUTE apporte d'importantes fonctionnalités pour répondre aux besoins croissants du marché de la signature électronique :

Support du PKCS#10 dans le module PKI : c'est l'une des principales évolutions de cette version. Le standard PKCS#10 est un standard de requête permettant de demander la signature d'une clé publique auprès d'une autorité de certification. Rappelons que le module PKI de CUTE permet de générer à la volée des paires de clés publiques/privés. Grâce à cette nouvelle fonctionnalité, il sera désormais possible lors de la génération d'une paire de clés de demander la génération d'un certificat auprès d'une autorité de certification.

Développement d'un framework de validation pour le format PAdES : il est désormais possible de configurer des listes de révocation de certificats (CRL) et des serveurs OCSP lors de l'intégration de CUTE. Avant de déclencher une signature avec un certificat donné, CUTE sera désormais en mesure d'aller interroger ces entités pour déceler si celui-ci n'a pas été révoqué.

Support du magasin de certificats Firefox sous Windows : auparavant le magasin de certificat du navigateur ne pouvait être branché que sous Linux.

Développement d'un framework de pré-traitement de PDF : avant la signature d'un PDF, il sera désormais possible d'aller modifier le document pour lui ajouter des pages, des informations, etc

Référencement de l'image du champ de signature par URL : l'image à insérer dans un PDF lors d'une signature pourra désormais être spécifié par une URL, ce qui simplifie l'intégration Web.

Filtrage des certificats auto-signés : le système de filtrages avancé de certificats de CUTE permet désormais de détecter les certificat auto-générés. Par exemple, grâce à cette fonctionnalité il sera désormais beaucoup simple d'exclure les certificats à usage unique lors d'une requête de signature.

Nouveaux formats de signature : support du PAdES-EPES, mise à niveau CAdES v1.8.1 et XAdES v1.4.1

La version 5.3 de CUTE est disponible sans surcoût pour tous les clients disposant d'un contrat de maintenance, qui pourront le télécharger sur le site projects.cryptolog.com.

A propos de CUTE

CUTE est un kit logiciel permettant une intégration simple des fonctionnalités de signature électronique au sein d'une application métier ou d'un site Web. Il est compatible avec tous les certificats et permet de générer tous les formats de signature électroniques, des plus simples - CMS, XMLDSig et PDF - aux plus avancés que sont XAdES, PAdES, CAdES, XAdES-BES, XAdES-EPES, XAdES-T, etc.

Pour plus d'informations : www.cryptolog.com/cute

Quelle est la valeur juridique d'une signature électronique ?

2011-06-01T14:28:04Z

La signature électronique a déjà plus de 10 ans d'existence. C'est beaucoup... et peu à la fois, notamment au regard de plusieurs centaines d'années de signature manuscrite ! Ainsi, elle reste aujourd'hui encore relativement méconnue non seulement du grand public mais aussi des professionnels. En particulier, on nous pose souvent cette question : quelle est la valeur juridique d'une signature électronique ? Selon les cas, la réponse peut différer. Il ne nous a donc pas apparu inutile de rappeler ici dans un billet, le cadre cadre législatif français et communautaire de la signature électronique.

Au niveau européen

Il faut savoir que le texte fondateur, définissant un cadre communautaire pour les signatures électroniques en Europe, est la directive européenne du 13 décembre 1999. Celle-ci distingue deux types de signature électronique avec deux niveaux de validité juridique différents :

La signature électronique (article 2) : « une donnée sous forme électronique, qui est jointe ou liée logiquement à d’autres données électroniques et qui sert de méthode d’authentification ». A ce niveau, une signature électronique ne pourra pas être refusée au titre de preuve en justice mais ne pourra prétendre à un niveau de reconnaissance équivalent à celui de la signature manuscrite.

La signature électronique avancée (article 5.1) : « Les États membres veillent à ce que les signatures électroniques avancées basées sur un certificat qualifié et créées par un dispositif sécurisé de création de signature répondent aux exigences légales d'une signature à l'égard de données électroniques de la même manière qu'une signature manuscrite répond à ces exigences à l'égard de données manuscrites ou imprimées sur papier et soient recevables comme preuves en justice ». Dans ce deuxième cas, l’équivalence de la signature électronique avec la signature manuscrite est acquise dès lors que trois conditions sont remplies :

la mise en œuvre d’une signature électronique avancée ;
l’utilisation d’un dispositif sécurisé de création de signature électronique ;
l’utilisation d’un certificat qualifié.

Nous allons détailler ces conditions plus loin en examinant notamment la transposition de ce texte européen en droit français.

Au niveau national

La transposition française s’est effectuée en de nombreuses étapes dont les principales sont :

la loi n°2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information et relative à la signature électronique ;
le décret n°2001-272 du 30 mars 2001, pris pour l’application de l’article 1316-4 du code civil et relatif à la signature électronique, modifié par le décret n°2002-535 du 18 avril 2002 ;
le décret n°2002-535 du 18 avril 2002 relatif à l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information ;
la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique qui précise le régime de responsabilité des prestataires de services de certification électronique délivrant des certificats électroniques qualifiés ;
l’arrêté du 26 juillet 2004 relatif à la reconnaissance de la qualification des prestataires de services de certification électronique et à l’accréditation des organismes qui procèdent à leur évaluation ;

En résumé, au travers de ces différents textes, la législation française distingue également deux niveaux de signature électronique :

La signature électronique (article 4 de la loi 2000-230 du 13 mars 2000) : « Lorsqu’elle [la signature] est électronique, elle consiste en l’usage d’un procédé fiable’identification garantissant son lien avec l’acte auquel elle s’attache ». A ce niveau, le procédé de signature électronique dit « simple » n’est pas présumé fiable mais l’écrit signé ainsi sous forme électronique ne pourra être refusé en justice au titre de preuve dès lors que le procédé permet d’identifier le signataire et de garantir le lien avec l’acte signé. En cas de contestation, il est nécessaire de prouver la fiabilité du procédé de signature électronique utilisé.

La signature électronique « présumée fiable » : L’article 4 de la loi 2000-230 du 13 mars 2000 précise également que la charge de la preuve peut être inversée, en cas de contestation, sous certaines conditions définies par le décret n°2001-272 du 30 mars 2001. « La fiabilité d'un procédé de signature électronique est présumée jusqu'à preuve contraire lorsque ce procédé met en oeuvre une signature électronique sécurisée, établie grâce à un dispositif sécurisé de création de signature électronique et que la vérification de cette signature repose sur l'utilisation d'un certificat électronique qualifié ».

Pour bénéficier de la présomption de fiabilité, le signataire devra donc mettre en œuvre une signature réunissant trois conditions :

la signature électronique est sécurisée. Autrement dit, il s’agit d’une signature électronique satisfaisant aux exigences suivantes : être propre au signataire ; être créée par des moyens que le signataire puisse garder sous son contrôle exclusif ; garantir, avec l’acte auquel elle s’attache, un lien tel que toute modification ultérieure de l’acte soit détectable (intégrité du document).
elle est créée par un dispositif sécurisé de création de signature (SSCD), c’est à dire par un dispositif certifié conforme à un certains nombre d'exigences. On pourra trouver notamment la liste des dispositifs certifiés en cliquant ici.
la vérification de cette signature repose sur l’utilisation d’un certificat électronique qualifié. Les certificats délivrés par des prestataires de services de certification électronique qualifiés sont présumés qualifiés. L'arrêté du 26 juillet 2004 encadre et définit la reconnaissance de la qualification des prestataires de services de certification électronique.

Si toutes ces conditions sont réunies, la signature électronique est présumé fiable et pourra prétendre en justice à un niveau de reconnaissance équivalent à celui de la signature manuscrite : en cas de contestation, il appartiendra à celui qui met en cause la fiabilité de la signature d'en apporter la preuve.

Lien entre RGS et signature électronique

La création de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) avec le décret n°2009-834 du 7 juillet 2009 et l'élaboration du Référentiel Général de Sécurité (RGS) suite à l'ordonnance n°2005-1516 du 8 décembre 2005 et au décret n°2010-112 du 2 février 2010 est venu encore densifier cette législation.

Le Référentiel Général de Sécurité (RGS) avec ses annexes se présente sous la forme de plusieurs documents et définit un ensemble de règles de sécurité qui s'imposent aux autorités administratives dans la sécurisation de leurs systèmes d’information. Concernant la signature électronique il définit trois niveaux de qualification pour les prestataires de services de certification. Ces niveaux imposent un certain nombre de règles concernant le certificat électronique, les conditions dans lesquelles il est émis ainsi que le dispositif de stockage de la clé privée. Sur ce dernier point :

au niveau ***, le dispositif de création de signature doit être qualifié au niveau renforcé.
au niveau **, le dispositif de création de signature doit être qualifié au minimum au niveau standard.
au niveau *, le dispositif de création de signature doit être qualifié au minimum au niveau élémentaire.

Comme l'explique la Politique de Certification Type Signature (annexe du RGS) au chapitre I.1 :

« La mise en œuvre d’un procédé de signature électronique respectant les exigences définies pour le niveau *** permet de bénéficier de la présomption de fiabilité du procédé de signature telle que prévue dans l’article 1316-4 du code civil, sous réserve que la signature électronique soit dite sécurisée (cf. articles 1 et 2 du décret [SIG]). En effet, les exigences formulées dans cette PC Type à l’égard des prestataires de services de certification électronique et des dispositifs de création de signature pour le niveau *** répondent respectivement aux exigences techniques de l’article 6 (dispositifs sécurisés de création de signature) et de l’article 3 (certificats qualifiés) du décret [SIG] sous réserve du respect des procédures de qualification prévues par l’[ORDONNANCE]. Le décret [SIG] étant la transposition dans le droit français de la directive européenne [DIRSIG], un procédé de signature électronique respectant les exigences définies pour le niveau *** permet de générer des signatures qualifiées au sens de ladite directive. »

Ainsi, les prestataires de services de certification qualifiés RGS au niveau *** pour le service de signature électronique sont de fait prestataires qualifiés au sens de l'arrêté du 26 juillet 2004. Autrement dit, la signature électronique est également présumé fiable cette signature repose sur l’utilisation d’un certificat électronique qualifié RGS ***.

Signature EBICS : Cryptolog propose aux éditeurs de progiciels un module dédié

2011-05-10T12:24:35Z

Paris, le 10 mai 2011 - Avec la fermeture du réseau Transpac (X.25) de France Telecom en septembre prochain, les entreprises françaises vont devoir abandonner les protocoles de télétransmission ETEBAC 3 ou 5 utilisant ce réseau. Ces protocoles permettaient de véhiculer des ordres de virements bancaires, des relevés d’opérations ou des extraits de compte entre les banques et les entreprises.

Cette extinction programmée devrait accélérer l'adoption du protocole EBICS en remplacement d'ETEBAC par les 90 000 entreprises concernées par la migration*. Développé au niveau européen, ce standard retenu par la communauté bancaire française sous l'égide du CFONB (Comité Français d’Organisation et de Normalisation Bancaire) intègre dans sa version EBIC TS (Transport + Signature) la signature électronique. Celle-ci permet de dématérialiser complètement le processus de virement bancaire, en garantissant pour chaque ordre l'identité de l'émetteur ainsi que l'intégrité de l'ordre émis.

Dans le cadre de sa stratégie OEM, Cryptolog, éditeur expert en matière de signature électronique, annonce qu'il dispose de technologies immédiatement opérationnelles permettant aux éditeurs de logiciels d'intégrer très rapidement la signature électronique EBICS au sein de leurs applications.

Ainsi, le module CUTE de Cryptolog permet de générer tous les formats de signature électronique et en particulier les signatures cryptographiques utilisant l'algorithme RSA, comme le spécifie le standard EBICS TS. Un certain nombre d'éditeurs ont déjà choisi ce composant qui s'intègre en marque blanche de manière complétement transparente pour l'utilisateur au sein d'une application métier ou d'un site Web.

« Le protocole EBICS devrait être progressivement intégré par la grande la majorité des progiciels de gestion comptable et financière d'entreprise. Nous sommes heureux d'accompagner cette migration vers une technologie d'avenir permettant de généraliser davantage l'usage de la signature électronique », déclare Gautier Harmel, Directeur Business Development de Cryptolog.

À propos de CUTE

CUTE est un logiciel permettant une intégration simple des fonctionnalités de signature électronique au sein d'une application métier ou d'un site Web. Il permet d'exploiter tous types de certificats matériels ou logiciels et de générer tous les formats de signature électroniques, des plus simples - CMS, XMLDSig et PDF - aux plus avancés que sont XAdES, PAdES, CAdES, XAdES-BES, XAdES-EPES, XAdES-T, etc.

Pour plus d'informations : www.cryptolog.com/cute

* Source : FNTC

La carte d'identité électronique : un formidable outil de signature électronique pour tous

2011-04-26T15:37:10Z

« Les cartes d'identité électroniques arriveront en France en fin d'année », tel était, lundi 11 avril, l'un des gros titres du site latribune.fr, citant le directeur général d'Oberthur Technologies. Le patron du spécialiste des cartes à puces était visiblement bien informé puisque deux jours plus tard, la commission des lois du Sénat publiait une proposition de loi « relative à la protection de l'identité », définissant les modalités de ce que pourrait être la future carte d'identité électronique française. Celle-ci comportera une puce électronique contenant un certain nombre de renseignements sur la personne (nom, prénom, date de naissance, adresse, taille, couleur des yeux, empreintes digitales).

Depuis, tous les médias s'en sont fait l'écho, mettant bien souvent l'accent sur le « caractère biométrique » de cette nouvelle carte d'identité. Peu d'entre eux y ont vu le formidable outil de modernisation des échanges électroniques que représentera cette carte d'identité électronique, attendue déjà depuis plusieurs années par les acteurs de la confiance numérique.

Une carte dotée d'un certificat électronique

En effet, le texte précise que « si son titulaire le souhaite, la carte nationale d'identité contient en outre des données, conservées séparément, lui permettant de s'identifier sur les réseaux de communications électroniques et de mettre en œuvre sa signature électronique ». Autrement dit, cette nouvelle carte d'identité a vocation à embarquer un certificat électronique comme c'est le cas pour la carte d'identité belge : une véritable révolution sur le marché français de de la signature électronique.

Signer électroniquement un document deviendra alors aussi simple que d'utiliser une carte bancaire. Avec à la clé une quantité de nouveaux usages permettant d'accélérer considérablement les échanges commerciaux notamment dans le secteur du e-commerce : il deviendra alors monnaie courante de signer des contrats sur Internet (contrats d'assurance, de location de vacances, d'abonnement téléphonique, etc.) en insérant sa carte d'identité dans un dispositif dédié et connecté à son ordinateur.

Car si le cadre législatif sur la signature électronique existe en France depuis 10 ans et permet déjà toutes ces applications, la relative complexité d'obtention d'un certificat électronique qualifié — c'est-à-dire permettant une signature présumée fiable — est un véritable frein à une démocratisation massive de la signature électronique et à une explosion de ses usages.

Aujourd'hui, pour obtenir un certificat électronique qualifié (sous la forme d'une clé USB cryptographique par exemple), il faut non seulement payer mais surtout justifier de son identité auprès d'une autorité de certification privée. Ce qui consiste à se déplacer physiquement et à présenter ses papiers d'identité lors de la remise du certificat. Une démarche contraignante, envisageable pour un cadre d'entreprise ayant d'importants documents à signer mais peu probable dans le cas d'un particulier.

La carte d'identité électronique sera donc demain le moyen le plus naturel d'obtenir un certificat, qui plus est, émis par une autorité dont la légitimité en matière de gestion des identités est incontestable : l'État.

Une route encore longue

Pour toutes ces raisons, en tant qu'éditeur de logiciels de signature électronique, Cryptolog accueille avec enthousiasme cette proposition de loi, regrettant simplement que la présence de ce certificat sur la carte d'identité ne soit qu'une option à la demande du porteur de carte.

Il faut également raison garder et s'armer de patience avant de voir débarquer ces premières cartes d'identité au sein de nos portefeuilles : la proposition sera discutée le 27 avril au Sénat, avant d'être débattue à l'Assemblée nationale et rien ne dit qu'elle ne suscite de vifs débats. Par ailleurs, le texte mentionne plusieurs décrets, dont on sait que la publication peut parfois se faire attendre pendant plusieurs années. Une fois la loi promulguée, il s'écoulera encore un certain temps, avant qu'au terme d'un renouvellement progressif des cartes d'identité, chaque citoyen puisse jouir de ce nouveau moyen de signer.

]]>

De la signature des fichiers zip : où "s'arrête" et où "commence" la notion de document ?

2011-04-20T13:15:00Z

Selon le site legalis.net, le tribunal administratif de Toulouse vient de rejeter un référé contre le CNRS concernant une procédure de marché public, formulé par la société MC²I. Celle-ci s'était portée candidate à un appel d'offre émis par le CNRS et avait renvoyé sa réponse dématérialisée comme le prévoit le code des marchés publics. Les différents documents formant sa candidature et son offre avaient été introduits dans un fichier compressé au format zip signé électroniquement. Sa candidature a été rejetée au motif que les pièces, dont l'acte d'engagement, n'avaient pas été signées électroniquement. Cette position a été confirmée par le tribunal administratif de Toulouse.

Sans entrer dans les détails spécifiques inhérents à la réglementation de ce type de procédure, on ne peut qu'être surpris par l'un des points ayant motivé la décision du tribunal et évoqué dans l'ordonnance :

« Considérant que si la société MC²I fait valoir qu'elle a signé électroniquement les fichiers « zip » par lesquels elle a transmis les documents relatifs à sa candidature et à son offre, de tels fichiers qui permettent l'archivage et la compression des données ne peuvent être assimilés aux documents en nombre variable qu'ils peuvent contenir, que par suite, cette signature ne peut pallier l'absence de signature électronique des documents figurant dans ces fichiers ; que le refus du Centre national de la recherche scientifique d'admettre ce mode d'authentification des documents n'a pas méconnu les dispositions de l'article 1316-4 du code civil selon lesquelles la signature électronique consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache dès lors que le fichier « zip » doit être considéré comme un acte distinct des documents qu'il contient ; »

En d'autres termes, signer un fichier zip ne serait pas équivalent à signer individuellement chaque élément du fichier zip en question.

Sans se risquer à généraliser la portée de cette décision prise dans un cadre bien spécifique, on peut toutefois s'interroger sur cette interprétation. Celle-ci soulève en effet des questions cruciales en termes de signatures électroniques : qu'est ce qui constitue un acte de signature ? Qu'est ce qui constitue un document ?

Dans le monde numérique, est considéré comme un "fichier" ou un "document" (un document Word, un fichier PDF, un film, etc.) un container souvent lui même constitué d'un ensemble de fragments d'informations. Ainsi, un film peut par exemple regrouper un certain nombre de "documents" plus ou moins indivisibles comme la bande sonore ou le fichier de sous-titres. Un PDF peut en contenir d'autres fichiers notamment des images. Et certains formats de document bureautique (produits par Word ou OpenOffice) sont, eux, constitués d'un ensemble de petits fichiers réunis dans... un zip !

On voit donc là les limites de ce raisonnement et la raison pour laquelle une généralisation de cette interprétation semble difficile. Le résultat aurait-il été le même si la société MC²I avait concaténé l'ensemble des documents contenus dans le zip au sein d'un unique PDF et signé ce dernier ?

La décision du tribunal est, me semble-t-il, regrettable, car elle ouvre la voie à de nombreuses contestations techniques sur la portée d'une signature électronique, notamment dans le cadre de signatures de documents "composites".

Néanmoins, dans l'attente d'une jurisprudence plus fournie autour de cette question et d'une confirmation ou d'une infirmation de cette interprétation dans d'autres contextes plus généraux, une bonne pratique consiste donc à restreindre au maximum les "contours logiques et sémantiques" du fichier à signer afin de lever toute ambiguité d'interprétation possible sur l'acte de signature.

Les produits Cryptolog passent avec succès les tests d'interopérabilité internationaux

2011-04-18T12:45:28Z

Chez Cryptolog, nous sommes extrêmement attachés à garantir pour tous nos produits un niveau élevé de conformité avec les dernières versions des standards, grâce notamment à la participation active de nos experts au sein des groupes de travail européens de normalisation de la signature électronique (Cryptolog est aujourd'hui le rapporteur du standard de signature électronique avancée CAdES). Dans le cadre de cette stratégie, Cryptolog a récemment participé à l'évènement Remote Plugtests© Event on XAdES and CAdES organisé par l'ETSI Plugtest™ Service. Cette entité de l'organisme de normalisation européen a pour mission d'organiser des tests d'interopérabilité comme celui-ci pour de nombreux standards dans le domaine des télécommunications, de l'informatique, de l'audiovisuel et du multimédia.

En l'occurence lors de cet évènement, il s'agissait de tester l'interopérabilité des différentes implémentations des deux principaux standards de signature électronique avancée - CAdES et XAdES - et d'identifier des recommandations permettant de les améliorer. 27 entreprises actives dans le secteur de la signature électronique en provenance de l'Union Européenne, de la Turquie, des États-Unis, du Japon et d'Israël ont pris part à cet évènement. Les tests portaient sur les versions XAdES 1.3.2, CAdES 1.7.4, ainsi que XAdES 1.4.1 et CAdES 1.8.1. L'implication active de Cryptolog dans le développement de ces standards et ainsi que notre participation aux précédents tests d'intéropérabilité organisés les trois dernières années ont permis à nos produits de passer avec succès ces différents tests.

Test de génération de signatures

CUTE, notre produit phare pour la création de signature côté client, a généré des signatures de test XAdES-BES, XAdES-T, CAdES-BES and CAdES-T qui ont été validées avec succès par tous les autres participants. CUTE a également généré des signatures de test XAdES-EPES and CAdES-EPES qui ont été validées par la plupart des participants. Ces tests ont permis d'identifier un certain nombre d'ambiguités dans l'interprétation des standards qui ont causé quelques problèmes d'interopérabilité.

Test de vérification et d'extension de signatures

Serenity, notre produit phare pour la validation et l'extension de signature, a généré des signatures de test aux formats avancées XAdES-C, XAdES-X, XAdES-XL, XAdES-A, CAdES-C, CAdES-X, CAdES-XL, CAdES-A, qui ont été validées avec succès par la plupart des autres participants. Serenity a également validé la grande majorité des signatures produites par les autres participants. Ces tests ont permis de remonter plusieurs points qui peuvent conduire à des problèmes d'interopérabilité sur ces formats d'extension de signatures pour l'archivage et la validation à long terme. Un ensemble de règles a ainsi communément été établies pour améliorer le dégré d'intéropérabilité sur ces problématiques. Serenity supporte déjà ces différentes règles.


ETSI Certificate of Participation	XAdES-CAdES Plugtests 2010 External Final Report.pdf

Cryptolog devient partenaire GS1 France

2011-04-01T14:31:46Z

Paris, le 1er avril 2011 - Cryptolog, éditeur de solutions innovantes pour la signature électronique, l'horodatage et la gestion de la preuve, annonce aujourd'hui qu'il est désormais partenaire de l'organisation de standardisation à but non lucratif GS1 France.

En tant que membre de GS1, organisme de normalisation mondialement connu, GS1 France a pour mission de mettre en œuvre des standards et des solutions visant à accroître l'efficacité et l'interopérabilité des échanges entre les entreprises.

Dans le cadre du déploiement de la dématérialisation fiscale des factures, GS1 France a rédigé un guide de recommandations permettant aux entreprises d'émettre des factures électroniques signées au format PDF conformément à l'article 289-V du Code Général des Impôts. Depuis mai 2010, l'organisation s'est également engagé dans un processus de qualification des solutions compatibles avec ce standard (Qualification Démat PDF signé 289-V).

Cryptolog, éditeur leader en matière de signature électronique a suivi de très près l'élaboration de cette norme : son toolkit CUTE de permet de générer des signatures parfaitement conformes à la spécification de GS1 France et s'intègre très facilement au sein de n'importe quel progiciel, application métier ou service Web. Grâce à l'intégration de CUTE au sein de son outil LogisDématPDF, Edicot est l'un des premiers éditeurs en France à obtenir la qualification GS1 Démat PDF signé 289-V.

« Le travail accompli par GS1 France pour démocratiser l'usage de la facture électronique est remarquable. Nous sommes très heureux de faire désormais partie de la communauté GS1. En devenant partenaire, l'ambition de Cryptolog, expert de la signature électronique, est d'apporter sa pierre à l'édifice en permettant à des éditeurs actifs dans le domaine de la facturation de réussir cette qualification grâce à nos outils », résume Gautier Harmel, directeur Business Developpement de Cryptolog

A propos de CUTE

CUTE est un logiciel permettant une intégration simple des fonctionnalités de signature électronique au sein d'une application métier ou d'un site Web. Il permet de générer tous les formats de signature électroniques, des plus simples - CMS, XMLDSig et PDF - aux plus avancés que sont XAdES, PAdES, CAdES, XAdES-BES, XAdES-EPES, XAdES-T, etc.

Pour plus d'informations : www.cryptolog.com/cute

A propos de GS1 France

GS1 France est une organisation membre de GS1. GS1 France propose des solutions et technologies basées sur les standards "GS1". Ceux-ci sont développés en concertation entre les acteurs mondiaux et nationaux de la chaîne de valeurs, approvisionnement et demande. Ils servent à améliorer la visibilité et l'efficacité de la production à la consommation. GS1 propose également un large éventail de services afin d'aider les entreprises utilisant ses standards et ses technologies. GS1 est présent dans plus de 20 industries et secteurs, y compris le commerce de détail, les produits de grande consommation (PGC), la Santé, le Transport et la Logistique, et la Défense.

Pour plus d'informations : www.GS1.fr

Universign signe !

2011-03-23T09:00:00Z

Dans le cadre de Documation, Cryptolog annonce l'ajout d'une fonctionnalité majeure au sein d'Universign, sa plate-forme d'horodatage en mode Cloud : la signature électronique de documents en ligne.

Paris, le 23 mars 2011 - Cryptolog, éditeur de solutions innovantes pour la signature électronique, l'horodatage et la gestion de la preuve, annonce l'ajout d'une mise à jour stratégique au sein de sa plate-forme de services en ligne à valeur probante www.universign.eu : celle-ci intègre désormais un service de signature électronique de documents en ligne. Les utilisateurs d'Universign vont dès maintenant pouvoir signer électroniquement leurs documents PDF en quelques clics, à l'aide d'une interface Web sécurisée et accessible à tous.

Démocratiser l'usage de la signature électronique

Par analogie avec la signature manuscrite, la signature d'un document électronique consiste à lui associer un signataire pouvant être identifié avec certitude. Depuis le décret du n°2001-272 du 30 mars 2001, la signature électronique peut avoir la même valeur légale qu'une signature manuscrite. Malheureusement, aujourd'hui, dès qu'un document électronique s'apprête à prendre une dimension juridique, il est encore trop souvent imprimé.

En tant que plate-forme universelle simple et facile d'accès, Universign a pour ambition de mettre à la portée du plus grand nombre les outils permettant d'entrer sereinement dans l'ère du numérique à valeur probante : l'inscription sur www.universign.eu, est libre et ouverte à tous, aux entreprises comme aux particuliers. A l'ouverture d'un compte, chaque utilisateur reçoit 6 signatures de bienvenue pour tester gratuitement le service.

Après l'horodatage électronique, la signature de documents !

Depuis son lancement en 2010, Universign, en tant que 1^re autorité d'horodatage qualifiée RGS en France, propose un service d'horodatage électronique à destination du grand public et des professionnels. Les utilisateurs vont désormais pouvoir utiliser la même plate-forme et la même interface pour signer et horodater leurs documents électroniques. De plus, les documents signés par Universign sont systématiquement horodatés, afin de garantir leur antériorité et renforcer leur présomption d'authenticité.

Une fois inscrit, il y a deux manières d'utiliser le service :

l'accès en ligne pour une utilisation manuelle : l'utilisateur se connecte à la plate-forme, dépose ses fichiers dans une interface, et déclenche ensuite au choix, soit un horodatage, soit une signature électronique horodatée;

le mode Web services pour une utilisation automatisée : ce mode permet, à l'aide d'une API documentée dans les principaux langages Web, une intégration transparente à un système d'information client;

De nombreux cas d'applications

La signature électronique peut être utilisée par toutes les fonctions de l'entreprise : comptable, financière, RH, commerciale, marketing, R&D, innovation, création, etc. Quelques exemples :

la signature d'une œuvre littéraire, d'une création graphique ou d'un brevet technique, afin de garantir ou renforcer sa propriété intellectuelle;

la dématérialisation fiscale de bons de commandes ou de factures conformément à l'article 289 V du Code Général des Impôts, pour accélérer les échanges commerciaux;

la signature de bulletins de paie dématérialisés;

l'apposition d'un cachet électronique sur des documents financiers, des bilans, des comptes de résultats afin d'attester leur authenticité;

la signature d'ordres de bourse, de virements bancaires pour garantir l'identité de l'émetteur;

l'apposition d'une signature électronique sur un formulaire d'inscription ou de télé-déclaration, etc.

À propos d'Universign

Universign, 1^re Autorité d'Horodatage qualifiée RGS, propose au travers de sa plate-forme SaaS www.universign.eu des services d'horodatage électronique à destination du grand public et des professionnels. Le service Universign permet d'apposer à tout type de document numérique (fichier texte, audio, vidéo, etc.) une date faisant juridiquement foi sous la forme d'un sceau électronique. Celui-ci garantit qu'un document existe depuis une date donnée et qu'il n'a pas été modifié depuis cette date. Universign est un service de Cryptolog.

Pour plus d'informations : http://www.universign.eu

Contact Presse :

Bertrand Braux
Responsable Communication
Tél : 01 44 08 73 00 - e-mail : press@cryptolog.com

Cryptolog, nominé aux E-Doc Awards de Documation avec Universign

2011-03-18T16:50:05Z

Paris, le 18 mars 2011 - Cryptolog, éditeur de solutions innovantes pour la signature électronique, l'horodatage et la gestion de la preuve, annonce avoir été sélectionné parmi les nominés de la troisième édition des trophées E-Doc Awards, avec Universign son service d'horodatage en ligne qualifié RGS.

Organisé en partenariat avec la FedISA (Fédération de l'ILM, du Stockage et de l'Archivage) dans le cadre du salon Documation, ce concours récompense les meilleurs produits, services ou procédures de gestion du document sur l'ensemble de son cycle de vie.

« Toute l'équipe de Cryptolog est très fière d'avoir été retenue parmi les finalistes de ce prix de référence dans la profession, qui distingue toujours les applications les plus innovantes en matière de dématérialisation des documents. Universign, première autorité d'horodatage qualifiée RGS en France, est une plate-forme encore jeune mais manifestement pleine d'avenir », déclare Gautier Harmel, directeur Business Developpement de Cryptolog

La 17ème édition de Documation ouvre ses portes la semaine prochaine, les mercredi 23 et jeudi mars et jeudi au CNIT de la Défense, à Paris. En tant que leader de la dématérialisation à valeur probante, Cryptolog participera à cet événement incontournable en matière de gestion de documents et d'information, qui accueille chaque année près de 6 500 visiteurs et 150 exposants.

Le salon Documation sera en effet l'occasion pour Cryptolog d'annoncer une évolution majeure de la plate-forme Universign.

En particulier, le jeudi 24 mars à 16h30, Julien Stern, directeur général de Cryptolog, et fondateur d'Universign animera une conférence pour présenter les nouvelles fonctionnalités d'Universign.

Côté produit, les équipes de Cryptolog présenteront la version 4.3 d'Unicity MSS, qui apporte d'importantes nouveautés comme par exemple la gestion des hot folders, une fonctionnalité très attendue, la version 2.6 de Serennity qui intègre les TSL, ainsi que la version 5.2 de CUTE.

Les 23 et 24 mars 2011, rendez-vous sur notre stand à Documation : E02

À propos d'Universign

Universign, 1ère Autorité d'Horodatage qualifiée RGS, propose au travers de sa plate-forme SaaS www.universign.eu des services d'horodatage électronique à destination du grand public et des professionnels. Le service Universign permet d'apposer à tout type de document numérique (fichier texte, audio, vidéo, etc) une date faisant juridiquement foi sous la forme d'un sceau électronique. Celui-ci garantit qu'un document existe depuis une date donnée et qu'il n'a pas été modifié depuis cette date. Universign est un service de Cryptolog.

Pour plus d'information : http://www.universign.eu

À propos de Cryptolog

Cryptolog est un éditeur logiciel à la pointe de l'innovation en matière de signature électronique, d'horodatage et de gestion de la preuve. Cryptolog propose à ses clients des solutions logicielles sur étagères, des services hébergés clés en mains et un conseil d'expert sur la signature électronique. Depuis 2010, il commercialise le service d'horodatage en ligne Universign.

Pour plus d'information : http://www.cryptolog.com

Serenity 2.6 accueille les TSL

2011-03-08T09:15:40Z

Paris, le 08 mars 2011 - Cryptolog a le plaisir d'annoncer la sortie de la version 2.6 de Serenity son serveur de validation avancée de signature électronique. La nouveauté majeure de cette version est l'intégration des Trust-service Status List (TSL) au sein du moteur de validation et de l'interface d'administration de Serenity.

Un format européen normalisé

Imposées par la Commission Européenne aux états membres, les TSL ont pour but de regrouper au sein de fichiers XML publics, normalisés et accessibles en ligne des listes de fournisseurs de services de certification, considérés comme des références fiables par les différents états de l'Union. Il s'agit d'un format standardisé au niveau européen (ETSI TS 102 231) qui permet de référencer toutes les autorités de confiance d'un pays donné, en incluant un certain nombre d'informations techniques et organisationnels. En particulier, elles doivent par exemple indiquer les autorités de certification émettant des certificats qualifiés au sens de la directive sur la signature électronique (e-signature 1999/93/EC).

Par exemple, la TSL belge est téléchargeable ici au format XML et ici au format pdf. Cette TSL belge est elle même référencée dans une TSL européenne qui, contient également les TSL de la plupart des autres pays de l'Union Européenne (Luxembourg, Italie, etc.).

Valider des signatures en utilisant les TSL

Serenity 2.6 permet de valider une signature en utilisant les TSL, c'est-à-dire en vérifiant que le certificat associé à la signature a été émis par une autorité de certification, soit présente dans les TSL paramétrées par l'utilisateur, soit elle même certifiée par une racine de confiance présente dans les TSL paramétrées par l'utilisateur.

Dans l'onglet permettant de définir sa politique de validation, l'utilisateur pourra ainsi lister les TSL à utiliser lors de la validation et définir un certain nombre de filtres sur les informations à vérifier au sein des TSL (statut de l'autorité, type d'autorité, etc).

Définition d'une politique de validation utilisant la TSL européenne et la TSL belge

Un nouvel onglet dans l'interface d'administration

Pour permettre à l'utilisateur de définir les TSL qu'il souhaite utiliser dans sa politique de validation, l'interface d'administration de Serenity 2.6 intègre un nouvel onglet de configuration, comme le montre l'exemple ci-dessous dans lequel la TSL européenne a été paramétrée.

Onglet de configuration des TSL

A propos de Serenity

Serenity est un serveur de validation et d'extension dans le temps de signatures électroniques. Extrêmement souple, il gère tous les principaux formats de signature, et s'adapte aux politiques de validation les plus détaillées. S'installant sur tout système incluant une machine virtuelle java, il permet d'intégrer la validation de la signature dans n'importe quel processus, simple ou complexe.

Pour plus d'information, rendez-vous sur cryptolog.com.

Edicot passe avec succès la qualification GS1 Démat PDF signé 289-V en utilisant les solutions de Cryptolog

2011-02-21T14:52:50Z

Paris, le 21 février 2011 - Cryptolog, éditeur de solutions innovantes pour la signature électronique, l'horodatage et la gestion de la preuve, est heureux d'annoncer qu'il a été choisi par Edicot pour équiper de la fonctionnalité de signature électronique, son module de dématérialisation fiscale des factures LogisDématPDF V2.11.

Pour mettre au point sa solution, Edicot, spécialiste des échanges de données informatisés (EDI), était à la recherche d'un outil de signature électronique, capable de générer des signatures conformes aux recommandations de GS1 France pour l'échange de factures au format PDF, dématérialisées fiscalement (CGI 289-V). « Pour obtenir cette qualification, il faut être capable de produire des signatures XML enveloppantes conforme au standard XAdES-BES et ayant un formatage spécifique », explique Jean-Luc Poupat, PDG d'Edicot.

Pour répondre aux besoins d'Edicot, Cryptolog a proposé son kit de signature CUTE qu'il a simplement suffit de configurer pour coller parfaitement aux recommandations de GS1. CUTE est un logiciel permettant une intégration simple des fonctionnalités de signature électronique au sein d'une application métier ou d'un site Web. Il permet de générer tous les formats de signature électroniques, des plus simples - CMS, XMLDSig et PDF - aux plus avancés que sont XAdES, PAdES, CAdES, XAdES-BES, XAdES-EPES, XAdES-T, etc.

« J'ai été impressionné par la rapidité avec laquelle nous avons intégré la signature électronique au sein de notre solution LogisDématPDF. Cryptolog a su nous proposer un outil à la fois économique et techniquement excellent, ce qui nous a permis d'être l'un des premiers éditeurs en France à obtenir la qualification GS1 Démat PDF signé 289-V », témoigne Jean-Luc Poupat.

La solution LogisDématPDF d'Edicot permet aux entreprises d'émettre des factures dématérialisées, en étant conformes aux règles édictées par le Code Général des Impôts. Elle leur permet d'envoyer une facture sous la forme d'un fichier PDF sécurisé au moyen d'une signature électronique conformément à l'article 289-V du CGI.

Pour garantir l'interopérabilité des solutions de dématérialisation de la facture selon cet article, l'organisme de standardisation GS1 France a édicté un guide de recommandations et s'est engagé dans un processus de qualification des solutions de dématérialisation des factures respectant ce standard. Le toolkit CUTE de Cryptolog permet de générer des signatures parfaitement conformes à la spécification de GS1 France.

« Nous sommes très heureux d'accompagner le succès de l'offre de dématérialisation de factures d'Edicot. Cette collaboration fructueuse a permis de démontrer l'adaptabilité de nos produits et ouvre la voie d'un nouveau segment de marché pour Cryptolog », déclare Gautier Harmel, Directeur Business Developpement de Cryptolog.

Aujourd'hui, LogisDématPDF est utilisé par différentes entreprises telle que SoDeClass. Cette TPE équipée de Sage ligne 100, cherchait à dématérialiser ses 130 factures annuelles. Une semaine seulement après le lancement du projet, la dématérialisation sans aucun double papier, s'effectuait en toute simplicité sur 100 % des factures de la société.

À propos d'Edicot

Edicot est spécialisé dans les échanges de données informatisés, la réalisation de progiciel EDI, la logistique, la traçabilité, les outils de dématérialisation des factures, le développement et l'hébergement de sites internet.
Les solutions développées par Edicot sont interfacées avec les ERP du commerce, les logiciels de gestion commerciale de type : Sage (ligne 30, ligne 100) Gestimum, Mouvex, ... ainsi que de nombreux logiciels propriétaires.

Société de Service et de Distribution de Solutions EDI et de Télécommunication, Edicot prend en charge les projets EDI, intervient dans la définition des projets, dans le choix des logiciels de traitements EDI, ainsi que dans le choix des logiciels de télécommunication. Grâce à une équipe de spécialistes de l'EDI, EDICOT assure également le Conseil, l'Assistance, la Formation et l'Installation des outils préconisés.

Pour plus d'information : http://www.edicot.com

À propos de Cryptolog

Cryptolog est un éditeur logiciel à la pointe de l'innovation en matière de signature électronique, d'horodatage et de gestion de la preuve. Cryptolog propose à ses clients des solutions logicielles sur étagères, des services hébergés clés en mains et un conseil d'expert sur la signature électronique. Depuis 2010, il commercialise le service d'horodatage en ligne Universign.

Pour plus d'information : http://www.cryptolog.com

Corinne David est nommmée Directrice Administration et Finances de Cryptolog

2011-02-03T10:44:16Z

Pour accompagner son développement sur le marché de la signature électronique et de l'horodatage, Cryptolog annonce la nomination de Corinne David à la direction administrative et financière de l'entreprise.

Corinne David rejoint Cryptolog pour apporter son expérience de la finance et de la gestion de PME. Ancienne élève de l'École Normale Supérieure et diplômée de HEC, cette « littéraire qui fait de la finance » a débuté sa carrière dans le secteur bancaire au sein de la BFCE (Banque Française du Commerce Extérieur) en tant qu'auditrice interne.

A partir de 1995, elle devient analyste économique et boursier au sein du Credit National, avant d'occuper le poste de chargée de clientèle chez Natexis, dans lequel elle accompagne ses clients dans la mise en place de financements structurés et internationaux (opérations de LBO, accompagnement de fusions-acquisitions, etc.).

Avant de rejoindre Cryptolog, elle passe ensuite 10 ans à la direction financière de sociétés de production audiovisuelle chez Gemini Films, puis chez Gedeon Programmes, des expériences durant lesquelles elle partage son temps entre la gestion financière de l'entreprise, la recherche de financements privés et publics, et la relation avec les partenaires institutionnels et les banques.

Sa mission principale chez Cryptolog consistera à structurer les proccessus comptables et financiers tout en accompagnant la forte croissance de la société.