DISPOSITIF D'OBLITERATION ET DE SIGNATURE MANUELLE DE DOCUMENTS ELECTRONIQUES, SECURISE PAR CARTE A PUCE, CLE PUBLIQUE ET TIERS DE SEQUESTRE
Le domaine technique de l'invention porte sur la certification de documents électroniques. Cette invention a pour objet d'utiliser la métaphore de l'oblitération d'un document par une empreinte de tampon pouvant elle-même être associée à une signature manuscrite et s 'appuyant sur les mécanismes de chiffrage à clé publique asymétrique pour garantir leur authenticité et rendre impossible leur répudiation.
La technique utilisée dans le domaine de la certification de documents s'appuie sur des mécanismes à clé publique asymétrique pour assurer 1 'authentification et la non répudiation et sur des mécanismes à clé symétrique pour assurer la permanence de la confidentialité des liaisons entre systèmes. Ces mécanismes à clé publique sont mis en œuvre dans les échanges entre systèmes de façon à garantir au système récepteur l'authenticité du message envoyé par le système émetteur. Après vérification et reconnaissance par déchiffrement du certificat, le système sollicité renvoie son certificat accompagné d'une clé secrète symétrique afin de créer une relation bilatérale confidentielle. Le mécanisme de sécurité mis en œuvre au cours de l'échange porte sur le partage d'un secret commun entre deux systèmes permettant d'établir et de maintenir pendant toute la durée de la session, une confidentialité bilatérale. Dans ce cadre, l'authenticité des documents est garantie par la mise en œuvre d'une protection de 1 ' échange .
Dans les systèmes les plus élaborés, un utilisateur A dispose d'un système de chiffrement de document à clé publique dont la clé publique et le certificat sont disponibles auprès d'un tiers de confiance. Tout utilisateur B qui voudra communiquer un document avec l'utilisateur A pourra demander la clé publique et le certificat de cet utilisateur A au tiers de confiance. Ce tiers de confiance fera parvenir cette clé et ce certificat à l'utilisateur B selon un protocole garantissant son authenticité. L'utilisateur B est en mesure de pouvoir vérifier l'authenticité du document envoyé par l'utilisateur A en utilisant la clé publique pour
déchiffrer la signature numérique qui accompagne le document qui lui est parvenue. L'établissement de la preuve se fait par la comparaison et le contrôle de l'équivalence entre le déchiffrage de la signature numérique reçue par l'utilisateur B contenant le condensé du document obtenu par un procédé de hashmg SHA-1 (Secure Hashing Algoπt m-1) OU MD-5 (Message Dιgest-5) et chiffré par l'utilisateur A et le condensé par hashing du document effectivement reçu par l'utilisateur B. La signature numérique contient par ailleurs le certificat de l'utilisateur émetteur qui permet ainsi à l'utilisateur B de vérifier l'origine de l'émetteur du document.
La gestion des certificats à clé publique comprend les demandes de certificats, le traitement des certificats dans une demande de réponse à une demande de certificat et l'échange de certificats entre partenaires. Ces mécanismes garantissent une gestion des clés publiques de nature à assurer tout utilisateur de l'authenticité des certificats. Cette garantie d'authenticité permet de satisfaire Je niveau de confiance nécessaire à 1 'authentification des documents par les clés publiques. II apparaît cependant que les procédés permettant de signer et d'authentifier les documents ne sont mis en œuvre que dans des mécanismes d'échange. La nature de ces mécanismes ne permet pas de contrôler la véracité d'un document tout au long de sa durée de vie dont le temps dépasse la durée de l'échange contractualisé entre les parties prenantes. En effet, ces mécanismes mettent en œuvre, de manière conjoncturelle, les certificats des utilisateurs ou des systèmes émetteur et récepteur à seules fins de rendre l'échange d'informations sécurisé et non répudiable à l'instant de l'échange. Le document n'a aucune valeur propre et ne peut faire l'objet d'aucune évaluation intrinsèque évolutive. Le document ne peut faire l'objet d'aucune oblitération, ni d'aucune signature visible ou invisible à long terme sur l'ensemble de son cycle de vie ce qui ne permet pas de disposer d'indications intrinsèques indiscutables concernant le document. Aucune marque m aucune information n'étant disponible intrinsèquement sur le document lui-même, le document n'est pas exploitable automatiquement dans un processus automatisé. Par ailleurs, la signature apposée par les utilisateurs, ne l'est qu'à l'aide de procèdes techniques qui
peuvent être utilisables à 1 ' insu de l'utilisateur du fait que ce procédé s'appuie au mieux sur la détention d'une carte à puce et d'un code secret d'activation de la carte que l'utilisateur doit se remémorer et frapper sur un clavier. On peut cependant considérer que la mise en œuvre d'un tel mécanisme en dehors du contrôle de l'utilisateur titulaire de la carte, est une faiblesse du mode de signature électronique seul, ce qui montre qu'il est nécessaire de le compléter par un mode de matérialisation de l'engagement personnel actif que l'utilisateur peut démontrer tel que le permet la signature manuscrite. De plus, la signature manuscrite peut être l'objet d'une expertise qui assure que l'auteur est bien celui prétendu par l'indication du sous signé et se révèle être le moyen de vérifier le libre arbitre du signataire au moment de son acte (une signature hésitante est une preuve d'une perte vraisemblable de liberté d'action).
Il s'agit d'offrir un dispositif qui permette à l'utilisateur d'utiliser un outil selon la métaphore de l'empreinte d'oblitération, associée à sa signature manuelle et apposées sur les documents papiers.
L'utilisateur visualise directement sur écran ou sur papier, l'empreinte du tampon et la signature en surimpression sur le document. Un mécanisme de signature électronique fondée sur un certificat à clé publique permet de garantir les informations portées par l'empreinte ainsi que la validité technique de la signature manuelle. La signature manuelle peut faire à tout moment l'objet d'une expertise afin d'en vérifier son authenticité. On distinguera dans le système les dispositifs suivants :
- le dispositif d'oblitération des documents électroniques, - le dispositif de vérification des empreintes et des signatures,
- le dispositif de mise sous séquestre des empreintes et des signatures,
- le dispositif de stockage des documents - le dispositif de gestion des flux de documents.
Le dispositif d'oblitération a pour objet d'apposer des empreintes sur les documents électroniques en utilisant une représentation d'empreinte produite à l'aide d'un artefact électronique de
tampon. Le document oblitéré pourra éventuellement être surchargé de la signature manuelle que l'utilisateur aura numérisée à l'aide d'une tablette de numérisation d'écriture. Ce document électronique oblitéré et éventuellement signé, peut alors être transmis à un autre utilisateur sous forme électronique. Ce nouvel utilisateur peut constater que le document a été oblitéré et signé manuellement de l'utilisateur précédent. Cet utilisateur pourra donc présupposer que le document a bien subi comme dans le monde physique réel une action d'oblitération et de signature de la part de l'utilisateur signataire.
Les empreintes déposées sur les documents permettent à un dispositif de pilotage de connaître leur état et ainsi de les faire éventuellement circuler en les distribuant dans les boîtes aux lettres des personnes habilitées à les recevoir pour compléter leur état.
La figure 1 montre le système d'oblitération composé du dispositif d'oblitération, du dispositif de mise sous séquestre des empreintes de tampon et des signatures et du dispositif de stockage et de restitution des documents. Ces trois dispositifs permettent de produire un document oblitéré et signé manuellement tenant compte en même temps des modalités de signature électronique fondé sur la norme X509 V3 des certificats. La carte à puce est introduite par l'utilisateur, un mot de passe permet à l'utilisateur de s'authentifier, ce qui permet d'activer le dispositif d'oblitération dans l'outil d'édition (figure 1 référence 1) . Le dispositif d'oblitération envoie en retour une signature à la carte à puce afin de contrôler l'authenticité du dispositif d'oblitération. Le dispositif d'oblitération peut recevoir des documents soit par accès direct (figure 1 référence 3) au dispositif de stockage et de restitution des documents, soit par la boîte aux lettres qui contient les documents reçus par l'utilisateur (figure 1 référence 2). La boîte aux lettres et le dispositif de stockage et de restitution des documents contrôlent l'identité de l'utilisateur à la réception de son certificat. En retour, la boîte aux lettres ou le dispositif de stockage et de restitution des documents fournit les documents authentifiés par les signatures qui les accompagnent. Ces signatures sont vérifiées
à l'aide du dispositif de vérification des empreintes et des signatures.
A l'oblitération, le dispositif de mise sous séquestre des empreintes de tampon et des signatures manuelles reçoit les empreintes de tampon (figure 1 référence 4) et les signatures manuelles chiffrées en retour le dispositif de mise sous séquestre fait parvenir au dispositif d'oblitération un complément d'empreinte chiffrée par le dispositif de mise sous séquestre. Ce complément d'empreinte sera intégré à l'empreinte et à la signature apposée sur le document. Le document oblitéré est retourné au dispositif de stockage et de restitution de documents (figure 1 référence 5). Un document faisant l'objet d'oblitérations n'est pas modifié.
La figure 2 montre le système de vérification de tampon et de signature. Il est composé du dispositif de vérification du tampon et de la signature et du dispositif de mise sous séquestre des empreintes du tampon et de la signature. Une validation autonome des empreintes et signatures manuelles du document lorsqu'elle est possible est une validation faible (figure 2 référence 4). Une validation sous le contrôle du dispositif de mise sous séquestre (figure 2 référence 3) est une validation forte (figure 2 référence 5) . Le dispositif de vérification des empreintes et de signatures est systématiquement activé à l'activation du dispositif d'oblitération. L'utilisateur introduit la carte à puce dans le lecteur puis s'authentifie par son mot de passe. Le dispositif de vérification des empreintes et des signatures (figure 2 référence 1) est alors activé. Le dispositif de vérification des empreintes et des signatures envoie en retour une signature à la carte à puce afin de contrôler l'authenticité du dispositif de vérification des empreintes et des signatures.
La figure 3 montre le système de pilotage des flux de documents. Il est composé du dispositif de pilotage des documents qui reçoit les états des empreintes (figure 3 référence 2) du dispositif de stockage et de restitution des documents. Les empreintes des documents sont interprétées pour piloter les flux de documents (figure 3 référence 3 et 4)afin d'alimenter les boîtes aux lettres
(figure 3 référence 5) .
La figure 4 montre la carte à puce permettant à l'utilisateur d'activer les dispositifs.
Cette carte contient l'algorithme exécutable de vérification des logiciels et une zone mémoire. Cette zone mémoire contient les informations suivantes :
- La date expiration de la carte qui a pour valeur le minima des dates d'expiration des certificats contenus dans la carte.
- Le certificat de l'organisme certificateur
- La date d'expiration du certificat
- L'identité de l'organisme certificateur
- La clé publique du tiers de confiance
- Le mot de passe carte utilisateur
- L' identifiant carte utilisateur
- La qualité de utilisateur (ou civilité)
- L' identité utilisateur - L'identité société utilisateur
- Le certificat utilisateur
- La date expiration
- La clé publique - La clé secrète utilisateur
- Le certificat du serveur de mise sous séquestre
- La date expiration
- La clé publique
- Le certificat des dispositifs logiciels
- La date expiration
- La clé publique
- La représentation vectorielle de l'empreinte du tampon La représentation vectoriel de l'empreinte du tampon est utilisée par le dispositif d'oblitération pour fournir une empreinte personnalisée reprenant le sigle de l'entreprise, son nom et son adresse à l'intérieur d'une empreinte de forme particulière dans
le cadre d'une charte de présentation de l'entreprise.
A l'exception de la clé secrète qui n'est présente que dans la carte à puce, les informations contenues dans la carte sont détenues chez le tiers de confiance dépositaire des informations historiques des cartes utilisateurs. Ce tiers de confiance peut fournir les clés publiques et les certificats contenus dans la carte d'un utilisateur à partir de l'indication de la date de fin de validité de cette carte, l'identifiant de l'utilisateur étant de surcroît nécessaire pour disposer de la clé publique et du certificat de l'utilisateur.
La sérigraphie de la carte reprend le graphisme de l'empreinte du tampon, la date à laquelle la carte expire, la qualité (civilité) , le nom et le prénom de l'utilisateur sont indiqués.
La figure 5 montre le dispositif de vérification des empreintes et des signatures. A l'introduction de la carte à puce, l'utilisateur saisit le mot de passe associé à la carte pour s'authentifier et l'activer. Le dispositif de vérification des empreintes et des signatures et le dispositif d'oblitération sont authentifiés par la carte à puce (figure 5 référence 1) et (figure 6 référence 1) de la manière suivante : la carte à puce envoie un code au dispositif qui en retour doit fournir le code chiffré. Si le code déchiffré correspond à celui attendu par la carte à puce, le dispositif sera réputé authentique, sinon, la carte à puce ne délivrera provisoirement plus de certificats. Trois sollicitations vaines de la carte à puce entraîne la destruction définitive de sa zone mémoire. Le dispositif reçoit le document à vérifier par l'intermédiaire de l'outil d'édition de documents à l'aide duquel le document est rapatrié soit à partir de la boîte aux lettres, soit à partir du dispositif de stockage et de restitution. Le dispositif de vérification des empreintes et des signatures envoie au dispositif de stockage ou à la boîte aux lettres, le certificat de l'utilisateur chiffré contenu dans la carte à puce (figure 5 références 2 et 5) . L'identité de l'utilisateur reconnu par déchiffrement, le dispositif de stockage et de restitution ou la boîte aux lettre délivre le documents demandé (figure 5 références
3 et 4). Le dispositif de vérification des empreintes et des signatures envoie son certificat chiffré afin que le tiers de confiance puisse contrôler l'identité de l'utilisateur demandeur. Le tiers de confiance retourne sous forme chiffrée à l'aide de sa clé publique, son certificat et une clé secrète symétrique qui servira ensuite à assurer la confidentialité de l'échange. Le dispositif de vérification des empreintes et des signatures déchiffre le certificat et la clé secrète symétrique. Le dispositif (de vérification des empreintes et des signatures) relève l'identifiant et la date d'expiration de la carte à puce ayant permis l'élaboration de l'empreinte pour chaque utilisateur ayant déposé une empreinte sur le document et vérifie qu'il détient leur certificat. Le dispositif de vérification des empreintes et des signatures émet une requête sécurisée par la clé secrète symétrique partagée concernant les certificats qu'il ne détient pas, en précisant l'identifiant de l'utilisateur et la date d'expiration de la carte à puce ayant permis l'élaboration de l'empreinte, afin de compléter sa librairie de certificats (figure 5 référence 6), auprès du tiers de confiance. Le tiers de confiance retourne par clé secrète symétrique, les certificats expirés ou non, suivant que le certificat utilisateur qui a présidé à l'élaboration de l'empreinte de tampon est, lui aussi expiré du fait de l'ancienneté de l'empreinte ou non. Sachant que les périodes de validité d'un certificat est au minimum de 6 mois, les certificats associés au certificat de l'utilisateur devront être considérés comme valides dans la période de 6 mois avant l'expiration de la date de fin de validité du certificat utilisateur. Les certificats qui seront fournis par le tiers de confiance seront le certificat utilisateur et le certificat du dispositif de mise sous séquestre (figure 5 référence 7).
Le dispositif de vérification des empreintes et des signatures contrôle l'authenticité de chaque empreinte à l'aide des clés publiques des certificats. Pour ce faire et pour chaque empreinte, le dispositif contrôle l'identité entre le condensé du document réalisé à l'aide d'un algorithme (SHAl -Secure Hashing Algorithm ou MD5 - Message Digest-5 -) et le condensé chiffré décodé à l'aide de la clé publique disponible dans le certificat de l'utilisateur, en vigueur au moment de l'élaboration de
- 12 - empreintes et des signatures soit à partir de la boîte aux lettres, soit à partir du dispositif de stockage et de restitution suivant les modalités préalablement décrites, (figure 6 références 2, 3, 4, 5). Le dispositif de mise sous séquestre est en liaison avec le dispositif de vérification des empreintes et des signatures, le dispositif d'oblitération reprend la communication secrète établie avec le dispositif de mise sous séquestre en récupérant la clé secrète symétrique, le dispositif de vérification des empreintes et des signatures communique le rang que devra tenir la nouvelle oblitération. Le dispositif d'oblitération prend la main sur le bandeau de commande et efface toutes les zones du bandeau et indique le rang d'oblitération que tiendra la nouvelle empreinte, passe le voyant lumineux au vert indiquant ainsi que la carte à puce est en place et que l'échange entre le dispositif d'oblitération et le dispositif de mise sous séquestre est opérant (figure 6 références 9 12 et 13), et transforme le système de pointage utilisé par l'utilisateur dans l'outil d'édition de document en un icône de tampon lorsque celui-ci se déplace sur le document (figure 10 référence 4).
A partir de cet instant et jusqu'à l'accusé de réception du dispositif de mise sous séquestre, les dispositif d'oblitération et le dispositif de mise sous séquestre doivent continuer à partager la clé secrète symétrique et le numéro de session d'oblitération et la carte à puce doit rester en place et être active. Si pour une raison quelconque une au moins des ressources venait à manquer durablement (supérieur à quelques secondes) ou ne pouvait plus partager les informations avec le dispositif d'oblitération, le témoin lumineux du bandeau de commande passerait au rouge et l'icône du tampon disparaîtrait au profit d'un curseur flèche normal. Cela indiquerait la fin prématuré du processus d'oblitération et l'obligation de recommencer l'opération depuis le début. Dans le cas d'un fonctionnement normal, la relation est établie avec le dispositif de mise sous séquestre et la carte à puce est en place, l'utilisateur peut effectuer l'oblitération du document à l'apparition de l'icône tampon. L'utilisateur choisit un endroit sur le document qui lui paraît le
- 13 - plus adapté pour recevoir l'empreinte du tampon, en lisière du document par exemple.
L'utilisateur sollicite le dispositif d'oblitération en activant le dispositif de pointage sur l'endroit du documents qui lui paraît adapté à recevoir l'empreinte du tampon
Le dispositif d'oblitération fournit au dispositif de mise sous séquestre en mode confidentiel par chiffrage à clé secrète partagée symétrique (figure 6 référence 10) :
- Le condensé du documents chiffré par la clé secrète de l'utilisateur, clé secrète contenue dans la carte à puce.
Les information provenant de la carte à puce : - L'organisme certificateur
- Le nom du service certifié
- L'identifiant de l'utilisateur
- La date d'expiration de la carte utilisateur
- La qualité de l'utilisateur - L'identité de l'utilisateur
- L'identité de l'entreprise de l'utilisateur
- Le type d'oblitération
Le rang d'oblitération de la nouvelle empreinte.
Le dispositif accuse réception des informations (figure 6 référence 11) en retournant :
- le n° de session d'oblitération que le dispositif vient de créer ainsi que - la date et
- l'heure de la création de la session d'oblitération. Le dispositif de mise sous séquestre crée sous ce numéro de session, un contexte à l'utilisateur permettant le stockage des informations parvenues, attendant la mise sous séquestre. Le numéro de session d'oblitération est un nombre unique pour l'ensemble des oblitérations. Ce nombre entier est délivré par un
- 14 - compteur dont la valeur d'incrément est d'une unité à chaque événement de création de session d'oblitération. Ce numéro de session d'oblitération est obligatoirement délivré par le dispositif de mise sous séquestre.
A la réception des informations provenant du dispositif de mise sous séquestre, le dispositif d'oblitération complète le bandeau de commande (figure 6 référence 12) avec le numéro de session d'oblitération en cours, sa date et son heure de début. Le dispositif d'oblitération demande à l'utilisateur de saisir les commentaires qui seront visibles sous le tampon et de réaliser une signature sur la tablette à numériser l'écriture figure 6 référence 18), l'utilisateur peut annuler cette demande et l'empreinte ne comportera pas de signature ou au contraire, l'utilisateur appose sa signature manuelle (figure 6 référence 14). Pour ce faire, une fenêtre de numérisation de signature graphique s'ouvre et active la tablette de numérisation d'écriture mis à disposition de l'utilisateur (figure 11 référence 3). L'utilisateur dépose sa signature manuelle sur la tablette de numérisation. Les caractéristiques cinétiques et géométriques de la signature sont enregistrées par le dispositif d'oblitération et de signature sous forme d'une séquence de positions successives de la pointe du stylographe électronique sur la tablette numérique à une fréquence d'échantillonnage de 100 coordonnées/seconde du début à la fin du temps de signature. Cette information est envoyées dispositif de mise sous séquestre à des fins d'analyses ultérieures par des experts graphologues. En même temps, le dispositif d'oblitération et de signature produit une image de signature statique composée de points. Pour ce faire, à la fermeture de la fenêtre de traitement de la signature, le dispositif d'oblitération récupère la charte graphique de l'empreinte de tampon contenue dans la carte à puce de l'utilisateur et la valorise avec les données acquises.
- Rang de l'oblitération - Type d'oblitération
- Numéro de session d'oblitération
- Date de début de session d'oblitération
- Heure de début de session d'oblitération
- 15 - L'empreinte est constituée d'une image de points. Elle est le résultat de la fusion entre l'image de points représentant la signature obtenue à partir de la numérisation de la signature manuelle de l'utilisateur, les commentaires transformés également en images de points et la signature valorisée transformée elle aussi en image de points. Cette empreinte visible est celle qui sera déposée sur le document.
Le dispositif d'oblitération envoie, sous l'identifiant du numéro de session d'oblitération, à destination du dispositif de mise sous séquestre dans un échange sécurisé par clé secrète symétrique :
- l'empreinte résultante contenant l'empreinte du tampon, les commentaires et la signature éventuelle de l'utilisateur, réalisée sous forme d'une image de points - La séquence des positions successives de la pointe du stylographe électronique sur la tablette numérique à une fréquence d'échantillonnage de 100 coordonnées/seconde du début à la fin du temps de signature. Le dispositif de mise sous séquestre, stocke les informations définitivement dans une zone sécurisée sous une double clé d'accès composée de l'identifiant de utilisateur et du numéro de session d'oblitération, Les informations suivantes :
- Le condensé du documents chiffré par la clé secrète de l'utilisateur, clé secrète contenue dans la carte à puce. - L'organisme certificateur
- Le nom du service certifié
- L'identifiant de l'utilisateur (clé d'enregistrement)
- La date d'expiration de la carte utilisateur
- La qualité de l'utilisateur - L'identité de l'utilisateur
- L'identité de l'entreprise de l'utilisateur
- Le type d'oblitération
- Le rang d'oblitération de la nouvelle empreinte.
- Le numéro de la session d'oblitération (clé d'enregistrement) - La date du début de la session d'oblitération
- L'heure du début de la session d'oblitération
- l'empreinte résultante contenant l'empreinte du tampon, le commentaire et la signature éventuelle de l'utilisateur, réalisée
- 16 - sous forme d' une image de points
- La séquence des positions successives de la pointe du stylographe électronique sur la tablette numérique à une fréquence d'échantillonnage de 100 coordonnées/seconde du début à la fin du temps de signature.
Le dispositif d'oblitération reçoit du dispositif de mise sous séquestre la validation de la mise sous séquestre et les informations qui vont lui permettre de constituer définitivement l' empreinte. Le dispositif de mise sous séquestre envoie sous l'identifiant du numéro de session d'oblitération dans un échange sécurisé par clé secrète symétrique, les informations suivantes chiffrée à l'aide de sa clé secrète asymétrique (figure 6 référence 16) :
- La qualité de l'utilisateur - L'identité de l'utilisateur
- L'identité de l'entreprise de l'utilisateur
- Le rang de l'oblitération
- Le type de l'oblitération
- Le numéro de session de l'oblitération - La date de début de l'oblitération
- La date de fin de l'oblitération. et relâche le contexte qu'il avait créé pour le numéro de session d'oblitération considéré après accusé de réception de la part du dispositif d'oblitération. La figure 7 montre quelle est la structure du document d'accueil nécessaire à l'intégration du document proprement dit et des empreintes et signatures. Ce document est composé d'un document pouvant contenir plusieurs documents chacun de ces document étant accompagné par l'outil d'édition et d'extraction qui lui est propre (figure 7 référence 1). La mise en œuvre de l'outil d' édition du document d' accueil permet de disposer des documents assemblés à l'écran et sur le papier (figure 7 référence 2). C'est cet outil d'édition qui permet à l'utilisateur d'éditer le résultat de l'assemblage sur papier ou à 1 'écran. La mise en œuvre des outils d'édition et d'extraction spécialisés selon les documents accueillis permet de disposer des documents indépendamment les uns des autres. Ces outils permettent de pouvoir extraire sans modification les documents qui ont été
- 17 - introduits dans le document d'accueil et de les utiliser indépendamment du document d'accueil, (figure 7 références 3 et 4) .
La figure 8 montre le document représentant l'empreinte et la signature. Il est représenté dans la figure sous forme éditée logique. Il est composé de 2 parties : une partie éditable et imprimable visible qui représente l'empreinte du tampon et la signature formées d'un graphisme de points.
Une partie éditable non imprimable et invisible qui contient 3 blocs d'information :
Un bloc d' informations en clair précisant :
- L'organisme certificateur de la carte à puce - Le nom du service certifié
- L'identifiant de l'utilisateur
La date d'expiration de la carte utilisateur.
Un bloc d'informations chiffré par la clé secrète du dispositif de mise sous séquestre précisant : - La qualité de l'utilisateur (civilité)
- L'identité de l'utilisateur
- L'identité de l'entreprise de l'utilisateur
- Le rang de l'oblitération
- Le type d' oblitération - Le numéro de session d'oblitération
- La date de début de l'oblitération L- 'heure de début de l'oblitération
Un bloc d'information chiffré par la clé secrète de l'utilisateur qui a procédé à la pose de l'empreinte et à la signature manuscrite. Contenant :
- Le condensé du document.
La figure 9 montre la forme logique finale que prend le document (figure 9 référence 1), le document accueilli (figure 9 référence 2) étant le document faisant l'objet de la certification et les documents accompagnateurs étant les empreintes, les signatures et les informations invisibles les accompagnant (figure 9 référence 3)
La figure 10 montre l'intégration du bandeau de commande des dispositif de vérification des empreintes et des signatures et d'oblitération à l'intérieur d'un outil d'édition (figure 10 référence 1). Lorsque le bouton poussoir dont l'icône représente un tampon est actif et qu'il est sollicité (figure 9 référence 2), c'est à dire que le document est valide et que l'activité du dispositif d'oblitération avec le dispositif de mise sous séquestre est actif et la carte à puce est en place, le voyant vers étant allumé (figure 9 référence 3), L'icône du dispositif de pointage de l'éditeur est transformé en tampon, (figure 9 référence 4)
La figure 11 montre l'apparition de la fenêtre de numérisation de la signature activant la tablette de numérisation et la répétition de la capture de la signature manuelle dans la fenêtre de validation (figure 11 référence 3) La présence du témoins lumineux vert (figure 11 référence 2) et la présence de l'icône tampon oscillant comme le système de pointeur graphique montre que le système progresse.
La figure 12 montre la dépose de l'empreinte et de la signature à l'endroit préalablement choisie, (figure 12 référence 1). Ce tampon peut être déplacé à l'aide du système pointeur sur le document tant que le témoin lumineux est au vert (figure 12 référence 2). La dépose définitive de l'empreinte du tampon a lieu à l'envoi de la validation émis par l'utilisateur à l'aide de son système de pointage. Le document ainsi complété est sauvegardé par l'utilisateur dans le dispositif de stockage et de restitution.
La figure 13 montre comment fonctionne le dispositif de pilotage des flux de documents à partir des informations mises à disposition par le dispositif de stockage et de restitution de documents . Un document initialement crée et signé est introduit dans le dispositif de stockage et de restitution des documents. Ce document peut être une photographie dont l'empreinte de tampon a pu être produite à partir de la signature (condensé chiffré)
- 19 - réalisée par l'appareil photographique numérique (figure 13 référence 1). A l'arrivé du document dans le sas, le document est stocké dans le dispositif de stockage et de restitution des documents après avoir été encapsulé à son passage dans le sas d'entrée à l'intérieur d'un document d'accueil comme décrit plus haut prenant le nom du document qu'il encapsule et d'une première empreinte précisant En clair :
- L'organisme certificateur du certificat de l'appareil - Le nom du service certifié
- L'identifiant de l'appareil photo qui a pris la photo
- La date d'expiration du certificat de l'appareil En clair
- La date et l'heure de la prise de vue. Chiffré à l'aide de la clé secrète de l'appareil
- Le condensé de la photo
Il sera répertorié au catalogue des documents (figure 13 référence 6). Suivant ses particularités, il pourra soit faire l'objet d'un appel direct de la part d'un utilisateur (figure 13 référence 2 et 3), soit faire l'objet d'une mise en œuvre d'une circulation automatisée.
Le catalogue émet un événement à l'automate de pilotage des flux de documents, à chaque arrivée d'un nouveau document. L'automate de pilotage des flux de documents extrait le document du stockage s'il est répertorié dans les règles comme devant être mis ne circulation, (figure 13 référence 9) . Les règles sont assorties de commentaires à introduire dans les messages à destination des utilisateurs qui recevront les documents dans leur boîte aux lettres. Les règles précisent la ou les boîte (s) aux lettres concernée (s) par la distribution du document, (figure 13 référence 8. Les adresses de distribution sont confiées au moteur de gestion des flux de documents (figure 13 référence 12) ainsi que les documents (figure 13 référence 10) Le document arrive sur la boîte aux lettres de l'utilisateur qui peut dès lors qu'il est authentifié par sa carte à puce effectuer l'éventuelle oblitération et signature dont il a la charge figure 13 référence 13). Dès lors qu'il a apposé l'empreinte de son
- 20 - tampon et sa signature il peut le renvoyer au dispositif de stockage et de restitution des documents (figure 13 référence 3) . Ce document fera l'objet d'une lecture des propriétés de l'empreinte dans le sas d'entrée. Pour ce faire, chaque empreinte sera déchiffrée à partir de la clé publique du dispositif de mise sous séquestre définie à partir de la date d'expiration de la carte de l'utilisateur (figure 13 référence 4). Ce document sera stocké à nouveau en lieu et place du précédent. L'état du document sera consigné dans le catalogue des documents. Un événement vers l'automate pourra donner lieu à une nouvelle circulation de documents (figure 13 référence 7).
La réalisation des dispositifs est supportée par des plates formes informatiques. Les dispositifs d'oblitération et de vérification des empreintes et des signatures sont intégrés à un éditeur de document du marché du genre WORD™ fonctionnant sur microordinateur.
Dans cette éditeur, on peut réaliser une bandeau de commande sous forme de barre d'outil qui permette d'activer les programmes de gestion d'oblitération et de vérification dont les fonctionnalités ont été décrites plus haut. La figure 5 référence 1 montre la forme que cette barre d'outil peut prendre.
Les dispositifs de mise sous séquestre et le dispositif de stockage et de restitution sont des plates formes serveurs accessibles par le poste de travail par réseau INTERNET.
Le dispositif de pilotage des flux de documents peut être abritée sur la plate forme de stockage et de restitution.
Le moteur de gestion des flux de document à oblitérer et à signer peut prendre la forme de la messagerie INTERNET sous SMTP. Les boîtes aux lettres étant les points de contact POP de la messagerie SMTP.
Les documents constitutifs sont de tous les types possibles que ce soit des images, des documents graphiques ou textuels, des sons,
- 21 - des vidéos,...) en particulier il peuvent être des documents .jpg • Ces documents doivent satisfaire à des règles de construction techniques particulières qui doivent permettre d'intégrer différents documents dans une même structure, en les conservant conjointement éditables et en respectant l'intégrité de leur structure physique, le document d'accueil formant réceptacle ds documents composés du document principal, du (ou des) tampons, de la (ou des) signatures et des informations complémentaires associées. Un tel document d'accueil correspond au mode de fonctionnement en mode OLE™ (Object Linking and Embedding) qui permet d'encapsuler les documents accueillis sous forme d'objets éditables sans que les documents accueillis ne subissent aucune modification. Ces documents accueillis sont éditables dans le document d'accueil à l'aide des éditeurs encapsulés embarqués et ils sont éditables et extractibles du document d'accueil à l'aide de leur propre éditeur. Le fait de rendre les documents extractibles de leur document d'accueil permet de récupérer le document original. Les liens OLE™ dans un document de type WORD™ permettent de satisfaire aux contraintes fonctionnelles d'édition et d'extraction nécessaires aux mécanismes des dispositifs de vérification, d'oblitération et de pilotage. Ces liens OLE™ permettent de mettre en œuvre les caractéristiques d'assemblage, d'édition dynamiques et d'extraction des documents sans altération de leur contenus conformément à la figure 7. Un document WORD™ peut contenir plusieurs documents .jpg en liens OLE™ qui peuvent se recouvrir les uns les autres à l'édition et à l'impression. Par exemple, un document .jpg est le document de référence et les autres documents .jpg contiennent les empreintes, la signature, les commentaires et la zone invisible tels que décrit par la figure 9. Le document WORD™ est éditable et imprimable globalement.
Il est tout aussi possible d'extraire sans altération le document principal .jpg ou les documents complémentaires à l'aide des outils d'édition et d'extraction qui sont associé aux objets dans le lien OLE™.
Le document WORD™ peut donc être exploité pour transporter les
- 22 - documents tout en permettant d'effectuer les contrôles d'authenticité des objets que ce document contient en effectuant d'une part l'extraction dans WORD™ du document principal et d'autre part l'extraction dans WORD™ du document contenant toutes les informations d'empreinte visibles ou invisibles. Le condensé du document principal -jpg est comparé au condensé déchiffré contenu dans la partie invisible extraite du document .jpg non graphique pour contrôler l'authenticité du document. La partie invisible de l'empreinte est structurée en XML afin de faciliter la recherche des données dans les différents dispositifs. Cette structure XML permet de pouvoir disposer immédiatement de structure exportables pour constituer le catalogue des documents. La signature manuelle fait l'objet d'une décomposition sous forme d'une séquence de coordonnées de points échantillonnées à 100 points par secondes entre le début et la fin de la signature. Cette séquence déposée dans le serveur du tiers de séquestre, peut être aisément transformée en MPEG3 pour être visualisée dans un éditeur vidéo disponible sur micro ordinateur. Les experts disposent ainsi d'un moyen de reconnaître l'utilisateur au travers de sa façon de réaliser sa signature. Un dépôt de signature auprès du serveur tiers de séquestre selon le même procédé peut faciliter la reconnaissance de l'authenticité de signature d'un utilisateur.
Les domaines d'application industrielles et de services couvrent la qualification et la certification de photographies, de sons, de plans, de vidéos, par des experts à des fins décisionnels juridiques ou assuranciels.