Importance de l’horodatage pour la plateforme e-gov CASAURBA.ma

Dans un article précédent, « Intégration de la signature numérique à la plateforme e-gov CASAURBA.ma » on a expliqué un peu le mécanisme de la signature électronique et son rôle essentiel dans les processus e-gov. Dans cet article je parlerai de principe de l’horodatage. Nous verrons aussi comment l’horodatage est utilisé par la plateforme CASAURBA.ma pour protéger les signature numériques.

L’horodatage

En général, l’horodatage est le fait d’associer un temps (date et heure) à un événement d’une manière vérifiable, ou au moins, acceptée par la communauté.

Je me souviens, qu’un matin, sous le soleil doux de l’été 2001, j’étais en train de photographier mon ami Jamal, dans une séance de shooting en plein air. Mon ami qui posait avec la fierté naturelle des Algériens, dans une des ruelles avoisinant la gare de Bordeaux Saint-Jean, tenait entre ses mains un numéro du quotidien « Sud Ouest » bien étalé. Ma mission était d’essayer tous les angles et toutes les perspectives possibles pour pouvoir capturer, dans un seul grand plan, à la fois :

• La pancarte contenant le nom de la rue,
• Mon ami Jamal, avec la une du journal bien affichée et
• Un bout de support de plaque de signalisation, dépourvu de toute plaque!

La photo était destinée au juge de l’audience de sécurité routière, devant laquelle mon ami devait comparaître pour avoir stationné dans un sens interdit. Elle devait aider mon ami à soutenir que la plaque de signalisation, se trouvant dans ladite rue, était sabotée au moins jusqu'à la date d’édition du quotidien. La date n’étant pas très visible au niveau du grand plan, Jamal devait attacher le journal au dossier de preuves. Ainsi, on confirmerait la date en vérifiant que les grands titres de la une correspondent bien à ceux de la photo.

Concrètement, on a essayé d’associer une date (date d’édition du quotidien) à une information (manque ou insignifiance du panneau de signalisation), et ce, d’une manière vérifiable par les intéressés (éventuellement moyennant quelques expertises). C’était donc une affaire d’horodatage.  

Dater les événements (et par extension, les données aussi) est une problématique ancienne et inhérente aux sociétés de concurrence et de compétition. Les premières versions du problème sont liées au fait que dès les premières jurisprudences, l’antériorité a été un facteur clé dans le droit à la propriété (d’abord foncière, commerciale, puis intellectuelle).

Le besoin de l’horodatage est très composite et touche plusieurs aspects

• La précision de la date et l’heure,
• La portée ou la durée de validité de l’horodatage,
• La justesse et l’exactitude de la donnée à horodater.

Ces aspects n'ont pas toujours la même importance. Ils sont modulés par la nature, le contexte et l'importance des données à horodater. Par exemple, un système d’horodatage pour les transactions boursières exigera plus de précision que celui relatif à la protection de la propriété intellectuelle. Ce dernier peut avoir une portée qui dépasse de loin la durée de vie des systèmes d’enchère en ligne. 

Tiers de confiance

L’homo sapiens, qui a mis 200 mille ans pour inventer l'écriture, a su trouver quelques solutions (ou approximations) astucieuses au problème d'horodatage pour des types de données très particulières. Cependant, l'unique approche qui soit répétable, générique et globale, consiste à prendre pour témoin un tiers de confiance.

La pertinence de ce type d'horodatage dépend entièrement de la crédibilité qu'on accorde au tiers de confiance, que nous allons appeler "Autorité de Confiance".

Au cours de leur évolution organisationnelle, les sociétés ont développé des fonctions et des services qui jouent le rôle de tiers de confiance, et ce, de manière institutionnelle ou conventionnelle. Ils pouvaient prendre la forme de :     

•  Autorités collégiales composées d'un nombre de personnes de confiance (hauts dignitaires, notables, gardiens du temple) avec une mémoire commune qu'on transmit de génération en génération,
• Institutions capables de gérer des registres et de conserver et sécuriser des archives décennales ou centennales, telles que les services de cadastre ou les offices de propriété intellectuelle, 
• Editions périodiques à large audience telle que les journaux et les magazines.

Aujourd'hui, les systèmes de témoignage basés sur les techniques de collaboration massive et distribuée, telles le Block-Chain, sont considérés comme les autorités de confiances les plus sûres, même si, légalement, ne sont pas reconnus partout.

Confidentialité des données

Une des incommodités des autorités de confiance traditionnelles, est le fait qu'on soit obligé de divulguer les informations ou les données à horodater (au moins avec l'autorité de confiance elle-même). Malgré toutes les mesures de discrétion et de confidentialité, que les sociétés peuvent imposer, on n'est jamais à l'abri d'une fuite par inadvertance ou par indiscrétion (Wikileaks...).

En fait, parmi les astuces utilisées autrefois pour remédier au problème de confidentialité des données à horodater, on ne publiait qu’une fraction ou une transformation du message d'origine, (souvent en forme d’anagramme). La partie publiée, toute seule n’a pas de valeur significative. Au moment de réclamation de droit, le propriétaire dévoile le message d’origine et prouve sa relation avec la partie publiée.

e.g. la loi d'Hook a été d'abord publié sous l'anagramme: ceiiinosssttuv, puis réclamé un an plus tard par l'énoncé " ut tensio sic vis" qui veut dire en latin "la force est proportionnelle à l'extension", ou F=k.x

Aujourd’hui, on a gardé le même principe, en utilisant les fonctions de hachage. Ce sont des transformations mathématiques difficilement réversibles. Elles permettent de transformer un texte, aussi long soit-il, en un petit code de quelques centaines de caractères (le code hache), qui ne ressemble en rien au texte d’origine. Dans un article précédent, j’ai détaillé un peu le mécanisme du hachage et son utilisation dans la signature électronique).

État de l’art

À nos jours, et grâce aux nouvelles technologie d’information et de communication (NTIC), l’horodatage est souvent, assuré par des services dits TSA (Time Stamping Authority). Aujourd’hui, le seul TSA reconnu par la justice Marocaine est celui fourni par Barid Al-Maghreb (Poste Maroc) qui est historiquement accepté comme tiers de confiance (le cachet de poste faisant foi).    

Les services d’horodatage (TSA) sont généralement accessibles via le web (en protocole sécurisé tel SSL/Http). Ils permettent d’attester qu’un certain ensemble de données (document, archive…) existait bien avant une certaine date. Ils sont souvent utilisés en tant que composante SOA (interne ou externe) en combinaison avec des plateformes de signature électronique pour livrer des documents signés et horodatés.

Concrètement, le workflow de l’horodatage utilisant un service TSA se fait en quatre étapes :

1. L’entité demandeuse crée le code hache du document à horodater, et l’envoi au TSA
2. Le TSA reçoit le code hache du document, y ajoute un jeton d’horodatage (date et heure) fraichement créé, puis signe le tout avec son certificat (en utilisant la clé privée).
3. Le TSA renvoie le jeton d’horodatage et sa signature (qui a la forme d’un nouveau code hache) à l’entité demandeuse.
4. L’entité demandeuse doit persister le jeton et sa signature au niveau du document d’origine pour pouvoir prouver plus tard la validité de l’horodatage.

Dans le cas où l’entité demandeuse gère aussi la signature numérique, le jeton d’horodatage et sa signature par le TSA sont alors incorporés au document initial juste avant sa signature. 

 La vérification de l’horodatage se fait en vérifiant la signature du TSA, et ce en utilisant la clé sa publique, qui, naturellement, doit être reconnue et acceptée par tous les acteurs de vérification.

L’Horodatage en CASAURBA

La première motivation de l’intégration du service d’horodatage dans le workflow de la signature électronique à CASAURBA.ma est que l’horodatage est indispensable pour éviter la répudiation des signataires. En effet, même si le détenteur de certificat numérique (clé USB utiliser pour la signature électronique) est responsable de son utilisation et de sa protection et endosse la responsabilité des signatures apposées par son certificat, il peut néanmoins, demander la révocation de son certificat dans les cas suivants :

• Perte ou vol de certificat.
• Constat d’irrégularité dans l’utilisation du certificat numérique (blocage, omission de demande de code pin…).
•  Changement de situation au sein de l’entreprise (pour les employés) : démission, mutation…

Remarquez aussi, que la loi déresponsabilise le détenteur du certificat pour les actes postérieurs à la fin de sa validité.  

L’horodatage des signatures des documents échangés par la plateforme CASAURBA.ma, nous permet de démontrer, dans les cas de litiges, que les signatures ont bien été apposés :

• Dans la durée de la validité du certificat numérique et 
• Avant la révocation (si révocation y est…).

Supposons que vous faites partie des signataires de CASAURBA.ma (Architecte, Membre de commission d’instruction, Président de localité…) et que vous perdiez votre certificat numérique. Vous devez alors vous connecter sur le site de Barid eSign https://psce.baridesign.ma pour demander la révocation de votre certificat numérique. On vous demandera de renseigner votre adresse email, de répondre aux questions secrètes conformément à ce que vous auriez saisi lors du formulaire d’inscription et d’indique la raison de la révocation.

Barid Al-Maghreb maintient une liste publique de tous les certificats révoqués (CRL). Une fois votre révocation est prise en compte, la liste CRL est mise à jour automatiquement (en moins de 24 heures).

Si une personne malveillante (Mallory dans l’histoire d’Alice et Bob) essaye d’utiliser votre certificat révoqué pour signer un document sur la plateforme en votre nom, la plateforme CASAURBA.ma consultera sa copie locale de la liste CRL avant d’accepter la signature. Elle refusera alors le document si votre certificat figure dans la liste CRL.

Vous me diriez : et l’horodatage en tout ça ?

En fait l’horodatage, ne sert pas à refuser les mauvaises signatures (dont les certificats sont révoqués), mais, plutôt à prouver que les signatures acceptées par la plateforme ont bien eu lieu avant la révocation, en prenant pour témoin Barid Al-Maghreb.

Le coût de l’horodatage

La plateforme CASAURBA.ma est financée uniquement par ses utilisateurs finaux, i.e. les demandeurs d’autorisations urbanistiques. Chaque type d’autorisation a un prix forfaitaire. Ce prix est payé par le demandeur en ligne (par Carte Bancaire ou par Voucher) dans les premières étapes du processus. Il ne varie pas avec la quantité de ressources mobilisées par la plateforme ni avec la charge de travail nécessaire pour instruire le dossier. Il est donc, aussi indépendant du nombre de jetons d’horodatage mises en jeu dans les signatures électroniques (PV de commissions, Plans Architecturaux et Autorisations...).

D’autre part, Barid Al-Maghreb ne propose pas ses jetons « gracieusement ». Le service TSA est payant : un peu moins d’un dirham par jeton d’horodatage. Ce n’est pas cher à l’unité, mais Barid Al-Maghreb n’offre son service d’horodatage qu’en mode prépayé (avec un minimum de 100 jetons). Cela augmente un peu le coût moyen de la signature électronique (remarquez le prix du certificat numérique coûte déjà plus que 700 Dirham par an). Ça nous ramène à la question : qui doit payer ? est-ce le demandeur, le signataire, ou Ribats (le gestionnaire de la plateforme) ?

Dans un tel contexte, et vu que toutes les administrations impliquées dans les processus de la plateforme CASAURBA.ma, perçoivent des indemnisations pour leurs services rendus (incluant éventuellement des droits de timbre), on serait bien tenté de faire payer les signataires pour les jetons d’horodatage qu’ils consomment.

On demanderait alors à chaque signataire de bien vouloir prépayer directement son lot de jetons d’horodatage, avant de pouvoir signer numériquement. Cette approche, très juste financièrement, pose un sérieux problème d’ordre organisationnel qui est hors contrôle de la plateforme. En effet, comme le service TSA est payant, il exige donc un certain mécanisme pour authentifier le demandeur avant de le servir. Le seul moyen d’authentification accepté par le TSA de Barid Al-Maghreb (jusqu’à écriture de ces lignes) est de passer par des certificats SSL (obtenus dès le premier paiement) qui nécessite une configuration manuelle des postes clients. Avec des mises à jour périodiques. Je pense qu’aujourd’hui, la maturité digitale de nos concitoyens, ne permette pas de leur confier ce genre de configurations.

Nous avons donc décidé de réduire les risques, quitte à prendre en charge la facture des jetons d’horodatage. Sachant qu’en moyen, chaque demande d’autorisation met en jeu une vingtaine de signatures électroniques. Ceci implique un changement au niveau de l’architecture de la plateforme en ajoutant un nœud Proxy sous forme de Serveur Karaz. Ce nœud joue le rôle d’un TSA virtuel, visible uniquement par les clients Karaz-ESign actifs. Il redirige les demandes d’horodatage vers le TSA Barid Al-Maghreb en débitant le compte des jetons RIBATIS. Il permet aussi de monitorer finement le nombre des demandes d’horodatage, leurs sources et leurs raisons de signature.

Il se trouve que CASAURBA.ma repose déjà sur une architecture SOA basée sur une large constellation de Nœuds Karaz. L’ajout d’un nœud supplémentaire au réseau CASAURBA.ma est passé presque inaperçu à RIBATIS (sauf par le service d’achat, notifié par la facture de l’hébergement).

Voilà ! j’espère que vous avez maintenant une idée plus claire de pourquoi il faut absolument associer le service d’horodatage à la signature numérique quand il s’agit de processus e-gov et de son impact sur le coût et sur la complexité de la plateforme.