Nov
12
RPVA: ainsi parlait l'informaticien

Sur le RPVA, mon blog est moins prolixe.

Principalement parce que le combat a été repris par les Ordres... et que don Quichotte a droit, aussi, à une trève.

Mais j'ai reçu un courriel que je retranscris, tel quel, avec l'accord de son auteur.

"suite à la lecture des articles de votre blog concernant le RPVA, je me

permets de vous contacter pour vous donner mon analyse concernant

l'infrastructure mise en place par le CNBF.

Il me faut d'abord préciser que je suis informaticien travaillant pour

un cabinet d'avocats mais que mon analyse n'engage que moi.

Le CNBF, sous prétexte de sécurisation des échanges a mis en place un

système qui n'a aucune justification technique; en particulier pour ce

qui concerne le "fameux boîtier".

Il y a plus d'un an, j'ai eu un échange de mails avec le CNBF pour

m'informer sur le système mis en place et plus particulièrement de

connaître sa compatibilité avec des postes fonctionnant sous Linux ou

encore de connaître le rôle exact du boîtier afin de m'assurer que son

intégration sur le réseau existant pourrait se faire de manière sécurisée.

Malheureusement les réponses du CNBF ont été évasives et non adaptées à

mes préoccupations: rien sur Linux et j'ai juste compris que je n'avais

aucune possibilité de configurer le boîtier afin de l'isoler du réseau

interne.

Pour ma part, n'ayant aucune information pertinente sur le rôle du

boîtier ( un bête routeur VPN à priori) et aucune prise sur sa

configuration, je considère qu'il présente un risque de sécurité sur mon

système. En tant qu'informaticien, il est impensable d'intégrer un

matériel dans une infrastructure réseau sans en contrôler la configuration.

Concernant la sécurité des échanges, les protocoles de cryptographie

sont en place depuis longtemps et utilisés massivement pour des

transactions autrement plus sensibles (paiement par CB en particulier)

sans nécessiter l'utilisation de matériel *exotique *par l'utilisateur

final.

Le protocole SSL utilisé par les banques est considéré comme fiable. La

sécurité de ce protocole peut être encore renforcé par l'utilisation

d'une paire de clés côté client certifiée par un organisme de certification.

En utilisant cette deuxième méthode et en simplifiant les explications

concernant le protocole, le serveur correctement configuré n'acceptera

que les connexions entrantes capables de présenter une clé qu'il pourra

identifier et qu'il connaîtra, à l'exclusion de toute autre. Côté

serveur enfin, des couches logiciels supplémentaires permettent de

bannir un client qui tenterait de se connecter sans présenter une clé

valide. De plus, l'ensemble du dialogue client-serveur est crypté même

dans la phase d'initiation du dialogue.

L'utilisation de ce type de protocole ne nécessite aucune adjonction de

quelconque boîtier. L'ensemble de la politique de sécurité se fait du

côté serveur par le jeu d'une configuration spécifique.

Le seul ajout de matériel peut être celui d'une clé de sécurité

matérielle certifiée (token usb) côté client (solution retenue par le

RPVA) mais certainement pas d'un boîtier.

La connexion est quasi transparente pour l'utilisateur (éventuellement

une petite configuration de son navigateur pour accepter l'organisme de

certification) et elle peut-être initiée n'importe où.

La seule contrainte se fait côté serveur et dans le développement des

interfaces (cryptage des cookies, des formulaires d'identifications ou

des mots de passe).

En conclusion, je crois que le système mis en place par le CNBF

ressemble de près à une tentative de justifier le versement d'une

cotisation par la location d'un boîtier qui ne présente aucun intérêt et

qui n'a aucune justification technique en jouant sur la crédulité des

avocats en matière informatique. Pire, le boîtier fourni, sans

documentation technique, présente à mon sens une faille de sécurité

potentielle dans les systèmes d'information des cabinets.

Personnellement, je pense qu'il s'agit d'une pure escroquerie, au moins

intellectuelle.

Pourtant, la certification des clés n'est pas gratuite, et il me semble

dès lors que l'on pouvait justifier autrement le paiement d'une cotisation.

Enfin, un rapport d'expertise récent précisait que le boîtier pouvait se

justifier dans la mesure où il facilite l'installation (un "plug and

play" en somme) et l'on voit fleurir des offres commerciales

d'installation du boîtier RPVA à des tarifs qui me font sourire pour un

système "plug and play".

Les avocats, après avoir fait les vaches grasses des éditeurs de

logiciel puis des éditeurs de fond documentaire en ligne, vont-ils

maintenant devoir financer un système techniquement absurde?

Bien cordialement, '

Je répondrai à cet homme de l'art que pour qu'il y ait des vaches grasses, il faut des vaches maigres: l'avocat de base!

Mais chacun sait que nos représentants comme nos politiques, sont soucieux uniquement du bien commun.

Dis tonton, pourquoi tu tousses?

Mots-clés: 

Commentaires

fait une confusion qui est d'ailleurs assez fréquente y compris chez des avocats entre le CNB et la CNBF !

S'agissant de la partie technique, je n'ai aucune compétence pour mesurer son argumentation.

Pour ce qui est de la partie "politique", je pense que le technicien n'est plus neutre et doit certainement traduire des discussions avec un ou des avocat(s) !

En tout état de cause, une analyse qui mérite d'être confrontée à d'autres pour une saine information des Confrères !

Le rapport de monsieur Hattab était tout aussi clair!

Il ne me semble pas que le rapport HATTAB soit allé aussi loin que votre interlocuteur qui indique :

"Personnellement, je pense qu'il s'agit d'une pure escroquerie, au moins intellectuelle."

Nom: 
JRM
Site: 
http://

Monsieurle Batonnier,

vous ne lisez pas correctement entre les lignes du rapport HATTAB.....!

au fond vous avez peur des mots car "comme on est on croit les autres" !!!!!

cet informaticien voit plus clairement que beaucoup d'avocats........

est ce un defaut ou une qualite ? l'informaticien repond clairrment et techniquement, c'est tres tres juste. Alors "escroquerie"......??? Va savoir......

Je vous rassure totalement.

Je n'ai nullement peur des mots mais je n'ai pas lu celui "d'escroquerie" ni dans les lignes ni entre les lignes du rapport HATTAB !

C'est tout ce que j'ai dit.

J'ajoute enfin "qu'escroquerie" n'est pas qu'un mot; c'est un délit !

"L'escroquerie est le fait, soit par l'usage d'un faux nom ou d'une fausse qualité, soit par l'abus d'une qualité vraie, soit par l'emploi de manoeuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d'un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge."

moi je trouve que ça colle tout à fait

Nom: 
HC_informaticien
Site: 
http://

Bonjour,

je crois que le rapport Hattab est très clair et qu'il remet largement en question le choix technique retenu par le CNB (excusez moi pour le F ):

-intérêt de la surcouche VPN

-intérêt de services centralisés déjà proposés par d'autres

-possibilité d'attaque par l'intermédiaire du boîtier

-difficulté à intéger le boîtier dans un réseau déjà configuré pour proposer des services

-un boîtier qui n'a pas fait l'objet de certifcation contrairement aux offres logicielles

- des solutions plus économiques déjà mises en place qui assurent un haut niveau de sécurisation

- et bien d'autres....

J'assume parfaitement "escroquerie intellectuelle". Sous prétexte de sécurité des flux de données, on impose aux avocats un système qui ne se justifie pas et qui pourrait avantageusement être remplacé par d'autres systèmes plus économiques et tout aussi performants. Personnellement, je crois pouvoir dire qu'on trompe les avocats et qu'on leur demande de payer un prix qui n'est pas justifié.

Comme je suis un citoyen, j'analyse ce qui se passe et je prends volontiers un raccourci en me disant que la seule justification au boîtier est celle de permettre à une entreprise de s'assurer une rentabilité avantageuse.

Quand on sait qu'on impose le boîtier sans laisser d'alternatives à ceux qui le souhaitent; et bien, en tant que citoyen, j'appelle ça une escroquerie.

Remarquez que ça n'engage que moi, je ne me place pas d'un point de vue juridique mais bien comme le quidam qui dit ce qu'il ressent face à ce type de procédé.

D'ailleurs veuillez noter que mes propos n'engagent que moi et qu'ils ne se font l'écho d'aucune voix d'avocat.

Je suis en effet assez grand pour prendre des positions "politiques" et pointer du doigt un problème.

Les avocats avec qui j'ai échangé sur le sujet ont malheureusement une attitude résignée. C'est plutôt moi qui leur demande d'avoir un regard un peu plus critique.....

Vous pourriez peut-être comprendre mon attitude lorsque vous saurez que je suis un ardent défenseur et acteur du logiciel libre et de la philosophie qui l'accompagne.

NB: franchement, quand on lit le communiqué de presse du CNB suite au rapport Hattab et la lecture qui en en faite, on préfère en rire!!!

Et ce juste regard n'est pas celui d'un informaticien de notre cité phocéenne.

J'ai pris bonne note de cette réponse claire et détaillée.

J'espère que beaucoup vous liront car il n'y a pas de saine réflexion sans un maximum d'explications.

Nous sommes nombreux en qualité d'utilisateurs, techniquement incompétents, mais politiquement nécessairement influents si nous voulons bien nous en donner la peine !

Nom: 
HC_informaticien
Site: 
http://

Je vous invite à lire le blog d'un informaticien expert judiciaire au sujet du RPVA:

http://zythom.blogspot.com/2010/06/rpva.html

Il est peut-être temps que les avocats et leurs représentants aient l'avis de professionnels plutôt que de s'en remettre à la seule voix d'un conseil national qui me semble dépassé par l'enjeu.

Ajouter un commentaire

Image CAPTCHA