Mois : novembre 2021
Un risque de piratage avéré
Quoi de plus simple pour les pirates informatiques que de s’emparer de vos e-mails aux contenus sensibles ou d’usurper votre identité ? En l’absence de signature électronique, rien ne garantit que le contenu d’un e-mail n’a pas été altéré ou que son expéditeur est bien la personne qu’il prétend être. Un hacker peut en effet manipuler les feuilles de style CSS hébergées sur un serveur tiers dans le but de modifier le contenu d’un e-mail. Les cybercriminels peuvent également subtiliser votre serveur de messagerie pour envoyer frauduleusement des e-mails infectés de virus en votre nom et à partir de votre boîte mail.
Autre technique de piratage de plus en plus répandue et en tête du palmarès des cybermenaces, l’hameçonnage ou « phishing » : dans cette forme d’escroquerie, les fraudeurs usurpent l’identité d’une personne, d’une entreprise ou d’une organisation, dans le but d’obtenir des informations personnelles ou confidentielles, telles des identifiants bancaires ou des mots de passe. Les e-mails reçus dans ce cadre semblent en effet émaner de sites Internet familiers ou d’organismes officiels (banque, impôts, CAF, Ameli, etc.), gagnant ainsi la confiance des destinataires. Afin de sécuriser les e-mails de l’ensemble de vos collaborateurs, il vous faudra créer une signature électronique et la mettre en place dans votre organisation.
La signature électronique de mail : une pratique loin d’être anodine
De plus en plus répandue, la création de signature électronique ne doit pas pour autant être confondue avec la signature d’e-mail ajoutée à la fin de vos messages, carte de visite virtuelle qui contient votre nom, adresse, numéro de téléphone, etc. Ce type de signature, qui peut même être ajoutée automatiquement à chacun de vos e-mails, par le biais de la configuration de vos paramètres de messagerie, ne garantit en aucun cas la sécurisation des messages que vous envoyez sur le web. Il s’agit en effet d’une simple signature textuelle : à ce titre, elle peut être copiée, altérée, et le contenu de votre e-mail, transformé. Cette signature ne vaut donc pas preuve d’authenticité. Les pirates informatiques n’auront en outre aucun mal à modifier la signature que vous apposez classiquement au bas d’un e-mail. Par conséquent, le destinataire de vos messages ne pourra avoir la certitude que vous en êtes bien l’expéditeur.
Seule solution, choisir une signature électronique de mail pour votre entreprise. En droit français, créer une signature numérique doit permettre à une entreprise de répondre à minima à deux objectifs essentiels : être en mesure d’identifier formellement le signataire d’un document numérique et garantir l’intégrité de ce document, dont les données doivent être exemptes de toute altération ou modification. En adoptant cette nouvelle signature pour les e-mails de votre organisation, vous vous assurez que l’identité de vos collaborateurs ne sera pas usurpée et que des personnes malveillantes n’intercepteront pas leurs e-mails pour en modifier le contenu.
Comprendre le principe de non-répudiation
Utiliser un générateur de signature électronique représente un enjeu majeur de la transformation numérique des entreprises. Les e-mails sont très fréquemment les vecteurs de transmission d’informations personnelles ou sensibles, notamment via les pièces jointes qui y sont attachées. Tous types de documents naviguent donc sur le web, au risque d’être captés par les cybercriminels pour ensuite être détournés de leur objectif et utilisés à votre insu : contrat de travail, de crédit, compromis de vente immobilier, souscription d’assurance-vie, etc.
Les données qui transitent par le biais de vos e-mails doivent rester confidentielles et intègres. Selon le principe de non-répudiation, les contrats signés via Internet ne peuvent pas être remis en cause par les parties. Et ceci vaut également pour les e-mails signés électroniquement. À l’évidence, ce principe est particulièrement important à l’heure de la montée en puissance du commerce en ligne et de la numérisation massive des usages. Concrètement, comment fonctionne-t-il ? Il s’agit de pouvoir s’assurer que l’expéditeur est bien la partie qui prétend avoir envoyé le message : on parle alors de non-répudiation de l’origine. Ici encore, il va sans dire que votre signature par défaut, automatisée ou non, ne vous protège pas du risque de répudiation. Seul l’emploi d’une technologie de signature par certificat électronique peut vous en prémunir.
La signature électronique de mail Certigna : le Certigna ID RGS*
Certigna, autorité de certification respectant le référentiel général de sécurité (RGS), norme française, vous propose une solution de signature électronique d’e-mails basée sur la délivrance de certificats de niveau RGS*. Ce certificat numérique contient l’ensemble de vos informations professionnelles (nom, prénom, e-mail, nom de société, etc.) et agit comme une carte de visite virtuelle. Le certificat Certigna ID RGS* est disponible sous format logiciel : il permet de signer vos e-mails afin que leurs destinataires n’aient aucun doute quant à l’identité de leur émetteur ou à l’intégrité de leur contenu. Cette solution vous permet ainsi d’écarter le risque de phishing ou d’usurpation d’identité.
La solution de signature électronique de mail Certigna, proposée à partir de 35 € HT/an, vous sera délivrée dans les 5 jours ouvrés et inclut une refabrication gratuite dans un délai de trois mois. Le certificat Certigna ID RGS* est compatible Windows et Mac et est également qualifié selon la norme européenne ETSI EN 319 411-1.
Plus de 25 ans après sa création au Japon, le QR Code connaît un retour en grâce favorisé par les certificats de tests et de vaccination contre le Covid-19. Le pass sanitaire étant pour l’heure nécessaire afin de profiter de nombreux services, présenter (ou scanner) un QR Code est désormais devenu une habitude. Avant leur homogénéisation au niveau européen, les certificats de tests et de vaccination français ne présentaient pas un QR Code, mais un 2D-Doc. Ce code-barres bidimensionnel a été créé en 2013 par l’Agence nationale des titres sécurisés (ANTS)[1] pour fiabiliser l’échange de données entre l’usager et l’administration.
« Le 2D-Doc comporte une signature infalsifiable des données. Elle permet non seulement de vérifier l’intégrité de ces dernières, mais également d’identifier l’émetteur et signataire du document, rappelle Pascal Merlin, Business Unit Manager chez Certigna. À l’inverse, si la signature ne peut être vérifiée (données falsifiées, émetteur non référencé auprès de l’ANTS, date de signature postérieure à la date de fin de validité du certificat, etc.) l’application de lecture affiche un message d’erreur et n’affiche pas les données présentes dans le code. » Loin de leurs débuts dans le domaine industriel, les codes 2D connaissent plusieurs utilisations grand public, à l’image des cinq cas d’usage décryptés ci-dessous.
1. Les justificatifs de domicile
Pour lutter contre les fraudes et l’usurpation d’identité, il est essentiel de sécuriser les justificatifs de domicile (justificatifs de contrats de fournisseurs d’énergie, avis de taxe d’habitation) exigés lors des démarches administratives. La sécurisation de ces justificatifs est d’ailleurs à l’origine de la création du dispositif 2D-Doc. En 2008, d’après l’ANTS, près de 50 % des dossiers d’usurpation d’identité traités par le ministère de l’Intérieur contenaient une fausse facture de fournisseur d’énergie ou de téléphone[2].
La solution 2D-Doc permet d’authentifier un document sécurisé en détectant toute modification de ses informations. Cet enjeu de sécurisation est une priorité des pouvoirs publics. La généralisation de la facturation électronique entre 2024 et 2026 visera notamment à « améliorer la détection de la fraude, au bénéfice des opérateurs économiques de bonne foi », selon le ministère de l’Économie et des Finances[3].
2. Les documents officiels, comme la nouvelle carte d’identité
Lancée cet été sur tout le territoire français, la nouvelle carte nationale d’identité est dotée, à son verso, d’un cachet électronique visible sous forme de 2D-Doc. Il contient les informations suivantes : nom et prénom, sexe, nationalité, lieu de naissance, type de document, numéro du titre et date de délivrance.
Ces informations sont scellées par une signature électronique de l’État français, qui garantit l’identification de l’organisme émetteur et l’intégrité des données, évitant le risque de falsification. « Cette mise en œuvre permettra au grand public de découvrir la différence entre un simple QR Code non signé généré par tout un chacun en 10 secondes et un 2D-Doc infalsifiable à ce jour » prédisait l’ANTS dans son rapport d’activité 2020. D’autres documents officiels reposent également sur l’usage du 2D-Doc, parmi lesquels la Carte Mobilité Inclusion, les vignettes Crit’Air, les courriers de retrait de points du permis du conduire, le macaron pour chauffeur VTC, les certificats de décès, des actes d’huissier, etc…
3. Les ressources humaines, via les fiches de paie
Certains employeurs, à l’image du ministère de l’Éducation Nationale, ont d’ores et déjà instauré un 2D-Doc sur les bulletins de salaire de leur personnel. Sur une fiche de paye, ce 2D-Doc encode les données essentielles (prénom, nom, salaire brut et net, etc.). Parmi les débouchés possibles d’une telle sécurisation, Pascal Merlin évoque « un moyen utile pour limiter les fraudes dans les dossiers de location immobilière ».
4. Le secteur bancaire
Le relevé d’identité bancaire (RIB) et le relevé d’identité SEPAmail font depuis longtemps partie des documents permettant l’intégration d’un 2D-Doc. La communauté bancaire n’a toutefois pas largement adopté cette solution, alors que certaines escroqueries restent basées sur l’usage de faux RIB. Une adoption généralisée permettrait certainement de les limiter.
5. Traçabilité des produits
Face à la vigilance croissante des consommateurs sur la qualité des produits, des entreprises optent déjà pour la transparence via le 2D-Doc, permettant d’accéder à la liste complète des ingrédients, leur provenance, les contrôles qualité effectués, etc. Tandis qu’un QR Code est souvent présenté sur l’emballage du produit, au risque de perdre les informations une fois l’emballage retiré, le 2D-doc peut directement être appliqué au produit grâce à sa dimension réduite. Compte tenu de la possibilité de reproduire un 2D-Doc, une traçabilité fiable nécessiterait toutefois de combiner le code avec une technologie moins imitable, en intégrant par exemple un hologramme.
En huit ans d’existence, le dispositif 2D-doc s’est progressivement imposé en tant que solution de la lutte anti-fraude. Initialement conçue pour sécuriser des justificatifs et simplifier les démarches administratives, cette innovation dépasse désormais son cadre régalien et laisse entrevoir de prometteurs usages dans le domaine commercial privé.
Pour en savoir plus sur le 2D-Doc, rendez-vous sur notre site : www.certigna.com/mes-documents-imprimes/
[1] 2D-Doc, Agence nationale des titres sécurisés, 01/10/2021. URL : https://ants.gouv.fr/Les-solutions/2D-Doc.
[2] « Spécifications techniques des Codes à Barres 2D-Doc », Agence nationale des titres sécurisés, 02/08/2021.URL : https://ants.gouv.fr/Les-solutions/2D-Doc
[3] « Généralisation de la facturation électronique entre assujettis et transmission d’informations à l’administration fiscale : l’ordonnance a été publiée », Communiqué de presse, ministère de l’Économie et des Finances, 16/09/2021.
Conformément à la décision du CA / Browser Forum entérinée par le vote SC45, Certigna modifiera à compter du 15 Novembre 2021, les conditions de méthodes validation de contrôle de domaine (DCV) pour la gamme des produits SSL Certigna.
Qu’est-ce qu’une validation de contrôle de domaine ?
Afin que Certigna puisse émettre votre certificat, vous devez justifier de votre possession du ou des noms de domaines associés à votre demande de certificat. Cette vérification complémentaire a pour but d’éviter l’émission frauduleuse de demande de certificat.
Le DCV, pour Domain Control Validation (ou validation de la possession d’un nom de domaine) est une validation complémentaire dans la vérification d’un dossier. Celui-ci permet de vérifier que le demandeur d’un certificat possède effectivement les droits de gestion du nom de domaine, ou alors que le gestionnaire du domaine autorise le demandeur à acheter un certificat pour le domaine qu’il gère.
Lors de la personnalisation de vos certificats Certigna SSL et après soumission de votre CSR, nous vous proposions initialement 3 méthodes de contrôle DCV
– le DCV email
– le DCV DNS
– Et le DCV HTTP / HTTPS.
C’est cette dernière méthode de validation de contrôle de domaine qui est impacté.
Quels impacts ?
Le récent vote du CA / Browser forum – décision SC45 – impacte toutes les demandes de certificats SSL / TLS et impose :
- Pour les certificats SSL avec option Wildcard : l’interdiction de cette méthode de validation de domaine pour les certificat avec option Wildcard.
- Pour les autres certificats SSL avec plusieurs FQDN (domaines / sous domaines) : la nécessité de positionner sur chaque FQDN le fichier de contrôle DCV HTTP / HTTPS. Chaque FQDN requiert donc une validation indépendante.