Le protocole d'échange AS2

Applicability Statement 2 garantit des échanges sécurisés sur Internet. Il permettra, à terme, de s'affranchir des réseaux à valeur ajoutée.

Boris Mathieux

01net.

le 02/02/06 à 07h00

Le protocole AS2 (Applicability Statement 2) émane de la volonté de l'IETF (Internet Engineering Task Force) d'élaborer des spécifications qui autorisent les échanges EDI sur Internet en maintenant un niveau de service équivalent à celui des réseaux à valeur ajoutée. Sous l'égide de l'organisation de standardisation GS1 France, le groupe de travail Ediint (EDI Internet Integration) a évalué diverses technologies dotant Internet des dispositifs propres aux réseaux à valeur ajoutée : confidentialité, intégrité et non-répudiation des données échangées, authentification des partenaires.

L'objectif consiste à fournir un ensemble cohérent à l'usage de la communauté EDI. Dans ce sens, la Direction générale des impôts a confirmé, en début d'année, que l'envoi de messages AS2 respectait les obligations réglementaires relatives à la dématérialisation des factures.

Un protocole compatible avec les réseaux TCP-IP

A la différence de X.400, l'ensemble de protocoles adaptés à l'EDI, AS2 doit fonctionner sur des réseaux exploitant TCP-IP et physiquement ouverts à tous.

Pour sa mise en place, Ediint a donc fixé certains principes techniques et fonctionnels : définition et rôle du pare-feu dans l'environnement AS2 ; stratégie d'utilisation de certificats numériques ; recours éventuel à HTTPS pour sécuriser les en-têtes AS2 ; utilisation des accusés de réception MDN (message-disposition-notification) spécifiés par l'IETF ; sélection d'algorithmes de cryptage (DES triple, RC2 128 ou AES) et d'éventuels algorithmes de signature électronique (SHA-1 ou MD5) ; enfin, compression et horodatage.

Le processus de gestion des certificats

agrandir la photo

1. Le détenteur de la clé
Le distributeur fait la demande du certificat et crée une bi-clé (combinaison d'une clé privée devant demeurer secrète et d'une clé publique nécessaire à la mise en ?"uvre d'une prestation de cryptologie). Il peut par ailleurs exiger la révocation de ce certificat (ordre passé à l'autorité d'enregistrement), et garde également la possibilité de réclamer son renouvellement.

2. L'autorité d'enregistrement (AE)
Elle représente l'intermédiaire entre le détenteur de la clé, l'autorité de certification et l'opérateur. Dans l'Hexagone, ce tiers de confiance est GS1 France, chargé de garantir juridiquement l'identité de l'entreprise. L'AE vérifie les requêtes des utilisateurs et les transmet à l'opérateur, puis autorise ou non la création du certificat.

3. L'autorité de certification (AC)
Elle définit les règles de vérification et audite l'autorité d'enregistrement. Ce rôle d'autorité de certification se voit également assuré par GS1 France, qui endosse la responsabilité juridique de la certification. A ce jour, quelque 140 certificats ont été accordés dans l'Hexagone.

4. L'opérateur tiers certificateur
Ce prestataire technique est chargé de la réalisation du processus. Il crée le certificat, le stocke, le distribue et, éventuellement, le révoque. Il agit sous la responsabilité de l'autorité de certification, dont il est un sous-traitant. En France, ce rôle est assuré par un unique fournisseur de solutions de certification, Keynectis.

envoyer
par mail

imprimer
l'article

Actu précédente

Dassault Systèmes traite sa sécurité avec une plate-forme multiservice

Actu Suivante

Migrer vers un PABX-IP : comment s'y préparer

Nos partenaires

Nous contacter | Charte de confiance | Mentions légales et CGU | Conditions d'abonnement | 01net. recrute

01net. - 01men - RMC - RMC Sport - BFM BUSINESS - BFMTV - Association RMC-BFM