L'entrée du Vieux-Port de Marseille vu depuis le jardin du Pharo le 1° mai 2014

lundi 28 mars 2011

RPVA : la clef USB est un leurre !

  

I.-
Les Avocats, qui sommeillaient et faisaient confiance à la science informatique de leurs élus du Conseil National des Barreaux, ont découvert grâce au Barreau de Marseille que le "boitier NAVISTA" constituait une entrave colossale à l'exercice professionnel des Avocats provinciaux.

Ce boitier les place dans une situation d'infériorité par rapport aux Avocats parisiens puisque ceux-ci, par la grâce de leurs Bâtonniers successifs, soupçonneux et avisés, se sont éloignés de l'architecture du CNB pour construire un ouvrage spécifique pour leurs Avocats,  40% des avocats français,  tout en restant à l'intérieur du Réseau Privé Virtuel des Avocats.

Techniquement, ce n'est pas une prouesse. Politiquement, c'est autre chose...

Les Avocats parisiens n'ont jamais eu de "boitier Navista" dans leur cabinet mais un gigantesque boitier mutualisé à l'Ordre leur permettant non pas un (pseudo) télétravail mais un "nomadisme" absolu.

A l'époque de la mondialisation, le CNB prétendait attacher les avocats "à perpétuelle demeure", en l'espèce "à perpétuel cabinet".

Un comble.


II.-
On a un peu laissé de côté les interrogations sur la clé USB  "Certeurope" dont on nous a dit qu'elle était obligatoire alors même que c'est elle qui coûte le plus cher à la Profession puisqu'il en faut une par Avocat.

Ainsi, pour les 53.000 Avocats français, c'est  371.000 € HT / mois soit 4 452 000 € HT / an.  C'est exorbitant ....!

Le temps est venu aujourd'hui de s'interroger à son sujet.



A QUOI SERT-ELLE ?


Beaucoup d'Avocats savent qu'elle sert à crypter : mais crypter quoi ? Ils ne savent pas vraiment.

Pour l'Avocat normalement avisé en informatique (?!) , c'est tantôt le cryptage du fichier qui est envoyé, tantôt un cryptage de la connexion entre le cabinet et la plateforme "e-barreau".

En vérité, cette clef ne sert ni à l'un, ni à l'autre : ni à crypter la connexion internet, ni à crypter le fichier.....


ELLE NE SERT NI A CRYPTER LA CONNEXION INTERNET.....

Cette connexion est effectivement cryptée mais pas par la clef !

Il faut relire à ce sujet le rapport HATTAB du 7 Juin 2010 : le cryptage est réalisé par le protocole "HTTPS" ou par le "tunnel VPN".

C'est ainsi que lorsque vous vous connectez à votre banque pour y consulter votre compte, avec votre identifiant et votre mot de passe, l'indication dans l'adresse que vous êtes connecté en "HTTPS" et non pas en "HTTP" ( voir la barre d'adresse de votre navigateur ) est la preuve que la connexion est cryptée, c'est à dire protégée des regards extérieurs.

Pourtant vous n'avez pas utilisé de clef...

L'Expert HATTAB explique dans son rapport précité que le cryptage "HTTPS" était suffisant pour assurer la sécurité et la confidentialité des échanges.

On utilise donc une clef USB dont on découvre qu'elle ne crypte pas la connexion.


...NI  A SIGNER  ELECTRONIQUEMENT LES DOCUMENTS.....

Si elle servait à crypter les fichiers envoyés par internet, elle constituerait un outil de  "signature électronique".

La signature électronique d'un fichier est un procédé informatique utilisant un cryptage particulier qui permet de le figer dans l'état ou il se trouve à un instant donné, généralement quand il est fini et qu'on ne veut plus qu'il soit modifié.

Ce n'est pas pour autant l'équivalent d'un fichier .pdf....

Ce fichier signé électroniquement  n'est pas "figé" comme le serait une photocopie car il peut encore être modifié physiquement. Si c'est un fichier Word, on peut encore écrire et changer des phrases.

Sauf que ces modifications sont signalées visuellement de sorte que l'on peut d'un seul coup d'oeil savoir si le fichier a ou non été modifié depuis sa signature électronique. Et de faire apparaitre quelles ont été les modifications apportées.....

La clef USB "Certeurope" 3A+ n'est pas un  outil de signature électronique.

J'ai a plusieurs reprise tenté de signer un document électroniquement avec ma clé : ce n'est pas possible...!


J'en veux pour preuve que le Ministère de la Justice s'est trouvé dans l'obligation de créer une fiction juridique concernant justement la signature des actes :

Décret n° 2010-434 du 29 avril 2010 relatif à la communication par voie électronique en matière de procédure civile

Article 1

Vaut signature, pour l'application des dispositions du code de procédure civile aux actes que les auxiliaires de justice assistant ou représentant les parties notifient ou remettent à l'occasion des procédures suivies devant les juridictions des premier et second degrés, l'identification réalisée, lors de la transmission par voie électronique, selon les modalités prévues par les arrêtés ministériels pris en application de l'article 748-6 du code de procédure civile.

Article 2

Le présent décret est applicable jusqu'au 31 décembre 2014.


C'est bien la preuve que l'Avocat n'a pas la possibilité, en l'état actuel des choses et avec cette clef-là, de signer électroniquement les documents transmis.

Qu'est-elle donc ?


.... SEULEMENT UNE CARTE D'IDENTITE PROFESSIONNELLE

En réalité, la clef USB abrite un certificat d'authentification qui est infalsifiable -parce que crypté- qui permet de justifier au destinataire que c'est bien vous qui lui avait envoyé le message ou le fichier... !

Oui, enfin presque....

Si vous ne vous départissez jamais de cette clef USB, que vous la gardez sur vous comme la clef d'un coffre fort,  le destinataire sera certain que le message vient de vous. Le doute ne sera pas permis. 

Mais si vous la remettez à un tiers ?  Est-ce toujours l'Avocat qui manipule les fichiers informatiques ? 

Est-ce toujours lui qui envoie les messages et les fichiers ?

Celui (ou celle) qui utilise cette clef est présumée être l'Avocat titulaire .  Celui qui détient la clef et l'utilise

Dès lors qu'il prête la clef USB à sa secrétaire, c'est un peu comme si la secrétaire revêtait la robe de son patron.... : elle usurpe son identité, avec la bénédiction de l'institution.

Pourtant, si l'on observe le processus actuel qui permet à une lettre d'être envoyée ou un jeu de conclusions d'être signifié, on s'aperçoit que le système "papier" est finalement plus sécurisé quoique non crypté.

L'Avocat dicte le texte, la secrétaire le tape et, le soir venu,  met le parapheur sur le bureau de son patron aux fins de signature manuscrite du document imprimé.
Le lendemain, elle récupère un document, portant physiquement une signature manuscrite : le texte sur lequel l'Avocat est d'accord est identifié par la signature.

Cette signature permet au destinataire d'être certain que l'Avocat est bien l'auteur du texte.

Dès lors que la signature physique n'existe plus avec la communication électronique, le prêt de la clef USB à la secrétaire pose un véritable problème de sécurité.

Avec la clef USB, par la fiction de la Loi vue plus haut, le Tribunal considèrera que le document qu'il reçoit  vient irréfragablement de l'Avocat titulaire de la clef.

Mais c'est très dangereux....Comment prouver le contraire ?

Un exemple seulement ( il y en aurait d'autres!) : une secrétaire en période de préavis, parce que la faute commise ne permet pas une mise à pied conservatoire, pourrait ainsi avoir accès à tous les dossiers du cabinet et envoyer de nombreux messages au Greffe destinés à nuire à son employeur.

Comment l'empécher ?

Le problème vient ici de ce que dans la plupart des cabinets, l'Avocat s'est dépossédé de la clef USB  au profit de son secrétariat.

Et tout ce que la secrétaire fait avec est réputé être fait par l'Avocat lui même.

Y compris à son insu....

Cette clef est donc un danger non négligeable pour l'Avocat.

Imaginer que chaque secrétaire pourrait avoir une clef personnelle est une utopie : faudra-t-il enregistrer la clef de chaque secrétaire auprès du Greffe ?

Et le coût exorbitant des clefs que le cabinet devra assumer pour équiper les secrétaires ? 10 secrétaires = 10 clefs !   A 7 € HT par mois ....

Cette clef est impossible :
·         soit l'Avocat la garde sur lui et la secrétaire ne peut plus travailler,
·         soit l'Avocat la confie à sa secrétaire et elle peut ainsi se faire passer pour lui. Y compris pour lui nuire.

Cruel dilemne.



SOLUTION ?


Imaginons que la sécurité soit assurée  par un "identifiant" couplé avec un "mot de passe" : corrélativement, disparition complète de la clef.

La connexion resterait cryptée, soit par "HTTPS" soit par "VPN", étant précisé que le boitier CISCO utilisé par le Barreau de Marseille permettait de réaliser un "tunnel VPN" soit par un certificat d'authentification (clef usb) soit par un mot de passe.

L'avocat disposerait de son identifiant personnel couplé avec son mot de passe : à lui de ne pas le divulguer.

La secrétaire disposerait de son propre identifiant couplé avec son mot de passe personnel : à elle de ne pas le divulguer.

La gestion de ces identifiants et de ces mots de passe serait réalisée grâce à une interface simple permettant à l'avocat d'autoriser ou d'interdire de communication électronique telle ou telle personne ( salarié ou secrétaire). On pourrait même imaginer que les droits de la secrétaire seraient limités aux seules heures de bureau.

S'éloignerait ainsi les dangers de la clef USB ainsi que la multiplication des coûts de la communication électronique....

Mais pourquoi faire simple quand on peut faire compliqué..............!

1 commentaire: