A
Glossaire de ChamberSign, Autorité de certification
Abonné
Personne qui signe un contrat d’abonnement aux services de ChamberSign.
Accepteur
Toute entité (personne physique, personne morale ou application informatique) acceptant un certificat électronique qui lui est soumis et qui doit en vérifier l’authenticité et la validité.
Accréditation
Reconnaissance par Chambersign qu’une personne possède la formation et les qualités nécessaires pour réaliser des opérations de face à face et/ou délivrer des certificats électroniques émanant de ChamberSign.
Administrateur
Un administrateur met en oeuvre les Politiques de Certification et Déclarations des Pratiques de Certification au sein de la composante qu’il administre. Il est responsable de l’ensemble des services rendus par cette composante.
Application Utilisatrice
Désigne les services applicatifs utilisant des Certificats émis par ChamberSign France pour des besoins d’authentification et de signature du Porteur.
Apporteur d’Affaires
Désigne le partenaire de ChamberSign signataire de la « Convention d’Apport d’Affaires » et ayant pour mission de mettre en relation ses clients avec ChamberSign via un catalogue de produits ChamberSign, qui donne accès à un portail de commandes de certificats, aux tarifs déterminés par ChamberSign.
Authentification
L’authentification est la fonction permettant d’identifier de manière sécurisée les partenaires mis en relation lors d’un échange de données informatisées. Elle permet à l’abonné d’apporter la preuve de son identité afin de lui autoriser l’accès aux services.
Mais aussi :
Désigne le processus ayant pour but de vérifier l’identité dont se réclame une personne ou une machine.
AUTORITÉ DE CERTIFICATION (AC)
Au sein d’un PSCE, une Autorité de Certification a en charge, au nom et sous la responsabilité de ce PSCE, l’application d’au moins une politique de certification et est identifiée comme telle, en tant qu’émetteur (champ « issuer » du certificat), dans les certificats émis au titre de cette politique de certification. Cette entité est responsable de l’émission, de la délivrance, de la gestion et de la révocation des certificats électroniques. Elle est également responsable des certificats émis en son nom. ChamberSign France est une Autorité de Certification qualifiée RGS et eIDAS. Elle a fait l’objet d’un contrôle de conformité par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) et est inscrite sur la liste de confiance européenne.
Autorité d’Enregistrement (AE)
Désigne une entité interne ou externe ou ChamberSign ayant pour fonction le contrôle des données de la demande de certificat et/ou le rôle de délivrance du certificat au titulaire. Au sein des AC « ChamberSign » et « ChamberSign France », l’autorité d’enregistrement inclut :
• Les bureaux d’enregistrement (BE) ;
• Les autorités d’enregistrement déléguées (AED) ;
• Les mandataires de certification (MC).
Autorité d’Enregistrement Déléguée (AED)
Désigne une entité publique ou privée externe à ChamberSign et au réseau de B.E. C’est une composante de l’Autorité de Certification responsable de l’identification du titulaire et de la délivrance de certificats électroniques. Par exemple : une collectivité locale qui intervient uniquement lors de la réalisation du face-à-face avec le porteur et la remise du support de clé lorsque ces étapes sont nécessaires. Une AED comporte un ou plusieurs opérateurs d’AED. Comme les AE, les AED entrent dans le champ de contrôle de l’AC.
Autorité utilisatrice
Désigne un service public en ligne acceptant l’usage des certificats électroniques CHAMBERSIGN pour l’authentification de ses usagers ou par la signature de documents par ceux-ci.
B
Bi-clé
Couple composé d’une clé privée (devant être conservée secrète) et d’une clé publique correspondante, nécessaire à la mise en oeuvre d’une prestation de cryptologie, à des fins de signature ou de scellement, basée sur des algorithmes asymétriques. La clé publique permet de vérifier les signatures électroniques par la clé privée associée. La clé publique est scellée avec l’identité du signataire dans le certificat électronique associé.
Bureau d’Enregistrement (BE)
Un BE est une entité, signataire d’une convention avec l’AC ou département de l’AC, qui fait l’objet d’une accréditation par CSF / QS pour pouvoir procéder à l’enregistrement de porteurs (vérification du dossier, réalisation du face-à-face avec remise du support de clé le cas échéant). Un BE peut également intervenir dans la révocation (demande de révocation faîte par courrier auprès du BE). De plus, les BE interviennent dans le processus d’accréditation des MC (réalisation du face-à-face et remise du support de clé). Un BE comporte un ou plusieurs opérateurs de BE.
C
Cachet serveur
Désigne une signature numérique effectuée par un serveur applicatif sur des données dans le but de pouvoir être utilisée soit dans le cadre d’un service d’authentification de l’origine des données, soit dans le cadre d’un service de non-répudiation dans le cadre d’échanges dématérialisés.
CERTIFICAT ÉLECTRONIQUE
Ensemble d’informations d’un utilisateur, y compris la clé publique, rendu infalsifiable par le chiffrement, avec la clé secrète de l’AC qui l’a délivré, d’un condensat calculé sur l’ensemble de ces informations. Un certificat électronique contient des informations telles que :
• l’identité du porteur de certificat ;
• la clé publique du porteur de certificat ;
• usage(s) autorisé(s) de la clé ;
• la durée de vie du certificat ;
• l’identité de l’AC qui l’a émis ;
• la signature de l’AC qui l’a émis.
Un format standard de certificat est défini dans la recommandation X.509 v3.
Mais aussi :
Dans le monde numérique, un certificat est « l’équivalent » d’une pièce d’identité, en ce sens qu’il est porteur d’une identité certifiée par une Autorité de Certification. Le certificat électronique comporte les éléments attestant du lien entre les données de vérification de signature et l’identité du signataire.
Clé Privée
Désigne une clé mathématique que le Porteur doit conserver secrètement. La Clé privée permet de chiffrer des données qui sont déchiffrables par la Clé Publique du même bi-clef dans le cadre du mécanisme de signature électronique à clef publique. Il n’y a pas de déductibilité des clefs entre-elles.
Clé Publique
Désigne une clé mathématique rendue publique et qui est utilisée pour vérifier la signature d’une donnée reçue chiffrée par la clef privée « correspondantes ».
Coffre-fort électronique ou Coffre-fort numérique :
Le coffre-fort numérique (CFN) est habituellement défini comme un espace de conservation sécurisé et réputé inviolable permettant de restituer ce qui y a été déposé sans altération. Il est le garant de l’intégrité, de la disponibilité et de la confidentialité des documents et données (Source : Guide FNTC « ARCHIVAGE ELECTRONIQUE – Que choisir entre coffre-fort Numérique (CFN)et Système d’Archivage Electronique (SAE) ? »).
Compromission
Divulgation, suspicion de divulgation ou de perte d’informations confidentielles résultant de la violation d’une mesure de sécurité et conduisant à une perte éventuelle de confidentialité et/ou d’intégrité des données considérées. Il peut s’agir également de l’altération ou de la suspicion d’altération de la qualité d’un certificat électronique au sens de l’article 33 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique.
Contrôle de conformité
Action qui consiste à réaliser un examen le plus exhaustif possible afin de vérifier l’application stricte des procédures et de la réglementation au sein d’un organisme.
D
Déclaration des Pratiques de Certification (DPC)
Une DPC identifie les pratiques (organisation, procédures opérationnelles, moyens techniques et humains) que l’AC applique dans le cadre de la fourniture de ses services de certification électronique aux usagers afin de respecter la ou les politiques de certification qu’elle a promulguée(s).
DÉLÉGATAIRE
Désigne une personne nommément désignée par le Représentant Légal d’une Entité lui transférant l’exercice de commander des certificats électroniques pour le compte d’une autre personne via une délégation de signature transmise à ChamberSign.
Demandeur
Désigne toute personne physique qui initialise une demande de certificat, sans pouvoir d’engagement ni pour le titulaire, ni pour l’entité à laquelle le certificat est rattaché, excepté s’il s’agit du titulaire lui-même, du représentant légal de l’entité, de son délégataire le cas échéant, d’un Mandataire de Certification ou bien d’une tierce personne. Le demandeur est donc une personne chargée de saisir les informations qui seront validées par les acteurs concernés par la demande.
Distributeur
Désigne toute entité qui entre en relation économique suivie avec ChamberSign, signataire de la Convention « Distributeur », et qui a pour mission de revendre des certificats ChamberSign en complément de son activité principale.
Domaine de certification
Chemin constitué d’une chaîne de certificats d’Autorités de Certification (la signature du certificat d’une AC est vérifiée en utilisant le certificat de l’AC signataire et ainsi de suite). Un domaine de certification peut être contraint par des restrictions liées au nommage, aux politiques de certification ou à la longueur maximale du chemin.
Données personnelles
Désigne toute information relative à une personne physique identifiée ou identifiable, et dans les différents contrats et conventions avec ChamberSign les données traitées ou transférées par le contractant ou auxquelles celui-ci a accès, suite à la signature du Contrat, l’adhésion à la convention, ou de tout document y étant associé.
E
Empreinte (ou hash)
Résultat d’une fonction de hachage c’est-à-dire d’une fonction calculant le condensat de données de telle sorte qu’une modification même infime de ces données entraîne la modification de ce condensat.
Entité
Désigne toute personne morale dotée d’une personnalité juridique, qu’il s’agisse d’une autorité administrative ou d’une entreprise au sens le plus large, en ce compris les personnes morales de droit privé de type associations et fondations.
Enregistrement
Action qui consiste pour une autorité à valider une demande de certificat, conformément à une politique de certification.
F
Fake news
En français fausses nouvelles, infox, ou encore informations fallacieuses, sont des informations mensongères diffusées dans le but de manipuler ou de tromper le public. Prenant une importance singulière, elles peuvent émaner d’un ou de plusieurs individus (par le biais de médias non institutionnels comme les blogs ou les réseaux sociaux), d’un ou de plusieurs médias, d’un homme d’État ou d’un gouvernement. Les articles d’infox emploient souvent des titres accrocheurs ou des informations entièrement fabriquées en vue d’augmenter le nombre de lecteurs et de partages en ligne.
G
Génération (émission) d'un certificat
Action qui consiste pour l’AC à intégrer les éléments constitutifs d’un certificat, à les contrôler et à signer le certificat.
I
Identifiant
Correspond au mail professionnel indiqué par l’Utilisateur lors de son inscription sur le Site. Il désigne, avec le « Mot de Passe », les informations nécessaires à l’authentification dite « faible » d’un Utilisateur afin de lui permettre d’accéder à l’ensemble des services de l’Espace Client de ChamberSign. Le mot de passe est personnel et confidentiel.
Identification
Procédure par laquelle une personne ou une entité établit et fait connaitre son identité à une autre personne ou entité avec laquelle elle souhaite communiquer.
INFRASTRUCTURE DE GESTION DE CLÉS (IGC)
Ensemble de composantes, fonctions et procédures dédiées à la gestion de clés cryptographiques et de leurs certificats utilisés par des services de confiance. Une IGC peut être composée d’une autorité de certification, d’un opérateur de certification, d’une autorité d’enregistrement centralisée et/ou locale, de mandataires de certification, d’une entité d’archivage, d’une entité de publication, etc…
Intégrité
Garantit, qu’une fois produit, un objet électronique n’est pas altéré pendant son transport ou son stockage. Le hash de l’objet ou l’utilisation de signature électronique permet d’identifier toute modification ultérieure.
Internet
Ensemble de réseaux informatiques et de télécommunications interconnectés, de dimension mondiale, permettant l’accès à des contenus par les utilisateurs par l’intermédiaire de serveur.
J
JETON D’HORODATAGE
Donnée qui lie la représentation d’une information à un temps particulier, exprimé en heure UTC, établissant ainsi la preuve que l’information existait à cet instant-là.
L
Lecteur Pin Pad
Appelé également « Boîtier Pinpad » ou encore « Lecteur de carte avec clavier », désigne un lecteur de certificats électroniques RGS, se présentant sous la forme d’une carte à puce, et permettant la saisie du code Pin dudit certificat électronique. Ce lecteur, composé d’un clavier à chiffres, est indépendant du poste de travail informatique ; il se connecte via un câble USB. Un lecteur Pinpad a une vocation purement technique et fonctionnelle pour la saisie du code Pin uniquement. Il ne contient pas de donnée personnelle ou sensible. Son rôle est d’assurer le contrôle et la possession du certificat par le titulaire du certificat.
M
MANDATAIRE DE CERTIFICATION
Un MC est une personne physique qui est désignée par et placée sous la responsabilité d’une entité cliente afin de réaliser une grande partie du processus d’enregistrement des porteurs de cette entité cliente : constitution du dossier incluant le recueil des pièces justificatives, la signature du titulaire et sa propre signature de la commande au titre de l’entité puis la transmission au BE pour validation. Ensuite, réalisation du face-à-face et remise du support cryptographique personnalisé au titulaire (Porteur et RCC) le cas échéant.
Le MC est authentifié au moyen de son certificat électronique délivré en face à face auprès d’un BE ChamberSign. Il est habilité à effectuer la révocation des certificats concernant les titulaires de son entité.
Moyens d'identification éléctronique (MIE)
Un moyen d’identification électronique est un élément matériel ou immatériel contenant des données d’identification personnelle et est utilisé pour s’authentifier pour un service en ligne.
o
Online Certificate Status Protocol (OCSP)
OCSP est un protocole Internet utilisé pour valider un certificat numérique X.509. OCSP est standardisé par l’IETF dans la RFC 6960. Ce protocole est une alternative réglant certains des problèmes posés par les listes de révocation de certificats (CRL) dans une infrastructure à clés publiques (PKI). Les communications OCSP étant de la forme « requête/réponse », les serveurs OCSP sont appelés répondeurs OCSP.
Opérateur
Rôle de confiance accordé à une personne spécialement formée au domaine de la certification électronique, et plus particulièrement à la délivrance de certificats électroniques. Le rôle est attribué intuitu personae et fait l’objet d’évaluation et de supervision régulières.
P
Peer-to-peer
L’échange de fichier « Peer-to-peer » met en œuvre au minimum deux ordinateurs (le poste de travail de l’utilisateur et le site avec qui il échange des fichiers) qui sont considérés égaux dans leurs échanges : chaque machine sert de serveur pour l’autre, le poste de travail de l’utilisateur devient un serveur susceptible de transmettre de l’information à l’autre machine.
POLITIQUE D’HORODATAGE (PH)
Ensemble de règles, identifié par un nom ou un numéro unique (appelé « OID » pour « Object IDentifier »), définissant les exigences auxquelles un PSHE se conforme pour la mise en place et la fourniture de ses prestations et indiquant l’applicabilité d’une contremarque de temps à une communauté particulière et/ou une classe d’application avec des exigences de sécurité communes. Une PH peut également, si nécessaire, identifier les obligations et exigences portant sur les autres intervenants, notamment les abonnés et les utilisateurs de contremarques de temps.
POLITIQUE DE CERTIFICATION (PC)
La politique de certification est un ensemble de règles, identifié par un nom (OID), définissant les exigences auxquelles une AC déclare se conformer dans la mise en place et la fourniture de ses prestations et indiquant l’applicabilité d’un certificat à une communauté particulière et/ou à une classe d’applications avec des exigences de sécurité communes. Une PC peut également, si nécessaire, identifier les obligations et exigences portant sur les autres intervenants, notamment les porteurs et les utilisateurs de certificats.
Porteur ou Porteur de certificat
Désigne une personne physique identifiée dans un certificat de personne physique objet de la PC et fourni par l’IGC. Cette personne utilise sa clé privée et le certificat correspondant dans le cadre de ses activités professionnelles en relation avec l’entité identifiée dans le certificat et avec laquelle elle a un lien contractuel, hiérarchique ou réglementaire. Conformément aux CGU que le porteur signe, si l’entité ne l’interdit pas, le porteur peut utiliser son certificat pour des usages non professionnels et en ne revendiquant que la certification de ses nom et prénoms présents dans le certificat.
Le Porteur peut également être désigné sous le nom de « demandeur de certificat » avant la délivrance du certificat.
PRESTATAIRE DE SERVICE DE CONFIANCE (PSCO)
Toute personne ou entité offrant des services consistant en la mise en oeuvre de fonctions qui contribuent à la sécurité des informations échangées par voie électronique.
PRESTATAIRE DE SERVICES D’HORODATAGE ÉLECTRONIQUE (PSHE)
Toute personne ou entité qui est responsable de la génération et de la gestion de contremarques de temps, vis-à-vis de ses abonnés et des utilisateurs de ces contremarques de temps. Un PSHE peut fournir différentes familles de contremarques de temps correspondant à des finalités différentes. Un PSHE comporte au moins une AH mais peut en comporter plusieurs en fonction de son organisation. Un PSHE est identifié dans les certificats de clés publiques des Unités d’Horodatage dont il a la responsabilité au travers de ses Autorités d’Horodatage.
PRESTATAIRE DE SERVICES DE CERTIFICATION ÉLECTRONIQUE (PSCE)
Toute personne ou entité qui est responsable de la gestion de certificats électroniques tout au long de leur cycle de vie, vis-à-vis des porteurs et utilisateurs de ces certificats. Un PSCE peut fournir différentes familles de certificats correspondant à des finalités différentes et/ou des niveaux de sécurité différents. Un PSCE comporte au moins une AC mais peut en comporter plusieurs en fonction de son organisation. Les différentes AC d’un PSCE peuvent être indépendantes les unes des autres et/ou liées par des liens hiérarchiques ou autres (AC Racines / AC Filles). Un PSCE est identifié, dans un certificat dont il a la responsabilité, au travers de son AC qui a émis ce certificat et qui est elle-même directement identifiée dans le champ « issuer » du certificat.
Publication d'un certificat
Fait d’inscrire un certificat dans un annuaire, à disposition d’utilisateurs susceptibles d’avoir à vérifier une signature ou à chiffrer des informations.
Q
QUALIFICATION D’UN PRODUIT DE SÉCURITÉ
Acte par lequel l’ANSSI atteste de la capacité d’un produit à assurer les services de sécurité objet de la qualification. L’attestation de qualification indique l’aptitude du produit à participer à la réalisation, à un niveau de sécurité donné, d’une ou plusieurs fonctions traitées dans le RGS.
R
Règlement eIDAS
Le règlement eIDAS est le règlement (UE) n°910/2014 du Parlement Européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE.
Il impose des exigences relatives à la reconnaissance mutuelle des moyens d’identification électronique ainsi qu’à celle des signatures électroniques, pour les échanges entre les organismes du secteur public et les usagers.
Renouvellement de certificat
Désigne une action effectuée à la demande d’un utilisateur ou en fin de période de validité d’un certificat et qui consiste à générer un nouveau certificat pour un porteur.
Responsable de certificats (RCC)
Désigne une personne physique qui représente l’entité au nom de laquelle le certificat de cachet a été délivré. Ce responsable est en charge de gérer le certificat généré conformément aux exigences de la PC. Il fait mettre en œuvre la clé privée et le certificat correspondant dans le cadre de ses activités en relation avec l’entité identifiée dans le certificat et avec laquelle le Responsable de Certificat a un lien contractuel, hiérarchique ou réglementaire.
Représentant Légal ou Responsable Légal (RL)
Désigne une personne physique qui, au sens de la législation applicable, est responsable de l’entité à laquelle le porteur est rattaché ou pour laquelle le certificat cachet est émis, entité qui est identifié dans le certificat. Il a notamment le pouvoir d’engager contractuellement l’entité. En cas de représentation légale par une entité morale, il s’agit de la première personne physique dans la chaine de représentation.
Révocation de certificat
Action demandée par une entité autorisée (AC, MC, Porteur de certificat, etc.) et dont le résultat est la suppression de la caution de l’AC sur un certificat donné, avant la fin de sa période de validité. Cette action peut être la conséquence de différents types d’événements tels que la perte de la carte, la compromission d’une clé, le changement d’informations contenues dans un certificat, etc.
RGPD
Signifie le Règlement Général sur la Protection des Données, (règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données), et abrogeant la Directive 95/36/CE.
RGS
Désigne le Référentiel Général de Sécurité réalisé par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) qui définit des exigences pour différentes fonctions de sécurité. Il concerne les produits de sécurité et les prestataires de servicesde confiance utilisés dans le cadre des échanges dématérialisés entre usagers et autorités administratives ainsi qu’entre autorités administratives. Les niveaux de sécurité d’exigences sont croissants (*, **, ***) et comportent des spécifications techniques différentes (source site internet de l’ANSSI).
S
SÉCURITÉ DES SYSTÈMES D’INFORMATION (SSI)
Représente un patrimoine essentiel de l’organisation, qu’il convient de protéger. La sécurité informatique consiste à garantir que les ressources matérielles ou logicielles d’une organisation sont disponibles et uniquement utilisées dans le cadre prévu.
Signature électronique
Une signature électronique désigne l’usage d’un procédé fiable d’identification d’une personne physique ou morale et garantissant son lien avec l’acte auquel elle s’attache, conformément à la législation applicable.
Sous-traitant (au sens RGPD)
Désigne la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
SYSTÈME D’INFORMATION
Désigne l’ensemble des ressources matérielles (poste de travail, serveurs, etc.) et logicielles (suite bureautique, outil de messagerie, etc.) nécessaires pour réaliser une activité.
T
TÉLÉSERVICE
Tout système d’information permettant aux usagers de procéder par voie électronique à des démarches ou formalités administratives.
Titulaire
Désigne soit le porteur pour une personne physique, soit une personne morale, représentée par le RCC, au nom duquel un certificat cachet a été délivré.
Traitement
Désigne toute opération ou ensemble d’opérations effectuées sur des données personnelles ou sur des ensembles de données personnelles.
U
USAGER
Personne physique agissant pour son propre compte ou pour le compte d’une personne morale et procédant à des échanges électroniques avec des autorités administratives.
Utilisateur de certificat
Désigne une personne physique ou entité technique (application informatique, équipement réseau, etc.) qui reçoit un certificat et qui s’y fie dans la mise en oeuvre du service de sécurité correspondant (vérification d’une signature électronique ou vérification d’une authentification).
V
Vérification de certificat
La procédure de vérification d’un certificat consiste en un ensemble d’opérations destinées à s’assurer que les informations contenues dans le certificat ont été validées par une AC de confiance. La vérification d’un certificat inclut la vérification de sa période de validité, de son état (révoqué ou non), ainsi que de la signature de l’AC génératrice.
Vérification de signature
La vérification d’une signature consiste à déchiffrer la signature d’un message, en mettant en oeuvre la clé publique du signataire supposé. Si le clair obtenu est identique à l’empreinte calculée à partir du message reçu, alors il est garanti que le message est intègre et qu’il a été signé par le porteur de la clé privée correspondante à la clé publique utilisée pour la vérification.