Glossaire
AC : Voir Autorité de Certification
Adossement : Action de rapprocher systématiquement un courrier avec son justificatif afin de garantir les moyens d’authentification des personnes morales ou physiques, les procédures d’habilitation et de coordination des tâches et les moyens de communication sécurisés et interopérables entre les entreprises.
AH : Voir Autorité d’horodatage
Algorithme : Etude de la résolution de problèmes par la mise en œuvre de suites d’opérations élémentaires selon un processus défini aboutissant à une solution. Dans le domaine de la sécurité, l’algorithme qualifie principalement une procédure de calcul de clé, de code secret ou de mot de passe.
Allegro, Atlas 400 : Réseaux à valeur ajoutée utilisés par la grande distribution, en particulier pour l’approvisionnement.
AS1, 2 et 3 (Applicability Statement 1, 2 et 3) : Protocoles de transport de messages EDI sur l’Internet. AS1 (Applicability Statement) véhicule les messages sur SMTP, AS2 sur HTTP et AS3 sur FTP. Ils utilisent le chiffrement et la signature électronique pour garantir la confidentialité des transmissions, la fiabilité des messages et leur non-répudiation.
Archivage électronique : Action de recueillir, de classer et de conserver des informations à des fins de consultation ultérieure. L’ archivage est une fonction en soi, qu’il ne faut confondre ni avec la sauvegarde ni avec la gestion électronique des documents. Les données archivées nécessitent un support adapté, fiable, résistant au temps et suffisamment sécurisé.
Attestation de conformité : Action par laquelle une tierce partie vérifie et démontre qu’un produit, un processus ou un service rendu est conforme à une norme, à un référentiel ou à un autre document spécifié.
Authentification : Processus visant à établir de manière formelle et intangible l’identification des parties à un échange ou à une transaction électronique.
Authentification de message : Action de vérifier qu’un message a été transmis intact par l’émetteur supposé au destinataire prévu.
Autorité d’enregistrement : Structure recevant les demandes de clés d’internautes souhaitant disposer personnellement d’une signature électronique et s’assurant de l’identité des demandeurs avant d’établir un certificat transmis à l’Autorité de certification.
Autorité d’horodatage (AH) : Autorité responsable de la gestion de l’environnement d’horodatage et de la production des contremarques de temps sur les données qui lui sont présentées afin d’attester de l’existence de ces données à la date de la marque de temps.
Autorité de Certification (AC) : Autorité chargée par un ou plusieurs utilisateurs de créer et d’attribuer des certificats de clés publiques. Cet intermédiaire assure l’archivage des signatures électroniques et tient l’annuaire des certificats en vigueur. Il pourra également assurer d’autres fonctions de notarisation comme l’horodatage.
Bi-clé asymétrique : Ensemble des paramètres utilisés dans un algorithme cryptographique asymétrique. Une bi-clé asymétrique est composé d’un ensemble de paramètres rendus publics, globalement appelés la clé publique, et d’un ensemble de paramètres conservés secrets par devers le propriétaire de la bi-clé, et appelés la clé privée. Les deux ensembles de clés ont la propriété que, connaissant la clé publique, il est impossible par le calcul d’en déduire la clé privée. Cette clé n’est donc pas secrète, ce qui ne veut pas dire qu’elle doit être publiée, il suffit qu’elle soit communicable ou communiquée aux entités qui en ont besoin.
Certificat : Equivalent numérique d’une carte d’identité. Un certificat spécifie le nom d’une personne, société ou entité et certifie qu’une clé publique, inclus dans le certificat, lui appartient. La signature numérique est créée à l’aide de la clé privée correspondant à la clé publique du certificat. La validité d’un certificat peut être vérifiée à l’aide de la signature numérique de l’autorité de certification.
Chiffre : Principe de codage utilisant la substitution d’un caractère par un autre ou éventuellement par plusieurs autres en se servant d’un algorithme de transformation de complexité variable.
Chiffrement : Procédé visant à transformer, à l’aide de conventions secrètes, des informations ou des signaux clairs en informations ou signaux inintelligibles pour des tiers. Le procédé peut également permettre de réaliser l’opération inverse, grâce à des matériels ou logiciels conçus à cet effet (art. 28 de la loi du 29 décembre 1990). Ce processus utilise généralement des algorithmes cryptographiques.
Clé : Série de symboles commandant les opérations de chiffrement et de déchiffrement. Ce paramètre est impossible à déduire des données d’entrée et de sortie.
Clé privée : Partie du bi-clé asymétrique qui n’est connue que de son propriétaire.
Clé publique : Partie du bi-clé qui est communiquée aux utilisateurs pour vérifier ou chiffrer.
Composante de l’AH : Plate-forme constituée d’au moins un poste informatique, une application, un moyen de cryptologie, un support réseau et jouant un rôle déterminé au sein du système.
Condensat : Voir Empreinte
Confidentialité : Caractère de ce qui est confidentiel. Nécessité liée à la sécurité des informations, visant à interdire l’accès de certaines données aux personnes ou aux entités non autorisées.
Contremarque de temps : C’est l’élément de données résultant de l’association de données à une date et une heure obtenues à partir d’une source de temps réputée fiable, le tout étant signé électroniquement par l’AH.
Cryptographie : Discipline qui englobe les principes, moyens et méthodes permettant la transformation de données, dans le but d’assurer, ensemble ou séparément, les services de confidentialité de leur contenu, de détection de leur modification, et/ou d’empêcher leur utilisation non autorisée.
Déchiffrement : Action de déchiffrer un message précédemment chiffré pour en retrouver la signification, par une opération inverse du chiffrement. On remarquera que le déchiffrement suppose la méthode de chiffrement connue, alors que le décryptage indique qu’on ignore la clé utilisée et qu’on cherche à la découvrir. En conséquence, le terme «cryptage» n’existe pas.
Déclaration des pratiques d’horodatage (DPH) : Document décrivant précisément les pratiques mises en place par l’AH ou par l’OSH pour la fourniture de contremarques de temps.
Décryptage : Recherche de la signification d’un message chiffré dont on ne connaît pas la clé de déchiffrement.
Dématérialisation de facture : Au sens de l’article 289 bis du CGI, un système de télétransmission de factures peut-être défini comme un ensemble de matériels et de logiciels permettant à une ou plusieurs personnes d’échanger des factures à distance et assurant les fonctionnalités fixées par la loi.
DES (Data Encryption System) : Système de codage cryptographique mis au point par IBM.
Dispositif d’horodatage : Ensemble de composants logiciels et matériels, géré comme une entité particulière et ayant une seule clé de signature des contremarques de temps. Dans le contexte présent, cette entité est le Serveur Primaire d’Horodatage (SPH).
Document électronique : Objet informatique manipulable par un ordinateur qui peut être, notamment, un écrit électronique, une image, un fichier son, un message de protocole informatique, un programme informatique, des paramètres, un ensemble de données organisées en fichier.
Donnée : Représentation d’une information sous une forme conventionnelle destinée à faciliter son traitement.
Déclaration des pratiques de certification (DPC) : Document décrivant les pratiques qu’une autorité de certification emploie pour l’émission des certificats.
DPC: Voir Déclaration des pratiques de certification
DPH : Voir Déclaration des pratiques d’horodatage
ebXML (electronic business using XML) : Ensemble de spécifications basées sur XML définissant un standard pour l’e-commerce. Successeur de l’EDI, ce standard permet d’étendre les possibilités d’échanges interentreprises. Contrairement à l’EDI, il ne nécessite pas de réseaux dédiés.
Echelle de temps [Universal Time Coordinated (UTC)] : Heure basée sur le méridien de Greenwich (+0, heure GMT). Cette heure est utilisée afin de n’avoir pas à jongler avec les décalages horaires lorsque l’on s’adresse à plusieurs interlocuteurs situés dans des fuseaux horaires différents.
Echelle de temps UTC(k) : Heure fournie par la source de temps «k» avec une précision suffisante pour l’usage envisagé. Cette précision est au plan strictement technique de ± 100 ns, si l’on souhaite impérativement se conformer à la recommandation S5 du Comité Consultatif pour la Définition de la Seconde (référence : [ITU-R TF.536-1]).
EDI (Echange de données informatisé) : Standard de message au format texte structuré permettant d’échanger des factures, bons de commande et de livraison, notamment. Il existe de nombreuses déclinaisons sectorielles des définitions de messages. Les entreprises utilisent parfois un réseau à valeur ajouté pour transporter les messages EDI.
EDIFACT (Electronic Data Interchange for Administration, Commerce and Transport) : Grammaire, syntaxe Edifact (norme ISO9735) et sémantique métier rassemblée dans les répertoires du TDID (Trade Data Interchange Directory).
EDIINT (EDI Internet Integration) : Standard de l’IETF permettant de combiner les syntaxes de l’EDI traditionnel (Edifact et Ansi X12) avec les protocoles IP de l’Internet : AS1, AS2, et AS3.
EFI : Echange de formulaires informatisé.
Empreinte (empreinte numérique ou condensat ou hash) : Résultat d’une fonction mathématique qui fait correspondre à des valeurs de longueur quelconque d’un domaine très grand, des valeurs d’une longueur fixe dans un domaine fini. La fonction de prise d’empreinte associée permet de réduire un très long message à une empreinte de longueur fixe qui est suffisamment compacte pour être introduite dans un algorithme de signature. Une bonne fonction de prise d’empreinte doit être sans collision, c’est-à-dire qu’il est impossible par le calcul de déterminer une seconde entrée pouvant correspondre à l’empreinte d’une entrée donnée.
Fichiers signés : Fichiers, souvent au format PDF, comprenant une signature électronique et remplaçant l’équivalent papier.
GEIS : Réseau à valeur ajoutée, dédié à la gestion des flux des industriels du secteur automobile
Hash : Voir Empreinte
ICP (Infrastructure à clé publique) : Composants, hiérarchie, fonctions et procédures dédiés à la gestion de clés et de certificats utilisés par les services de sécurité basés sur de la cryptographie à clé publique.
ICR (Intelligent Character Recognition) : Reconnaissance intelligente de caractères. Technologie souvent intégrée dans des applications verticales (reconnaissance du montant des chèques…).
Identification : Opération par laquelle l’identité d’un utilisateur est connue par le système.
IETF (Internet Engineering Task Force) : Ensemble de groupes de travail qui développent les nouveaux standards pour l’Internet.
Intégrité : Propriété assurant que des données n’ont pas été modifiées, insérées ou détruites de façon non autorisée.
LAD : Lecture automatique de document. Ensemble des technologies (OCR, RAD, ICR…) utilisées pour lire, indexer et stocker les données contenues dans un support physique (papier, transparent…).
LRC : Voir Liste de révocation de certificat. Liste de certificats révoqués générée et signée par une autorité de certification. Elle permet de s’assurer que des certificats sont toujours valides avant de permettre leur autorisation à des fins d’authentification.
Non-répudiation : Dispositif électronique créant une impossibilité de nier avoir reçu ou émis un document électronique. Une signature manuscrite normale constitue une forme de non-répudiation. Une signature numérique en est une autre.
Notarisation : Enregistrement des éléments essentiels d’une transaction réalisée entre deux parties. Cet enregistrement est effectué par un tiers certificateur à la demande des parties. Cette technique améliore la sécurité d’un échange électronique dans la mesure où elle assure aux parties différents mécanismes de suivi et d’archivage des transactions émises et reçues (l’intégrité, l’origine, la date et la destination des données). Le tiers doit acquérir les informations nécessaires en établissant des communications protégées et les conserver.
Objet : Un objet est la représentation d’une entité abstraite ou une abstraction d’un objet physique du monde réel. Le terme d’objet est parfois utilisé comme synonyme ce classe, parfois comme synonyme d’instance.
OCR (Optical Character Recognition) : Reconnaissance optique de caractères. Technologie de reconnaissance de formes par procédé optique. Permet notamment de transformer l’image d’un texte imprimé en texte.
Opérateur de Service d’Horodatage (OSH) : L’OSH assure les prestations techniques nécessaires au processus d’horodatage. Il est en charge du bon fonctionnement et de la sécurité des moyens informatiques et techniques. Il est en charge de la sécurité des personnels, des locaux et, plus généralement, du bon respect des procédures, toutes choses indispensables pour garantir le niveau de fiabilité requis.
PC : Voir Politique de certification.
PH : Voir Politique d’horodatage.
PKI (Public Key Infrastructure) : Voir ICP
Politique de certification (PC) : Ensemble de règles qui décrit la façon dont un certificat est applicable à un domaine particulier et/ou une classe d’applications ayant des exigences de sécurité communes. Par exemple, une politique d’usage de certificats particulière pourrait indiquer l’applicabilité d’un type de certificat à l’authentification de transactions EDI pour le commerce de biens dans une gamme de prix donnée. La politique d’usage de certificats devrait être utilisée par l’utilisateur d’un certificat pour décider s’il peut accepter ou non les conditions et les justificatifs sur lesquels le lien entre l’identité du propriétaire du certificat et la clé publique a été effectué. Un sous ensemble de composants du cadre de politique d’usage de certificats donne des valeurs concrètes pour définir celle-ci. La politique d’usage de certificats est représentée par un identifiant d’objet enregistré dans le certificat X.509 Version 4. Le propriétaire enregistre également une description textuelle de la politique et la rend disponible aux entités en relation.
Politique d’horodatage (PH) : Texte contractuel qui établit les obligations et responsabilités de l’Autorité d’Horodatage, de l’Opérateur des Services d’Horodatage, des services demandeurs et des utilisateurs finaux. Elle est librement consultable par les clients, les abonnés ainsi que par tous les tiers utilisateurs.
Prestataires de Services de Certification (PSC) : Toute personne physique ou morale qui délivre des certificats ou fournit d’autres services liés aux signatures électroniques.
Profil d’utilisateur : Description des droits et limites attribués à l’opérateur de terminal (l’utilisateur) à l’égard de la connaissance des fichiers ainsi que de l’introduction, de la manipulation et de l’extraction de l’information. Description d’un utilisateur comprenant des données telles que l’identificateur d’utilisateur, le nom de l’utilisateur, le mot de passe, les droits d’accès et d’autres attributs.
RAD : Reconnaissance Automatique de documents. Permet de trier automatiquement les documents à partir d’un modèle prédéfini et de l’utilisation d’OCR ou d’ICR.
Référentiel : Document technique définissant les caractéristiques que doit présenter un produit ou un service et les modalités de contrôle de la conformité du produit ou service à ces caractéristiques.
Reprise en secours, de sécurité, de réserve (back-up) : Se dit des moyens gardés en réserve en prévision d’une interruption anormale du fonctionnement des installations.
Requête : Demande effectuée pour obtenir quelque chose : demande destinée à lancer une recherche dans une base de données, dans un fichier. Expression formalisée d’une demande.
RSA (Rivest, Shamir, Adleman) : Sigle désignant un algorithme de cryptage à double clé mis au point au MIT de Stanford.
Réseaux à valeur ajoutée (RVA) : Réseaux dédiés (tels Allegro, GEIS…) sur lesquels circulent des flux EDI. En plus du transport des messages, ces réseaux fournissent des services à valeur ajoutée : sauvegarde, routage, transformation des messages, etc. Ils permettent de faire communiquer des applications et des matériels informatiques hétérogènes en apportant des fonctionnalités supplémentaires comme l’extraction, la traduction, le formatage ou le choix du protocole de communication. Les RVA s’appliquent aussi aux services web et plus généralement aux flux XML.
Révocation : Lorsqu’un utilisateur perd ou divulgue sa clé privée, que les informations contenues dans un certificat sont ou deviennent fausses (falsification de l’identité, perte d’intégrité de la clé publique contenue dans le certificat), l’utilisateur ne peut plus s’authentifier et utiliser les services associés.
RVA : Voir Réseaux à valeur ajoutée
Sceau numérique : Valeur associée à un message pour s’assurer de son intégrité. Le sceau est obtenu par une transformation univoque du message. Toute modification du message entraînera un résultat différent, révélateur de la modification par comparaison des sceaux.
Sécurisation électronique : Action de chiffrer, à l’aide de la clé privée d’une bi-clé, afin de garantir l’authenticité et l’intégrité d’un document électronique.
Sécurité de transport : Ensemble de mesures prises pour protéger une fonction de communication assurant l’acheminement complet des informations entre deux points terminaux d’un réseau, contre toute destruction, dégradation, divulgation, malveillance, etc.
Signature électronique : Donnée ajoutée à une donnée ou à un ensemble de données et garantissant l’origine de cette ou de ces données, c’est-à-dire certifiant l’authenticité de l’émetteur.
Signature électronique sécurisée : Une signature électronique qui est liée de manière unique au signataire, qui est créée par des moyens que le signataire est en mesure de maintenir sous son seul contrôle, et qui est liée à la donnée signée de telle manière que tout changement ultérieur est détectable.
Source de temps : Une source de temps est une composante interne ou externe d’une AH fonctionnant comme une tierce partie de confiance technique qui est chargée de restituer une heure fiable selon l’usage requis.
Service d’horodatage : Ensemble des dispositifs et composantes de l’AH permettant la fourniture des contremarques de temps.
Secure Socket Layer (SSL) : Protocole normalisé par l’IETF pour sécuriser la connexion entre un navigateur et un serveur Web. SSL permet notamment d’assurer la confidentialité et l’intégrité des données transmises sur le réseau, voire, suivant la configuration, de réaliser une authentification mutuelle. SSL nécessite une PKI. Combinée à SSL, la carte à puce vient garantir l’identité de la personne connectée à un serveur web.
SWIFT (Society For Worldwide Interbank Financial Telecommunication) : Coopérative des banques créée en 1973 pour développer et exploiter un système international de télécommunication pour s’échanger des informations exploitables par des applications informatiques. Réseau mondial à forte valeur ajoutée qui a migré IP, ce qui permet d’offrir de nouveaux services (SWIFTN et InterAct)
Tiers archiveur : Personne physique ou morale qui se charge pour le compte de donneur d’ordre, d’assurer le service de tiers archivage.
Tiers de Confiance : Entité habilitée à mettre en œuvre des opérations relatives à la sécurité des données pour le compte des parties désirants effectuer des transactions.
Tiers horodateur : L’horodatation est un ensemble de techniques utilisant des algorithmes cryptographiques permettant de s’assurer si un document électronique a été créé ou signé à (ou avant) une certaine date. En pratique, la plupart des systèmes d’horodatation font appel à un tiers de confiance appelé Autorité d’horodatation (TSA, Time-Stamping Authority). Une horodatation est une attestation électronique émanant d’un TSA qui identifie qu’un document électronique a été présenté à un TSA à une certaine date.
Traçabilité : aptitude à retrouver l’historique, l’utilisation ou la localisation d’une entité (activité, processus, produit, etc.) au moyen d’identifications enregistrées (ISO 8402: 1994).
UTC (Universal Time Coordinated) : Voir Echelle de temps
Utilisateur final : L’utilisateur final est la personne physique ou morale identifiée ou non qui reçoit par l’intermédiaire du service demandeur une contremarque de temps correspondant à la fourniture d’un service d’horodatage par l’AH.
Web-EDI : EDI simplifié qui permet d’émettre ou de recevoir des documents électroniques depuis un site web. Beaucoup utilisé dans l’administration.
