Vérification des certificats EBICS en France sans prestataires tiers de confiance

Certificat électronique et applications
Le certificat électronique est un élément essentiel dans la construction des espaces de confiance ; il permet à son porteur de s’authentifier (certificat d’authentification), de signer (certificat de signature), d’établir une liaison sécurisée … Une application va s’appuyer sur un certificat comme moyen d’identification de son porteur et de contrôle de l’intégrité des informations, dans des fonctions de contrôle d’accès ou de signature. Il existe aujourd'hui de nombreux émetteurs de certificats (secteur bancaire, administration, entreprises…).

Les applications de dématérialisation des flux sont multiples et concernent l’ensemble des secteurs de l’économie. Elles supposent la mise en œuvre d’espaces de confiance dans lesquels il faut pouvoir identifier et authentifier techniquement les différents acteurs et valider la qualité des transactions et de leurs émetteurs.
 
Une application doit pouvoir accepter, en général, des certificats de différentes autorités de certification ; dans un monde ouvert, il serait, en effet, à la fois trop coûteux et trop restrictif de demander à un même porteur d’obtenir un certificat par application.

EBICS et les certificats signés
Pour communiquer avec les institutions financières, les participants EBICS disposant du profile T ou TS doivent utiliser des certificats X.509. Si le participant utilise des certificats signés par une autorité de certification (AC), ceux-ci doivent être validés lors du téléchargement des clés et, si nécessaire, pour les ordres de type FUL, par exemple. Les types d’ordre pour la soumission et la modification des certificats (INI, HIA, H3K, PUB, HCA et HCS) prennent en charge les certificats uniques et les chaînes de certificats.

Validation du certificat basé sur l'AC
La validation du certificat basé sur l'AC peut être effectuée de manière externe ou interne (pour EBICS TS). Il est dorénavant possible de vérifier les certificats soumis en interne dans TRAVIC-Corporate. Pour cela, les notes de la liste de révocation sont vérifiées à l'aide des listes de révocation de certificats (CRL). Les listes de révocation de certificats doivent être téléchargées depuis Internet. Pour télécharger les listes de révocation de certificats de SWIFT, un certificat client est généralement requis pour la communication TLS.

Interface de vérification des certificats internes de TRAVIC-Corporate pour EBICS TS
L'interface provider de TRAVIC-Corporate offre, entre autres paramètres, la vérification des certificats, une stratégie de mise en cache, le stockage des fichiers de non-répudiation et la vérification préliminaire des autorisations ES (EBICS TS), conformément aux spécifications du CFONB. Le provider peut être spécifié à partir du nom de sa classe et activé.

Les certificats sont validés par rapport à un truststore stocké dans TRAVIC-Corporate. La chaîne de certificats complète est validée respectivement jusqu'au certificat racine valide. Aucun service externe n'est utilisé pour valider les certificats.

Un serveur job et un analyseur syntaxique, composants de TRAVIC-Corporate, orchestrent ce traitement. L’ordre de paiement est alors validé si le profil de signature du participant EBICS correspond au profil de signature configuré au niveau du type d’ordre du client.

L’établissement financier peut alors se reposer exclusivement sur sa solution TRAVIC-Corporate sans recours à un tiers simplifiant ainsi son architecture et réduisant ses coûts.

Zaher Mahfouz

Sources : PPI TRAVIC-Corporate, CFONB, standards X.509

0 commentaires:

Enregistrer un commentaire