Cryptoblog : le blog de la signature électronique

Cryptolog organise un petit déjeuner le 24 mai prochain intitulé: "La fin d'un paradoxe : imprimer un contrat numérique pour le signer - Comment réussir un projet de signature électronique en ligne ?"

2012-05-15T12:40:19Z

Cryptolog organise le jeudi 24 mai de 8h30 a 10h30 en collaboration avec la FedISA, un petit déjeuner sur le thème de la contractualisation en ligne.

Voici le programme de cet événement:

La fin d’un paradoxe : imprimer un contrat numérique pour le signer - Comment réussir un projet de signature électronique en ligne ?

Même si la signature électronique a déjà plus de dix ans d'existence, elle reste aujourd'hui encore méconnue et surtout encore très mal perçue et forcément peu déployée. Pourtant, le marché est de plus en plus en attente de solutions simples et fiables permettant notamment de signer à distance des documents contractuels. En particulier dans le secteur du e-commerce, nous pouvons aujourd'hui pratiquement tout acheter et tout vendre sur Internet, payer en quelques clics, se faire livrer, suivre l'état d'avancement de sa commande... sauf malheureusement signer facilement un contrat.

]]>
AGENDA

1. Introduction générale à la contractualisation en ligne, Jean-Marc Rietsch, Président de FedISA.

Les enjeux de la signature électronique sont extrêmement importants dans la mesure où il s’agit en particulier de donner une véritable valeur légale à un document numérique. Au-delà de ce seul cadre légal et réglementaire, un certain nombre de contraintes techniques et organisationnelles sont à prendre en considération et doivent absolument être respectées pour prétendre disposer d’un système véritablement efficient. En particulier sera abordée la difficulté rencontrée pour authentifier une personne lorsqu’il s’agit d’une signature à distance.

2. Des conseils concrets pour un projet de contractualisation en ligne - Julien Stern, Président de Cryptolog

Forte de plusieurs années d’expertise dans ce domaine, Cryptolog fournira tous les conseils pour mettre en œuvre une stratégie de contractualisation électronique. Cryptolog abordera les usages de la signature de contrats en ligne, les bénéfices constatés et les garanties apportées par sa solution, Universign.
Une démonstration de la solution Universign aura lieu afin de découvrir les différentes manières de l’utiliser (sur un site web, par email, sur tablettes...)

3. Retour d’expérience Sykio - Didier Humbert, Directeur Associé Sykio

L’analyse de ce cas client démontrera comment Sykio, éditeur du logiciel en ligne Ogust pour les sociétés de services à la personne et services aux entreprises, a pu très rapidement intégrer des fonctionnalités de contractualisation électronique au sein de son application SaaS afin de permettre à ses clients d’améliorer leur taux de transformation client.

Intervenants
• Julien STERN, Président de Cryptolog
• Jean Marc RIETSCH, Président de FedISA, expert en dématique® et archivage électronique,
• Didier Humbert, Directeur Associé Sykio

Chaque participant à la conférence se verra offrir un pack de 25 signatures électroniques Universign, d’une valeur de 49 euros.

Si vous souhaitez participer à ce petit déjeuner, vous pouvez vous inscrire directement sur le site de la FedISA

INFORMATIONS PRATIQUES

PETIT DEJEUNER
Jeudi 24 mai 2012 de 8h30 a 10h30

Salons de la Maison des Arts et Métiers
9 bis, avenue d’Iéna - 75116 Paris
Accès
Métro : Iéna
Parking public Kléber

Cryptolog
www.cryptolog.com

Pour nous contacter:
sales@cryptolog.com
Tél: 01.44.08.73.00

Universign signe la fin de la signature manuscrite

2012-04-26T12:50:06Z

N’imprimez plus pour signer un document. Chargez le sur Universign, invitez les signataires par e-mail et envoyez ! Vous recevrez le contrat signé dans votre messagerie dès que tous vos interlocuteurs l’auront signé. Collecter des signatures n'a jamais été aussi simple...

Paris, le 26 avril 2012 - Cryptolog, éditeur de solutions innovantes pour la signature électronique, l’horodatage et la gestion des identités, est heureux d'annoncer la version 4 de sa plate-forme en ligne www.universign.eu. Cette refonte complète d’Universign ambitionne de mettre fin à plusieurs siècles de signature manuscrite : en tant que première plate-forme en France ouverte à la fois aux particuliers et aux entreprises, Universign met à la disposition de tous des fonctionnalités uniques et simplissimes de signature électronique. Les utilisateurs du site pourront en effet faire signer électroniquement tous types de documents à leurs correspondants et ajouter un bouton « Signer » à leur site Internet, comme on ajoute un service de paiement en ligne.

]]>

Faire signer des documents en ligne

Universign vous permet de gagner du temps et de faire signer des documents à tous vos interlocuteurs comme par exemple :

des bons de commande et des devis
des contrats de locations (voitures, appartements, etc.)
des contrats commerciaux, de partenariats, etc.
des bulletins d'adhésions, des PV d'assemblées générales, etc.
des accords de confidentialité
et bien d'autres documents !

La signature manuscrite d'un contrat de vente par deux parties nécessite souvent un aller-retour de quelques jours du contrat par La Poste. A titre de comparaison, Universign permet à plusieurs individus répartis aux quatre coins du monde de signer le même document en quelques minutes.

Trois étapes suffisent pour faire signer un document en ligne avec Universign. En quelques clics, vous faites votre demande de signature et suivez l’évolution de votre collecte :

1/ Charger un document PDF

2/ Saisir les signataires

3/ Indiquer sur le document où les signataires doivent apposer une signature visuelle

4/ Envoyer !

Chaque signataire, à tour de rôle, est invité par e-mail à venir signer le document sur la plate-forme Universign. Une fois signé par toutes les parties, le document est envoyé à chaque signataire par e-mail : ils peuvent alors constater la validité des signatures électroniques dans Adobe Reader.

Ajouter un bouton « Signer » à son site Internet pour les besoins du e-commerce

Avec cette nouvelle version d’Universign, ajouter un bouton « Signer » à un site Internet est désormais aussi simple qu’ajouter un service de paiement en ligne et à peine plus long qu’ajouter un bouton Facebook. Grâce à une API documentée, les clients d’Universign peuvent intégrer en quelques heures la signature électronique à leur site Internet et convertir immédiatement les visiteurs de leur site en leur faisant signer tous types de documents au format PDF : contrats, bons de commande, bulletins d'adhésion, autorisations diverses, etc.

« Que ce soit en BtoB ou en BtoC, les besoins et les attentes sont énormes. Ne serait-ce que dans le secteur du e-commerce, on peut aujourd'hui tout acheter et tout vendre sur Internet, payer en quelques clics, se faire livrer, suivre l'état d'avancement de sa commande... sauf malheureusement signer un contrat ! À l'heure actuelle, la signature électronique est indubitablement l'élément manquant du e-commerce et du m-commerce. Et notre plate-forme vient contribuer à combler ce manque », résume Julien Stern, CEO et co-fondateur de Cryptolog

Disponibilité :

Cette offre est disponible dès aujourd'hui sur www.universign.eu. À l'ouverture d'un compte, chaque utilisateur reçoit 10 signatures de bienvenue pour tester gratuitement le service.

À propos de la signature électronique

La signature électronique permet de garantir l’intégrité d’un document signé, l’identité du signataire et la non répudiation par le signataire du document signé. La signature électronique est, pour un document numérique, l'équivalent de la signature manuscrite : en vertu du décret n°2001-272 du 30 mars 2001, elle peut avoir la même valeur légale qu'une signature manuscrite.

À propos de Cryptolog

Cryptolog est un éditeur logiciel à la pointe de l'innovation en matière de signature électronique, d'horodatage et de gestion des identités. Avec sa plate-forme Cloud de signature électronique Universign, Cryptolog poursuit un objectif de rupture avec les usages du marché afin de mettre la signature électronique à la portée de tous.

Pour plus d'information : www.cryptolog.com - www.universign.eu

Vos contacts presse :

LEWIS PR

Karine Monsallier et Anne-Hélène Piet

E-mails : karinem@lewispr.com/anne-helene.piet@lewispr.com

cryptolog@lewispr.com

Téléphone : +33 (0)1 49 70 90 81

Labellisation de la sécurité : quelle différence entre certification et qualification ?

2012-03-05T08:57:56Z

Paris, le 5 mars 2012 - Lorsque l'on souhaite acquérir ou utiliser un produit sensible en matière de sécurité (système d'exploitation, outil de signature électronique, carte à puce, PKI, etc.), l'une des premières questions que l'on se pose est invariablement la suivante : comment évaluer son niveau de sécurité ? Et comment savoir si cette sécurité est suffisante pour répondre à ses besoins ?

Pour répondre à ces interrogations, il est important de pouvoir se référer à des labels délivrés par des organismes officiels offrant une évaluation indépendante et impartiale des produits et services que l'on souhaite utiliser.

En France, l'Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), autorité nationale en matière de sécurité des systèmes d’information, est chargée d’organiser la délivrance, et de décerner, au nom du Premier ministre, des labels de sécurité à des produits et à des prestataires de services de confiance.

]]> À l'heure actuelle, l'ANSSI reconnaît et délivre deux grandes catégories de labels :

la certification des produits ;
la qualification des produits et des services.

Mais quelle est la différence entre les deux ? Voici quelques éléments de réponse pour les non-spécialistes de la sécurité, accompagnés d'une description des principales certifications et qualifications délivrées par l'ANSSI aujourd'hui.

De la « certification et qualification des portes »

Afin de mieux cerner la différence entre ces deux labellisations, prenons en préambule pour les besoins de la compréhension, un exemple volontairement simpliste et purement imaginaire dans le domaine de la sécurité physique des bâtiments : autorisons-nous à envisager ce que seraient la certification et qualification d’une porte « au sens de la sécurité informatique ».

Les portes n'ont pas toutes le même niveau de sécurité selon leurs caractéristiques et en particulier selon leur nombre de points de fermetures : il existe des portes à un point, deux points, trois points, cinq points, etc.

La « certification d'une porte » au sens de la sécurité informatique consisterait à faire un document officiel mentionnant son nombre de points de fermetures (cible de sécurité) et par la suite à faire vérifier par un organisme indépendant que la porte a bien le nombre de points de fermeture tel qu’indiqué dans ce document. On peut donc imaginer pouvoir faire certifier toutes les gammes de portes (un, deux, trois, cinq points, etc.).

En revanche, la « qualification d'une porte » ne serait par exemple définie dans un référentiel officiel que pour les portes ayant au moins trois points de fermetures. Le processus de qualification consisterait à faire vérifier par un organisme indépendant officiel que la porte a bien trois points ou plus.

En résumé, dans cet exemple la certification consiste « à faire certifier que la porte a bien le nombre de points de fermeture qu’elle affiche » et la qualification consiste « à faire certifier que la porte a au moins trois points de fermeture ». On l'aura compris : les deux notions sont proches mais pas équivalentes du point de vue de la sécurité.

La certification des produits

Principe général

La certification d'un produit s'effectue en deux temps :

La première étape consiste à définir pour un « périmètre produit » un ensemble d'objectifs de sécurité et à y associer un certain nombre de règles et de prescriptions de sécurité permettant de les atteindre. Tous ces éléments sont consignés dans un document baptisé « cible de sécurité » selon un formalisme spécifique. Ce document permet d'évaluer et de positionner le niveau de sécurité du produit et de s'accorder sur ce qui est effectivement certifié (la puce, ou le lecteur et la puce, etc.). L'éditeur ou fournisseur est relativement libre dans la rédaction de la cible de sécurité et choisit de placer le curseur où il le souhaite en termes de sécurité et de périmètre produit. Dire qu'un produit est certifié n'a donc pas beaucoup de sens si on ne précise pas le niveau de sécurité, ni les composants du produit impliqués dans la certification.

La seconde étape consiste tout bonnement à faire vérifier par un laboratoire indépendant et accrédité que le produit respecte bien la cible de sécurité établie. C'est la procédure d'évaluation à proprement parler.

La certification Critères Communs

La principale certification de produits délivrée par l'ANSSI est la certification Critères Communs (CC - Common Criteria en anglais). Les Critères Communs sont une norme d’évaluation de la sécurité des produits internationalement reconnue (la liste des pays reconnaissant les CC se trouve ici). Cette norme couvre l'ensemble des phases du développement d’un produit et notamment le design son architecture, la robustesse des algorithmes implémentés, son environnement de développement, la façon dont il est remis à l'utilisateur final, etc.

La sécurité est envisagée de façon globale. Les CC définissent 7 niveaux de sécurité croissants, notés de EAL1 à EAL7, chacun des niveaux apportant des contraintes supplémentaires en matière de sécurité. Afin de prouver qu'un produit respecte bien les recommandations décrites dans la norme, un processus de certification est mis en place. En France, ce processus de certification est sous le contrôle de l'ANSSI qui mandate des laboratoires spécialisés indépendants, appelés Centres d’Evaluation de la Sécurité des Technologies de l’Information (CESTI), pour évaluer le produit vis-à-vis de la norme CC.

Les laboratoires doivent, d'une part, être accrédités par le comité français d’accréditation (COFRAC) selon la norme NF EN ISO/CEI 17025 et doivent être indépendants de la société qui a conçue le produit, afin d'apporter au client la confirmation impartiale que le produit répond bien aux critères énoncés dans la cible et dans la norme.

Les certificats émis par l’ANSSI par délégation du Premier ministre attestent que les produits certifiés sont conformes à une spécification technique appelée cible de sécurité, qui est une spécification définissant l'ensemble des mécanismes de sécurité mis en place pour le produit. Le travail du CESTI va être d'évaluer que le produit est bien conforme à cette spécification. C'est le document de référence, véritable fil d'Ariane de l'évaluation.

Les critères communs n'imposent pas de fonctionnalités spécifiques à inclure dans la cible. Comme expliqué précédemment, chacun est libre de définir le contenu de sa cible de sécurité tant qu'il respecte les règles définies dans la norme. Cependant, afin d'évaluer certaines "familles" de produits - par exemple les dispositifs de signature électronique, les cartes à puces, les applications d'horodatage - sur des critères similaires et sur des fonctionnalités standardisés, il existe des "cibles type" appelés profils de protection qui ont été validés par l'ANSSI ou l'un des autres organismes internationaux (le BSI par exemple, qui est en Allemagne l’équivalent de l’ANSSI). La liste des profils de protection est disponible sur le site de l'ANSSI. Un profil de protection définit un ensemble de fonctionnalités de sécurité communes à chaque famille de produit (par exemple, pour un dispositif de signature électronique, l’une d’entre elles consistera à exiger qu'une authentification soit réalisée avant de signer). Il est alors possible de définir une cible en conformité avec un profil de protection donné et cette conformité sera évaluée également lors du processus d'évaluation.

Une fois l'ensemble des tâches d'évaluation passé avec succès, le CESTI transmet à l'ANSSI un dossier contenant l'ensemble des résultats et des travaux d'évaluation. Sur la base de ce dossier, l'ANSSI délivrera un certificat qui atteste, au jour de sa signature, de la conformité d’une version précise d’un produit ou d’un système aux exigences listées dans sa cible de sécurité. Un certificat doit être renouvelé au cours du temps ou selon l'avancement de l'état de l'art en matière de sécurité.

La qualification des produits et services

Principe général

La qualification des produits et des services s’effectue également en deux étapes :

La première consiste à choisir un référentiel de sécurité, dont le but est de fixer le niveau de sécurité à atteindre pour obtenir la qualification en question. Un référentiel est un ensemble de règles et de bonnes pratiques de sécurité. Contrairement à la certification, la qualification ne permet pas d’ajuster ce référentiel et fixe toutes les exigences de sécurité. Autrement dit, dans un processus de qualification, l'éditeur ou fournisseur n'est pas libre de positionner le curseur où il le souhaite en matière de sécurité ou de périmètre du produit. Il doit se conformer à un certain nombre d'obligations de sécurité bien spécifiées pour obtenir la qualification. Parmi ces exigences, figure bien souvent l'obtention d'une certification.

La seconde consiste à faire vérifier par un auditeur indépendant et accrédité que le produit respecte bien le référentiel associé à la qualification. C'est la procédure d'évaluation à proprement parler.

La qualification d'un produit

La qualification de produits de sécurité vient en complément de la certification Critères Communs. Légalement, elle fait l’objet du chapitre III du décret n° 2010-112 du 2 février 2010 pris pour l’application des articles 9, 10 et 12 de l’ordonnance n° 20005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les autorités administratives et les usagers. Une qualification permet d’attester de la conformité d’un produit de sécurité au RGS (Référentiel Général de Sécurité). Ce document et ses nombreuses annexes définissent un ensemble de règles de sécurité qui s'imposent aux administrations dans la sécurisation de leurs systèmes d'information.

La qualification prévoit trois niveaux de qualification, un niveau élémentaire, un niveau standard et un niveau renforcé. Là encore, c'est l'ANSSI qui suit les dossiers de qualification et les attestations de qualification. La procédure au niveau standard et au niveau renforcé s'appuie sur les critères communs, cependant, l'ANSSI procède à des contrôles complémentaires : d'une part, elle valide elle-même la cible de sécurité au regard des besoins de l'administration. D’autre part, elle réalise ou fait réaliser des tests sur les algorithmes cryptographiques et leur implémentation. L'ensemble des algorithmes décrits dans la cible et rendant un service de sécurité fera l'objet d'une analyse et de tests (c’est-à-dire d'attaques), afin de s'assurer de leur robustesse.

La qualification d'un service selon le RGS

En plus de la qualification de produit, l'ANSSI prend en considération la qualification de services de sécurité et de confiance : lorsque l'on opère un service, il n'est pas suffisant d'utiliser du matériel certifié ou même qualifié, il est également nécessaire de l'opérer dans de bonnes conditions de sécurité. De fait, la qualification des prestataires de services de confiance fait l’objet du chapitre IV du décret n° 2010-112 du 2 février 2010 pris pour l’application des articles 9, 10 et 12 de l’ordonnance n° 20005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les autorités administratives et les usagers. Elle permet d’attester de la conformité d’un prestataire de services de confiance aux règles du RGS qui lui sont applicables. La qualification prévoit trois niveaux de sécurité (*), (**) ou (***). Une fois le niveau déterminé, le prestataire de service est alors audité par un organisme accrédité. À ce jour, seul le LSTI a reçu cette accréditation. Le décret précité (article 4) prévoit que le recours à des prestataires de services de confiance qualifiés soit la règle générale pour les administrations, les exceptions devant être justifiées.

Les qualifications en matière de preuve électronique

Par ailleurs, il existe deux autres schémas de qualification de service spécifiques au domaine de la preuve électronique :

L’un est relatif aux prestataires de services de certification électronique au sens du décret n° 2001-272 (dit « signature électronique ») et décrit dans l’arrêté du 26 juillet 2004. Cet arrêté encadre et définit la reconnaissance de la qualification des prestataires de services de certification électronique aptes à délivrer des certificats qualifiés permettant une signature électronique présumée fiable. Pour plus d’information, je vous invite à consulter ce billet.

L’autre est relatif aux prestataires de services d’horodatage électronique au sens du décret n° 2011-434 (dit « horodatage électronique ») et décrit dans l’arrêté du 20 avril 2011. Cet arrêté encadre et définit la reconnaissance de la qualification des prestataires de services d’horodatage électronique aptes à mettre en œuvre un procédé d’horodatage présumé fiable. Pour plus d’information, je vous invite à consulter ce billet.

Cryptolog change et cela se voit !

2012-02-29T15:50:24Z

Paris, le 29 février 2012 - Afin de consolider et poursuivre son développement, Cryptolog a le plaisir de dévoiler sa nouvelle identité visuelle et achève aujourd'hui une refonte globale de son site Internet www.cryptolog.com.

Un nouveau logo

Pilier de cette nouvelle identité visuelle, le nouveau logo de Cryptolog marque le début d'une nouvelle ère pour Cryptolog. Plus moderne, plus rond, avec des couleurs plus chaudes, ce design illustre l'évolution majeure que connaît actuellement l'éditeur désormais incontournable sur le marché de la preuve électronique.

]]>

À la fois tout en courbes et épuré, ce nouveau logo revitalisé traduit l'engagement de Cryptolog envers l’innovation, la qualité, le développement agile, et la satisfaction permanente du besoin client. « Avec cette nouvelle identité visuelle, je suis très heureuse d'envoyer aujourd'hui un signal fort en direction de notre écosystème et de nos clients : cette nouvelle image est désormais en phase avec ce que nous sommes aujourd'hui, à savoir une société innovante, fiable,structurée et leader sur son marché », déclare Cécile Daragnès, Responsable Marketing de Cryptolog.

Un nouveau site Web

Tirant parti de cette nouvelle charte graphique, le site a été profondément repensé afin d'adresser de façon simple et esthétique nos différentes communautés de clients et d'utilisateurs.

La partie institutionnelle du site présente un design délibérément sobre faisant la part belle au contenu (notamment dans la section « Solutions »). Elle offre également une navigation « à tiroir » permettant aux internautes d'appréhender nos produits et solutions selon leur degré de connaissance de la signature électronique.

« La partie Mon Compte crée un canal de communication direct avec nos clients et futurs clients : via cet outil, ils ont ainsi la possibilité de se créer un compte gratuitement, de visualiser leurs licences, de télécharger de nouveaux produits, et d'accéder à notre site de support. Ce site est aujourd'hui le reflet de notre stratégie, de notre proposition de valeur et des applications concrètes que permettent tous nos produits », explique Cécile Daragnès.

À propos de Cryptolog

Cryptolog est un éditeur logiciel à la pointe de l'innovation en matière de signature électronique, d'horodatage et de gestion de la preuve. Cryptolog propose à ses clients des solutions logicielles sur étagères, des services hébergés clés en main et un conseil d'expert sur la signature électronique. Depuis 2010, il commercialise le service d'horodatage et de signature électronique en ligne Universign.

Cryptolog participe au salon Documation

2012-02-24T17:58:10Z

La 18ième édition de Documation ouvrira ses portes les 21 et 22 mars 2012 au CNIT de la Défense, à Paris. Documation, événement majeur en matière de gestion de documents et d'information, accueille chaque année près de 6 400 visiteurs pour 2 jours de rencontres professionnelles, de conférences, et d’ateliers.

À cette occasion, Cryptolog a le plaisir de vous donner rendez-vous sur son stand H18.

]]> Documation sera en effet l'occasion pour vous de découvrir les dernières évolutions l’API de signature électronique Universign. L'API Universign vous permet d’intégrer en quelques heures la signature électronique à votre site Internet et de convertir les visiteurs de votre site en clients, en leur faisant signer des contrats en ligne. Elle vous offre la possibilité de faire de votre site Internet ou de votre Extranet un véritable outil de contractualisation électronique. Par ailleurs, nous dévoilerons en exclusivité les prochaines fonctionnalités que vous pourrez bientôt utiliser sur Universign.

Alors n’hésitez plus ! Quelle que soit votre connaissance de la signature électronique, venez rencontrer nos experts, assister à des démonstrations et découvrir tous nos produits de signature électronique, d'horodatage et de gestion de preuve.

Venez nombreux !

Cryptolog réalise une croissance moyenne de 35 % par an depuis quatre ans

2012-02-07T09:00:00Z

Cryptolog clôture très positivement l'année 2011 avec un chiffre d'affaires atteignant 1,2 million d'euros en hausse de 44% par rapport à 2010.

Paris, le 06 février 2012 - Cryptolog, éditeur de solutions innovantes pour la signature électronique, l'horodatage et la gestion de la preuve, est heureux d'annoncer une nouvelle année de forte croissance pour son exercice fiscal 2011 clos le 31 décembre dernier. Le chiffre d'affaires progresse de 44% s'établissant à 1,2 millions d'euros. L'ensemble des revenus d'exploitation (y compris subventions) atteint 1,4 millions d'euros en croissance de plus de 32%.

Sur un marché excessivement concurrentiel, Cryptolog a donc su faire la différence et signer d'importantes références dans le secteur de l'édition logicielle, de la banque, des assurances et des services. Son expertise, sa réactivité, sa compréhension des besoins clients ont déterminantes pour lui permettre de relever le défi de connaître sur les quatre dernières années une croissance annuelle moyenne de 35%.

]]> « Cette excellente performance, dans un contexte de marché marqué par une crise économique mondiale, confirme la pertinence de nos choix stratégiques. 2011 a été une année clé dans notre développement et nous a permis de réunir les fondamentaux indispensables pour mener à bien notre croissance », analyse Julien Stern, directeur général et cofondateur de Cryptolog.

2011 marque en effet un virage stratégique pour Cryptolog qui a résolument orienté sa stratégie vers la fourniture de produits et service en OEM (Original Equipment Manufacturer) auprès des éditeurs logiciels, des opérateurs de services SaaS et des intégrateurs IT. L'offre Cryptolog leur permet aujourd'hui d'ajouter à n'importe quel site Web ou application logicielle une large gamme de fonctionnalités de preuve électronique en toute conformité avec le cadre légal en vigueur.

La croissance 2011 s'est également accompagnée d'investissements techniques et structurels importants ainsi que d'une campagne sélective de recrutement d’experts techniques, de professionnels du marketing et de commerciaux afin de s'imposer durablement au niveau national.

Cryptolog dispose donc des ressources techniques et humaines nécessaires pour continuer son plan de développement. L’un des axes de 2012 sera notamment de lancer de nouvelles offres de service au sein de la plate-forme SaaS Universign afin d’adresser encore davantage les éditeurs de site Internet et le marché des petites et moyennes entreprises.

« En 2012, nous allons poursuivre sur cette voie et proposer des solutions toujours plus simples, innovantes et immersives. Nous poursuivons un objectif de rupture avec les usages du marché afin de mettre la signature électronique à la portée du plus grand nombre », déclare Julien Stern.

À propos de Cryptolog

Cryptolog labellisée Entreprise Innovante des Pôles au sein de Systematic

2011-11-03T10:07:19Z

Paris, le 3 novembre 2011 - Cryptolog, éditeur de référence pour la signature électronique, l'horodatage et la gestion de la preuve, est heureux d'annoncer qu'il vient d'être labellisé Entreprise Innovante du Pôle Systematic Paris-Région.

Le label « EIP - Entreprise Innovante des Pôles » a été lancé le 3 juin 2010 sous l’égide du Ministère de l’Économie, de l’Industrie et de l’Emploi. Il a pour objectif d’aider les entreprises innovantes à potentiel, fortement impliquées dans les projets de R&D des pôles de compétitivité, à mobiliser les investisseurs privés dans le financement de leur croissance. Agissant comme un effet de levier du financement privé, le Label permet d’accroître la visibilité puis l’audience des TPE et PME les plus prometteuses dans l’écosystème des pôles de compétitivité auprès des « business angels » et des fonds d’investissement.

« Depuis sa création, Cryptolog consacre à la R&D une part très substantielle de son chiffre d'affaires. Nous sommes vraiment très heureux d'avoir obtenu ce label qui vient récompenser nos efforts et conforter cette politique d'innovation », déclare Corinne David, directrice Administration et Finances de Cryptolog.

Le Label EIP est un un label national initié par le club des 18 pôles mondiaux, en partenariat avec l’AFIC (Association Française des Investisseurs en Capital), France Angels, Retis et OSEO, et soutenue par la Caisse des Dépôts et Consignations et le Ministère de l’Économie, de l’Industrie et de l’Emploi.

Un programme d'accompagnement

Outre l'accompagnement à la levée de fonds, le label EIP propose aux entreprises sélectionnées un programme d’actions visant à créer les conditions optimales à leur développement et à leur croissance.

C'est dans ce cadre que Cryptolog participera le jeudi 10 novembre 2011 à la journée Ambition PME animée par le pôle Systematic sous le haut patronage d’Éric Besson, Ministre chargé de l’Industrie, de l’Énergie et de l’Économie numérique.

Si vous êtes à la recherche d'un emploi, venez nous rencontrer à cette occasion pour une séance de « job dating » de 9h à 13h30 au Campus des Cordeliers (21 rue de l'École-de-Médecine, Paris 6e, Métro Odéon).

Renseignements et inscriptions sur le site de Systematic.

]]>

Signature électronique de contrats en ligne : découvrez le nouveau livre blanc de Cryptolog !

2011-10-06T09:53:59Z

« Comment réussir un projet de contractualisation électronique ? Quelle stratégie adopter en fonction de quel contexte ? Quels sont les critères et les contraintes juridiques à prendre en compte ? Quelles sont les solutions à mettre en oeuvre ? » Autant de questions abordées dans le nouveau livre blanc de Cryptolog.

Paris, le 06 octobre 2011 - Le marché est aujourd'hui profondément en attente de mécanismes simples et fiables permettant de signer à distance des documents contractuels. Que ce soit en BtoB ou en BtoC, les besoins et les attentes liés à la contractualisation en ligne sont énormes : accélération des processus commerciaux, meilleure conversion client, réduction des déplacements, des impressions et des envois postaux, dématérialisation des documents, simplification des opérations...

Fort de ce constat, Cryptolog a le plaisir d'annoncer la publication de son nouveau livre blanc intitulé « Contractualisation en ligne : réussir son projet de signature électronique ».

Fruit de l'expérience unique de Cryptolog en matière de signature électronique depuis plus de dix ans, ce livre blanc a pour ambition d'être un véritable guide de mise en oeuvre pour tous ceux qui souhaitent découvrir et déployer la signature électronique dans leur environnement professionnel.

Destiné aux non-spécialistes, ce document livre, dans un style accessible à tous, l'ensemble des clés de compréhension de la contractualisation électronique, depuis le principe de base de la signature cryptographique jusqu'aux différents scénarios de déploiement en passant par le cadre légal en vigueur.

Il est également l'aboutissement d'une démarche éditoriale authentique, exclusivement focalisée sur la thématique spécifique de la signature électronique contractuelle et dans laquelle aucune zone d'ombre n'a été ignorée.

Pour l'obtenir, contactez-nous à l'adresse sales@cryptolog.com ou bien téléchargez-le gratuitement en cliquant sur le lien ci-dessous :

Et n'hésitez pas à nous faire part de vos remarques, suggestions et commentaires...

Bonne lecture et bonne signature !

Cryptolog partenaire de l'Observatoire GouvInfo 2012 de la gouvernance de l’information.

2011-08-01T09:41:38Z

Cryptolog a décidé d'être partenaire de l'Observatoire de la Gouvernance de l'Information, lancé fin juillet par 3org Conseil et dirigé par Jean-Pascal Perrein. Visitez www.gouvinfo.org pour plus d'informations et pour vous inscrire dès à présent au questionnaire qui sera officiellement lancé début septembre.

Aujourd'hui, l'information est omniprésente dans notre environnement personnel et professionnel. Elle circule à travers de multiples outils (réseaux sociaux, mobiles, logiciels d'entreprise, emails, sites web). Elle adopte différentes formes (papier, document numérique, flux de données, images, vidéo, sons)... et enfin, elle est dynamique, autrement dit elle se transforme, est accessible ou perdue, critique, coûteuse, peut être dangereuse ...

L'information est le fluide vital de nos organisations. Doit-on maîtriser cette information, comment, qui doit le faire, et jusqu'à quel point ?

Pour apporter des éléments de réponse à ces questions d'actualité, un collectif d'organisations dont Cryptolog fait partie a décidé de se réunir pour interroger l'ensemble des entreprises sur ce sujet.

Si vous êtes intéressé pour participer à cet observatoire en apportant votre vision, inscrivez-vous et en retour, vous pourrez bénéficier de la synthèse globale.

Rendez-vous sur http://www.gouvinfo.org

Cryptolog annonce la sortie de CUTE 5.3

2011-06-27T13:42:36Z

Paris, le 27 juin 2011 - Cryptolog a le plaisir d'annoncer la sortie de la version 5.3 de CUTE son toolkit de signature permettant l'ajout de la signature électronique au sein d'une application métier ou d'un site Web. Commercialisé en mode OEM à destination des éditeurs et fournisseurs de service SaaS, le Cryptolog Universal Token Environnement s'intègre en quelques heures au sein de n'importe quel site Web ou logiciel client de manière complètement transparente pour l'utilisateur final. Cette nouvelle version de CUTE apporte d'importantes fonctionnalités pour répondre aux besoins croissants du marché de la signature électronique :

Support du PKCS#10 dans le module PKI : c'est l'une des principales évolutions de cette version. Le standard PKCS#10 est un standard de requête permettant de demander la signature d'une clé publique auprès d'une autorité de certification. Rappelons que le module PKI de CUTE permet de générer à la volée des paires de clés publiques/privés. Grâce à cette nouvelle fonctionnalité, il sera désormais possible lors de la génération d'une paire de clés de demander la génération d'un certificat auprès d'une autorité de certification.

Développement d'un framework de validation pour le format PAdES : il est désormais possible de configurer des listes de révocation de certificats (CRL) et des serveurs OCSP lors de l'intégration de CUTE. Avant de déclencher une signature avec un certificat donné, CUTE sera désormais en mesure d'aller interroger ces entités pour déceler si celui-ci n'a pas été révoqué.

Support du magasin de certificats Firefox sous Windows : auparavant le magasin de certificat du navigateur ne pouvait être branché que sous Linux.

Développement d'un framework de pré-traitement de PDF : avant la signature d'un PDF, il sera désormais possible d'aller modifier le document pour lui ajouter des pages, des informations, etc

Référencement de l'image du champ de signature par URL : l'image à insérer dans un PDF lors d'une signature pourra désormais être spécifié par une URL, ce qui simplifie l'intégration Web.

Filtrage des certificats auto-signés : le système de filtrages avancé de certificats de CUTE permet désormais de détecter les certificat auto-générés. Par exemple, grâce à cette fonctionnalité il sera désormais beaucoup simple d'exclure les certificats à usage unique lors d'une requête de signature.

Nouveaux formats de signature : support du PAdES-EPES, mise à niveau CAdES v1.8.1 et XAdES v1.4.1

La version 5.3 de CUTE est disponible sans surcoût pour tous les clients disposant d'un contrat de maintenance, qui pourront le télécharger sur le site projects.cryptolog.com.

A propos de CUTE

CUTE est un kit logiciel permettant une intégration simple des fonctionnalités de signature électronique au sein d'une application métier ou d'un site Web. Il est compatible avec tous les certificats et permet de générer tous les formats de signature électroniques, des plus simples - CMS, XMLDSig et PDF - aux plus avancés que sont XAdES, PAdES, CAdES, XAdES-BES, XAdES-EPES, XAdES-T, etc.

Quelle est la valeur juridique d'une signature électronique ?

2011-06-01T14:28:04Z

La signature électronique a déjà plus de 10 ans d'existence. C'est beaucoup... et peu à la fois, notamment au regard de plusieurs centaines d'années de signature manuscrite ! Ainsi, elle reste aujourd'hui encore relativement méconnue non seulement du grand public mais aussi des professionnels. En particulier, on nous pose souvent cette question : quelle est la valeur juridique d'une signature électronique ? Selon les cas, la réponse peut différer. Il ne nous a donc pas apparu inutile de rappeler ici dans un billet, le cadre cadre législatif français et communautaire de la signature électronique.

Au niveau européen

Il faut savoir que le texte fondateur, définissant un cadre communautaire pour les signatures électroniques en Europe, est la directive européenne du 13 décembre 1999. Celle-ci distingue deux types de signature électronique avec deux niveaux de validité juridique différents :

La signature électronique (article 2) : « une donnée sous forme électronique, qui est jointe ou liée logiquement à d’autres données électroniques et qui sert de méthode d’authentification ». A ce niveau, une signature électronique ne pourra pas être refusée au titre de preuve en justice mais ne pourra prétendre à un niveau de reconnaissance équivalent à celui de la signature manuscrite.

La signature électronique avancée (article 5.1) : « Les États membres veillent à ce que les signatures électroniques avancées basées sur un certificat qualifié et créées par un dispositif sécurisé de création de signature répondent aux exigences légales d'une signature à l'égard de données électroniques de la même manière qu'une signature manuscrite répond à ces exigences à l'égard de données manuscrites ou imprimées sur papier et soient recevables comme preuves en justice ». Dans ce deuxième cas, l’équivalence de la signature électronique avec la signature manuscrite est acquise dès lors que trois conditions sont remplies :

la mise en œuvre d’une signature électronique avancée ;
l’utilisation d’un dispositif sécurisé de création de signature électronique ;
l’utilisation d’un certificat qualifié.

Nous allons détailler ces conditions plus loin en examinant notamment la transposition de ce texte européen en droit français.

Au niveau national

La transposition française s’est effectuée en de nombreuses étapes dont les principales sont :

la loi n°2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information et relative à la signature électronique ;
le décret n°2001-272 du 30 mars 2001, pris pour l’application de l’article 1316-4 du code civil et relatif à la signature électronique, modifié par le décret n°2002-535 du 18 avril 2002 ;
le décret n°2002-535 du 18 avril 2002 relatif à l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information ;
la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique qui précise le régime de responsabilité des prestataires de services de certification électronique délivrant des certificats électroniques qualifiés ;
l’arrêté du 26 juillet 2004 relatif à la reconnaissance de la qualification des prestataires de services de certification électronique et à l’accréditation des organismes qui procèdent à leur évaluation ;

En résumé, au travers de ces différents textes, la législation française distingue également deux niveaux de signature électronique :

La signature électronique (article 4 de la loi 2000-230 du 13 mars 2000) : « Lorsqu’elle [la signature] est électronique, elle consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache ». A ce niveau, le procédé de signature électronique dit « simple » n’est pas présumé fiable mais l’écrit signé ainsi sous forme électronique ne pourra être refusé en justice au titre de preuve dès lors que le procédé permet d’identifier le signataire et de garantir le lien avec l’acte signé. En cas de contestation, il est nécessaire de prouver la fiabilité du procédé de signature électronique utilisé.

La signature électronique « présumée fiable » : L’article 4 de la loi 2000-230 du 13 mars 2000 précise également que la charge de la preuve peut être inversée, en cas de contestation, sous certaines conditions définies par le décret n°2001-272 du 30 mars 2001. « La fiabilité d'un procédé de signature électronique est présumée jusqu'à preuve contraire lorsque ce procédé met en oeuvre une signature électronique sécurisée, établie grâce à un dispositif sécurisé de création de signature électronique et que la vérification de cette signature repose sur l'utilisation d'un certificat électronique qualifié ».

Pour bénéficier de la présomption de fiabilité, le signataire devra donc mettre en œuvre une signature réunissant trois conditions :

la signature électronique est sécurisée. Autrement dit, il s’agit d’une signature électronique satisfaisant aux exigences suivantes : être propre au signataire ; être créée par des moyens que le signataire puisse garder sous son contrôle exclusif ; garantir, avec l’acte auquel elle s’attache, un lien tel que toute modification ultérieure de l’acte soit détectable (intégrité du document).
elle est créée par un dispositif sécurisé de création de signature (SSCD), c’est à dire par un dispositif certifié conforme à un certains nombre d'exigences. On pourra trouver notamment la liste des dispositifs certifiés en cliquant ici.
la vérification de cette signature repose sur l’utilisation d’un certificat électronique qualifié. Les certificats délivrés par des prestataires de services de certification électronique qualifiés sont présumés qualifiés. L'arrêté du 26 juillet 2004 encadre et définit la reconnaissance de la qualification des prestataires de services de certification électronique.

Si toutes ces conditions sont réunies, la signature électronique est présumé fiable et pourra prétendre en justice à un niveau de reconnaissance équivalent à celui de la signature manuscrite : en cas de contestation, il appartiendra à celui qui met en cause la fiabilité de la signature d'en apporter la preuve.

Lien entre RGS et signature électronique

La création de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) avec le décret n°2009-834 du 7 juillet 2009 et l'élaboration du Référentiel Général de Sécurité (RGS) suite à l'ordonnance n°2005-1516 du 8 décembre 2005 et au décret n°2010-112 du 2 février 2010 est venu encore densifier cette législation.

Le Référentiel Général de Sécurité (RGS) avec ses annexes se présente sous la forme de plusieurs documents et définit un ensemble de règles de sécurité qui s'imposent aux autorités administratives dans la sécurisation de leurs systèmes d’information. Concernant la signature électronique il définit trois niveaux de qualification pour les prestataires de services de certification. Ces niveaux imposent un certain nombre de règles concernant le certificat électronique, les conditions dans lesquelles il est émis ainsi que le dispositif de stockage de la clé privée. Sur ce dernier point :

au niveau ***, le dispositif de création de signature doit être qualifié au niveau renforcé.
au niveau **, le dispositif de création de signature doit être qualifié au minimum au niveau standard.
au niveau *, le dispositif de création de signature doit être qualifié au minimum au niveau élémentaire.

Comme l'explique la Politique de Certification Type Signature (annexe du RGS) au chapitre I.1 :

« La mise en œuvre d’un procédé de signature électronique respectant les exigences définies pour le niveau *** permet de bénéficier de la présomption de fiabilité du procédé de signature telle que prévue dans l’article 1316-4 du code civil, sous réserve que la signature électronique soit dite sécurisée (cf. articles 1 et 2 du décret [SIG]). En effet, les exigences formulées dans cette PC Type à l’égard des prestataires de services de certification électronique et des dispositifs de création de signature pour le niveau *** répondent respectivement aux exigences techniques de l’article 6 (dispositifs sécurisés de création de signature) et de l’article 3 (certificats qualifiés) du décret [SIG] sous réserve du respect des procédures de qualification prévues par l’[ORDONNANCE]. Le décret [SIG] étant la transposition dans le droit français de la directive européenne [DIRSIG], un procédé de signature électronique respectant les exigences définies pour le niveau *** permet de générer des signatures qualifiées au sens de ladite directive. »

Ainsi, les prestataires de services de certification qualifiés RGS au niveau *** pour le service de signature électronique sont de fait prestataires qualifiés au sens de l'arrêté du 26 juillet 2004. Autrement dit, la signature électronique est également présumé fiable cette signature repose sur l’utilisation d’un certificat électronique qualifié RGS ***.

Signature EBICS : Cryptolog propose aux éditeurs de progiciels un module dédié

2011-05-10T12:24:35Z

Paris, le 10 mai 2011 - Avec la fermeture du réseau Transpac (X.25) de France Telecom en septembre prochain, les entreprises françaises vont devoir abandonner les protocoles de télétransmission ETEBAC 3 ou 5 utilisant ce réseau. Ces protocoles permettaient de véhiculer des ordres de virements bancaires, des relevés d’opérations ou des extraits de compte entre les banques et les entreprises.

Cette extinction programmée devrait accélérer l'adoption du protocole EBICS en remplacement d'ETEBAC par les 90 000 entreprises concernées par la migration*. Développé au niveau européen, ce standard retenu par la communauté bancaire française sous l'égide du CFONB (Comité Français d’Organisation et de Normalisation Bancaire) intègre dans sa version EBIC TS (Transport + Signature) la signature électronique. Celle-ci permet de dématérialiser complètement le processus de virement bancaire, en garantissant pour chaque ordre l'identité de l'émetteur ainsi que l'intégrité de l'ordre émis.

Dans le cadre de sa stratégie OEM, Cryptolog, éditeur expert en matière de signature électronique, annonce qu'il dispose de technologies immédiatement opérationnelles permettant aux éditeurs de logiciels d'intégrer très rapidement la signature électronique EBICS au sein de leurs applications.

Ainsi, le module CUTE de Cryptolog permet de générer tous les formats de signature électronique et en particulier les signatures cryptographiques utilisant l'algorithme RSA, comme le spécifie le standard EBICS TS. Un certain nombre d'éditeurs ont déjà choisi ce composant qui s'intègre en marque blanche de manière complétement transparente pour l'utilisateur au sein d'une application métier ou d'un site Web.

« Le protocole EBICS devrait être progressivement intégré par la grande la majorité des progiciels de gestion comptable et financière d'entreprise. Nous sommes heureux d'accompagner cette migration vers une technologie d'avenir permettant de généraliser davantage l'usage de la signature électronique », déclare Gautier Harmel, Directeur Business Development de Cryptolog.

À propos de CUTE

CUTE est un logiciel permettant une intégration simple des fonctionnalités de signature électronique au sein d'une application métier ou d'un site Web. Il permet d'exploiter tous types de certificats matériels ou logiciels et de générer tous les formats de signature électroniques, des plus simples - CMS, XMLDSig et PDF - aux plus avancés que sont XAdES, PAdES, CAdES, XAdES-BES, XAdES-EPES, XAdES-T, etc.

* Source : FNTC

La carte d'identité électronique : un formidable outil de signature électronique pour tous

2011-04-26T15:37:10Z

« Les cartes d'identité électroniques arriveront en France en fin d'année », tel était, lundi 11 avril, l'un des gros titres du site latribune.fr, citant le directeur général d'Oberthur Technologies. Le patron du spécialiste des cartes à puces était visiblement bien informé puisque deux jours plus tard, la commission des lois du Sénat publiait une proposition de loi « relative à la protection de l'identité », définissant les modalités de ce que pourrait être la future carte d'identité électronique française. Celle-ci comportera une puce électronique contenant un certain nombre de renseignements sur la personne (nom, prénom, date de naissance, adresse, taille, couleur des yeux, empreintes digitales).

Depuis, tous les médias s'en sont fait l'écho, mettant bien souvent l'accent sur le « caractère biométrique » de cette nouvelle carte d'identité. Peu d'entre eux y ont vu le formidable outil de modernisation des échanges électroniques que représentera cette carte d'identité électronique, attendue déjà depuis plusieurs années par les acteurs de la confiance numérique.

Une carte dotée d'un certificat électronique

En effet, le texte précise que « si son titulaire le souhaite, la carte nationale d'identité contient en outre des données, conservées séparément, lui permettant de s'identifier sur les réseaux de communications électroniques et de mettre en œuvre sa signature électronique ». Autrement dit, cette nouvelle carte d'identité a vocation à embarquer un certificat électronique comme c'est le cas pour la carte d'identité belge : une véritable révolution sur le marché français de de la signature électronique.

Signer électroniquement un document deviendra alors aussi simple que d'utiliser une carte bancaire. Avec à la clé une quantité de nouveaux usages permettant d'accélérer considérablement les échanges commerciaux notamment dans le secteur du e-commerce : il deviendra alors monnaie courante de signer des contrats sur Internet (contrats d'assurance, de location de vacances, d'abonnement téléphonique, etc.) en insérant sa carte d'identité dans un dispositif dédié et connecté à son ordinateur.

Car si le cadre législatif sur la signature électronique existe en France depuis 10 ans et permet déjà toutes ces applications, la relative complexité d'obtention d'un certificat électronique qualifié — c'est-à-dire permettant une signature présumée fiable — est un véritable frein à une démocratisation massive de la signature électronique et à une explosion de ses usages.

Aujourd'hui, pour obtenir un certificat électronique qualifié (sous la forme d'une clé USB cryptographique par exemple), il faut non seulement payer mais surtout justifier de son identité auprès d'une autorité de certification privée. Ce qui consiste à se déplacer physiquement et à présenter ses papiers d'identité lors de la remise du certificat. Une démarche contraignante, envisageable pour un cadre d'entreprise ayant d'importants documents à signer mais peu probable dans le cas d'un particulier.

La carte d'identité électronique sera donc demain le moyen le plus naturel d'obtenir un certificat, qui plus est, émis par une autorité dont la légitimité en matière de gestion des identités est incontestable : l'État.

Une route encore longue

Pour toutes ces raisons, en tant qu'éditeur de logiciels de signature électronique, Cryptolog accueille avec enthousiasme cette proposition de loi, regrettant simplement que la présence de ce certificat sur la carte d'identité ne soit qu'une option à la demande du porteur de carte.

Il faut également raison garder et s'armer de patience avant de voir débarquer ces premières cartes d'identité au sein de nos portefeuilles : la proposition sera discutée le 27 avril au Sénat, avant d'être débattue à l'Assemblée nationale et rien ne dit qu'elle ne suscite de vifs débats. Par ailleurs, le texte mentionne plusieurs décrets, dont on sait que la publication peut parfois se faire attendre pendant plusieurs années. Une fois la loi promulguée, il s'écoulera encore un certain temps, avant qu'au terme d'un renouvellement progressif des cartes d'identité, chaque citoyen puisse jouir de ce nouveau moyen de signer.

]]>

De la signature des fichiers zip : où "s'arrête" et où "commence" la notion de document ?

2011-04-20T13:15:00Z

Selon le site legalis.net, le tribunal administratif de Toulouse vient de rejeter un référé contre le CNRS concernant une procédure de marché public, formulé par la société MC²I. Celle-ci s'était portée candidate à un appel d'offre émis par le CNRS et avait renvoyé sa réponse dématérialisée comme le prévoit le code des marchés publics. Les différents documents formant sa candidature et son offre avaient été introduits dans un fichier compressé au format zip signé électroniquement. Sa candidature a été rejetée au motif que les pièces, dont l'acte d'engagement, n'avaient pas été signées électroniquement. Cette position a été confirmée par le tribunal administratif de Toulouse.

Sans entrer dans les détails spécifiques inhérents à la réglementation de ce type de procédure, on ne peut qu'être surpris par l'un des points ayant motivé la décision du tribunal et évoqué dans l'ordonnance :

« Considérant que si la société MC²I fait valoir qu'elle a signé électroniquement les fichiers « zip » par lesquels elle a transmis les documents relatifs à sa candidature et à son offre, de tels fichiers qui permettent l'archivage et la compression des données ne peuvent être assimilés aux documents en nombre variable qu'ils peuvent contenir, que par suite, cette signature ne peut pallier l'absence de signature électronique des documents figurant dans ces fichiers ; que le refus du Centre national de la recherche scientifique d'admettre ce mode d'authentification des documents n'a pas méconnu les dispositions de l'article 1316-4 du code civil selon lesquelles la signature électronique consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache dès lors que le fichier « zip » doit être considéré comme un acte distinct des documents qu'il contient ; »

En d'autres termes, signer un fichier zip ne serait pas équivalent à signer individuellement chaque élément du fichier zip en question.

Sans se risquer à généraliser la portée de cette décision prise dans un cadre bien spécifique, on peut toutefois s'interroger sur cette interprétation. Celle-ci soulève en effet des questions cruciales en termes de signatures électroniques : qu'est ce qui constitue un acte de signature ? Qu'est ce qui constitue un document ?

Dans le monde numérique, est considéré comme un "fichier" ou un "document" (un document Word, un fichier PDF, un film, etc.) un container souvent lui même constitué d'un ensemble de fragments d'informations. Ainsi, un film peut par exemple regrouper un certain nombre de "documents" plus ou moins indivisibles comme la bande sonore ou le fichier de sous-titres. Un PDF peut en contenir d'autres fichiers notamment des images. Et certains formats de document bureautique (produits par Word ou OpenOffice) sont, eux, constitués d'un ensemble de petits fichiers réunis dans... un zip !

On voit donc là les limites de ce raisonnement et la raison pour laquelle une généralisation de cette interprétation semble difficile. Le résultat aurait-il été le même si la société MC²I avait concaténé l'ensemble des documents contenus dans le zip au sein d'un unique PDF et signé ce dernier ?

La décision du tribunal est, me semble-t-il, regrettable, car elle ouvre la voie à de nombreuses contestations techniques sur la portée d'une signature électronique, notamment dans le cadre de signatures de documents "composites".

Néanmoins, dans l'attente d'une jurisprudence plus fournie autour de cette question et d'une confirmation ou d'une infirmation de cette interprétation dans d'autres contextes plus généraux, une bonne pratique consiste donc à restreindre au maximum les "contours logiques et sémantiques" du fichier à signer afin de lever toute ambiguité d'interprétation possible sur l'acte de signature.

Les produits Cryptolog passent avec succès les tests d'interopérabilité internationaux

2011-04-18T12:45:28Z

Chez Cryptolog, nous sommes extrêmement attachés à garantir pour tous nos produits un niveau élevé de conformité avec les dernières versions des standards, grâce notamment à la participation active de nos experts au sein des groupes de travail européens de normalisation de la signature électronique (Cryptolog est aujourd'hui le rapporteur du standard de signature électronique avancée CAdES). Dans le cadre de cette stratégie, Cryptolog a récemment participé à l'évènement Remote Plugtests© Event on XAdES and CAdES organisé par l'ETSI Plugtest™ Service. Cette entité de l'organisme de normalisation européen a pour mission d'organiser des tests d'interopérabilité comme celui-ci pour de nombreux standards dans le domaine des télécommunications, de l'informatique, de l'audiovisuel et du multimédia.

En l'occurence lors de cet évènement, il s'agissait de tester l'interopérabilité des différentes implémentations des deux principaux standards de signature électronique avancée - CAdES et XAdES - et d'identifier des recommandations permettant de les améliorer. 27 entreprises actives dans le secteur de la signature électronique en provenance de l'Union Européenne, de la Turquie, des États-Unis, du Japon et d'Israël ont pris part à cet évènement. Les tests portaient sur les versions XAdES 1.3.2, CAdES 1.7.4, ainsi que XAdES 1.4.1 et CAdES 1.8.1. L'implication active de Cryptolog dans le développement de ces standards et ainsi que notre participation aux précédents tests d'intéropérabilité organisés les trois dernières années ont permis à nos produits de passer avec succès ces différents tests.

Test de génération de signatures

CUTE, notre produit phare pour la création de signature côté client, a généré des signatures de test XAdES-BES, XAdES-T, CAdES-BES and CAdES-T qui ont été validées avec succès par tous les autres participants. CUTE a également généré des signatures de test XAdES-EPES and CAdES-EPES qui ont été validées par la plupart des participants. Ces tests ont permis d'identifier un certain nombre d'ambiguités dans l'interprétation des standards qui ont causé quelques problèmes d'interopérabilité.

Test de vérification et d'extension de signatures

Serenity, notre produit phare pour la validation et l'extension de signature, a généré des signatures de test aux formats avancées XAdES-C, XAdES-X, XAdES-XL, XAdES-A, CAdES-C, CAdES-X, CAdES-XL, CAdES-A, qui ont été validées avec succès par la plupart des autres participants. Serenity a également validé la grande majorité des signatures produites par les autres participants. Ces tests ont permis de remonter plusieurs points qui peuvent conduire à des problèmes d'interopérabilité sur ces formats d'extension de signatures pour l'archivage et la validation à long terme. Un ensemble de règles a ainsi communément été établies pour améliorer le dégré d'intéropérabilité sur ces problématiques. Serenity supporte déjà ces différentes règles.


ETSI Certificate of Participation	XAdES-CAdES Plugtests 2010 External Final Report.pdf