FAQs

Accueil / Espace Clients / Faqs

Frequently Asked Questions

Quelles sont les conditions d'utilisations de nos licences ?
Les conditions d'utilisations des logiciels DoubleTrade sont acceptés par vos soins à l'installation de nos logiciels. Un exemplaire de ces conditions peut-être téléchargé au format pdf ici : CU Licences Doubletrade (pdf).
Qu'est-ce qu'un certificat électronique ?
Introduction à la notion de certificat

Les algorithmes de chiffrement asymétrique sont basé sur le partage entre les différents utilisateurs d'une clé publique. Généralement le partage de cette clé se fait au travers d'un annuaire électronique (généralement au format LDAP) ou bien d'un site web.


Toutefois ce mode de partage a une grande lacune : Rien ne garantit que la clé est bien celle de l'utilisateur a qui elle est associée. En effet un pirate peut corrompre la clé publique présente dans l'annuaire en la remplaçant par sa clé publique. Ainsi, le pirate sera en mesure de déchiffrer tous les messages ayant été chiffrés avec la clé présente dans l'annuaire.


Ainsi un certificat permet d'associer une clé publique à une entité (une personne, une machine, ...) afin d'en assurer la validité. Le certificat est en quelque sorte la carte d'identité de la clé publique, délivré par un organisme appelé autorité de certification (souvent notée CA pour Certification Authority ).


L'autorité de certification est chargée de délivrer les certificats, de leur assigner une date de validité (équivalent à la date limite de péremption des produits alimentaires), ainsi que de révoquer éventuellement des certificats avant cette date en cas de compromission de la clé (ou du propriétaire).


Qu'est-ce qu'un certificat ?

Les certificats sont des petits fichiers divisés en deux parties, la partie contenant les informations & la partie contenant la signature de l'autorité de certification. La structure des certificats est normalisée par le standard X.509 de l' UIT , qui définit les informations contenues dans le certificat :


- Le nom de l'autorité de certification

- Le nom du propriétaire du certificat

- La date de validité du certificat

- L'algorithme de chiffrement utilisé

- La clé publique du propriétaire


L'ensemble de ces informations (informations + clé publique du demandeur) est signé par l'autorité de certification, cela signifie qu'une fonction de hachage crée une empreinte de ces informations, puis ce condensé est chiffré à l'aide de la clé privée de l'autorité de certification; la clé publique ayant été préalablement largement diffusée afin de permettre aux utilisateurs de vérifier la signature avec la clé publique de l' autorité de certification.

Comment fonctionne la signature électronique ?
Introduction à la notion de signature électronique

Le paradigme de signature électronique (appelé aussi signature numérique) est un procédé permettant de garantir l'authenticité de l'expéditeur (fonction d' authentification), ainsi que de vérifier l'intégrité du message reçu.


La signature électronique assure également une fonction de non-répudiation, c'est-à-dire qu'elle permet d'assurer que l'expéditeur a bien envoyé le message (autrement dit elle empêche l'expéditeur de nier avoir expédié le message).


Qu'est-ce qu'une fonction de hachage ?

Une fonction de hachage (parfois appelée fonction de condensation) est une fonction permettant d'obtenir un condensé (appelé aussi haché) d'un texte, c'est-à-dire une suite de caractères assez courte représentant le texte qu'il condense. La fonction de hachage doit être telle qu'elle associe un et un seul haché à un texte en clair (cela signifie que la moindre modification du document entraîne la modification de son haché). D'autre part, il doit s'agir d'une fonction à sens unique (one-way function) afin qu'il soit impossible de retrouver le message original à partir du condensé.


Ainsi, le haché représente en quelque sorte l'empreinte digitale (en anglais finger print) du document. Les algorithmes de hachage les plus utilisés actuellement sont :


- MD5 (MD signifiant Message Digest), créant une empreinte digitale de 128 bits. Il est courant de voir des documents en téléchargement sur Internet accompagnés d'un fichier MD5, il s'agit du condensé du document permettant de vérifier l'intégrité de ce dernier).

- SHA (pour Secure Hash Algorithm, pouvant être traduit par Algorithme de hachage sécurisé) créant des empreintes d'une longueur de 160 bits.


Le scellement des données

L'utilisation d'une fonction de hachage permet de vérifier que l'empreinte correspond bien au message reçu, mais rien ne prouve que le message a bien été envoyé par celui que l'on croit être l'expéditeur.


Ainsi, pour garantir l'authentification du message, il suffit à l'expéditeur de chiffrer (on dit généralement signer ) le condensé à l'aide de sa clé privée (le haché signé est appelé sceau ) et d'envoyer le sceau au destinataire.


A réception du message, il suffit au destinataire de déchiffrer le sceau avec la clé publique de l'expéditeur, puis de comparer le haché obtenu avec la fonction de hachage au haché reçu en pièce jointe. Ce mécanisme de création de sceau est appelé scellement.


Le scellement des données

En expédiant un message accompagné de son haché, il est possible de garantir l'intégrité d'un message, c'est-à-dire que le destinataire peut vérifier que le message n'a pas été altéré (intentionnellement ou de manière fortuite) durant la communication.


Lors de la réception du message, il suffit au destinataire de calculer le haché du message reçu et de le comparer avec le haché accompagnant le document. Si le message (ou le haché) a été falsifié durant la communication, les deux empreintes ne correspondront pas.


Ce document intitulé « Cryptographie - Signature électronique » issu de CommentCaMarche.fr est soumis à la licence GNU FDL.

Que signifie le sigle "SSL" que l'on voit partout ?
Introduction à SSL

SSL (Secure Sockets Layers , que l'on pourrait traduire par couche de sockets sécurisée) est un procédé de sécurisation des transactions effectuées via Internet mis au point par Netscape , en collaboration avec Mastercard , Bank of America , MCI et Silicon Graphics . Il repose sur un procédé de cryptographie par clef publique afin de garantir la sécurité de la transmission de données sur Internet Le système SSL est indépendant du protocole utilisé , ce qui signifie qu'il peut aussi bien sécuriser des transactions faites sur le Web par le protocole HTTP que des connexions via le protocole FTP , POP ou IMAP . En effet, SSL agit telle une couche supplémentaire, permettant d'assurer la sécurité des données, située entre la couche application et la couche transport (protocole TCP par exemple).


De cette manière, SSL est transparent pour l'utilisateur (entendez par là qu'il peut ignorer qu'il utilise SSL). Par exemple un utilisateur utilisant un navigateur Internet pour se connecter à un site de commerce électronique sécurisé par SSL enverra des données chiffrées sans avoir à s'en préoccuper.


La quasi intégralité des navigateurs supporte désormais le protocole SSL. Netscape Navigator affiche par exemple un cadenas verrouillé pour indiquer la connexion à un site sécurisé par SSL et un cadenas ouvert dans le cas contraire, tandis que Microsoft Internet Explorer affiche un cadenas uniquement lors de la connexion à un site sécurisé par SSL.


Un serveur sécurisé par SSL possède une URL commençant par https://, où le "s" signifie bien évidemment secured (sécurisé).


Au milieu de l'année 2001, le brevet de SSL appartenant jusqu'alors à Netscape a été racheté par l' IETF ( Internet Engineering Task Force ) et a été rebaptisé pour l'occasion TLS ( Transport Layer Security ).


Fonctionnement de SSL 2.0

La sécurisation des transactions par SSL 2.0 est basée sur un échange de clés entre client et serveur. La transaction sécurisée par SSL se fait selon le schéma suivant :


- Dans un premier temps, le client, se connecte au site marchand sécurisé par SSL et lui demande de s'authentifier. Le client envoie également la liste des cryptosystèmes qu'il supporte, triée par ordre décroissant de la longueur des clés.


- Le serveur a réception de la requête envoie un certificat au client, contenant la clé publique du serveur, signée par une autorité de certification (CA), ainsi que le nom du cryptosystème le plus haut dans la liste avec lequel il est compatible (la longueur de la clé de chiffrement - 40 bits ou 128 bits - sera celle du cryptosystème commun ayant la plus grande taille de clé).


- Le client vérifie la validité du certificat (donc l'authenticité du marchand), puis crée une clé secrète aléatoire (plus exactement un bloc prétenduement aléatoire), chiffre cette clé à l'aide de la clé publique du serveur, puis lui envoie le résultat (la clé de session).


- Le serveur est en mesure de déchiffrer la clé de session avec sa clé privée. Ainsi, les deux entités sont en possession d'une clé commune dont ils sont seuls connaisseurs. Le reste des transactions peut se faire à l'aide de clé de session, garantissant l'intégrité et la confidentialité des données échangées.

Comment fonctionne le paiement sécurisé par carte bancaire ?
Schéma de principe du paiement sécurisé

Un paiement sécurisé se passe de la façon suivante :


1- Le client crée sa commande sur un site marchand (le Portail CVP par exemple). Il a pour cela divers moyens à sa disposition, mais la façon de faire la plus classique est l'utilisation d'un "panier" ou "caddie" électronique.

2- Le client choisit le mode de paiement par carte bancaire et confirme sa commande.

3- On lui demande alors son numéro de carte bancaire ainsi que d'autres informations pour vérifier que la saisie est correcte (date d'expiration, cryptogramme visuel).

4- Après vérification de ces paramètres, une demande d'autorisation est envoyée à la banque concernée, et si tout concorde, la commande est validée.

5- Le site marchant informe alors le client que sa commande est validée, et lui envoie en parallèle un mail de confirmation.

6- Le client reçoit par mail un "ticket de paiement", qui est l'équivalent électronique du ticket de carte bancaire reçu par exemple lorsque l'on fait un achat par carte bancaire au supermarché.


Il existe une variante à ce système, que nous allons expliquer ci-dessous. Il est en effet problématique de devoir gérer la saisie du numéro de carte bancaire ainsi que toutes les communications avec la banque. La sécurité électronique utilisée doit être à toute épreuve, et une telle mise en oeuvre est coûteuse en matériel ainsi qu'en ressources humaines.


C'est pourquoi il existe des sociétés qui se sont spécialisées dans le domaine de la gestion du paiement électronique sécurisé, et qui prennent donc en charge toute la gestion de ce paiement. Le principe est alors le suivant :


- Le client saisit sa commande et comme dans la méthode précédente choisit le paiement par carte bancaire et confirme sa commande.

- Au moment de la confirmation, le site marchand délègue la phase de paiement à une autre société (que l'on va appeler SociétéP) spécialisée dans ce domaine. Le client se trouve alors redirigé vers le site de SociétéP, où est affiché le montant à payer.

- Il peut alors y remplir toutes les informations nécessaires (numéro de la carte, date d'expiration, cryptogramme visuel, etc ...).

- SociétéP s'occupe de faire tous les contrôles nécessaires ainsi que de contacter la banque pour obtenir une autorisation de paiement.

- Après toutes ces opérations, SociétéP informe alors le site marchand du succès ou de l'échec du paiement qui peut agir en conséquence : confirmer la commande, ou l'annuler.


L'avantage de cette méthode est qu'il permet de déléguer des responsabilités très importantes à un tiers de confiance spécialisé dans ce besoin particulier qu'est le paiement en ligne. De nos jours, seuls les plus gros sites marchands utilisent encore la première technique (pour économiser les frais de la société de gestion du paiement).


CVP a choisi d'apporter la solution du paiement électronique en procurant une interface fonctionnelle entre WebAO et la société Paybox qui s'occupe donc de tout ce qui concerne le paiement sécurisé. Paybox est une société reconnue dans ce domaine et équipe de très nombreux sites marchands.

Quelle est la différence entre un "compte utilisateur" et un "compte client" dans le Portail DTS ?

Le Portail CVP (WebAO et/ou WebDOC) fait la différence entre la notion de compte utilisateur et de compte client. Un compte utilisateur représente, de façon simplifiée, une paire login + mot de passe qui va permettre à une personne physique de se connecter sur le Portail. Le compte client, quand à lui, représente plus une personne morale, le client, qui peut donc être une entreprise par exemple. Le compte client contient donc toutes les informations nécessaires à la facturation (adresses, catégorie achat-vente, etc ...).


Au premier abord, on pourrait se demander pourquoi CVP a fait le choix de séparer la notion de compte client de celle du compte utilisateur. Ce choix a été fait pour que le Portail soit en mesure de comprendre des situations telles que celles que vous rencontrez lorsque vous travaillez avec des grands comptes. Dans ces cas-là, il vous arrive souvent d'avoir à faire à plusieurs interlocuteurs, mais toute la facturation se fait sur le même compte client dans Cvp AO. Pour simplifier, on peut considérer qu'un "compte utilisateur" est un "interlocuteur" qui est connu par le Portail, et qui a des droits bien spécifiques.


Une documentation complète a été réalisée pour vous permettre de comprendre comment créer des comptes utilisateurs/clients. Cette notion est également abordée dans nos formations. Vous pouvez télécharger cette documentation au format PDF en cliquant ici : Création Compte Client / Utilisateur (pdf)

Dois-je déclarer mon site à la CNIL ?
Qu'est-ce que la CNIL ?

La Commission Nationale de l'Informatique et des Libertés (CNIL) a été instituée par la loi n° 78-17 du 6 janvier 1978 avec pour mission, entre autres, de faire connaÎtre et respecter cette loi.


Cette loi protège en partie notre vie privée dans le cadre de l'informatique. Ainsi l'accent est porté sur le fait que tout ensemble de données à caractère personnel ayant à subir un traitement informatique doit être déclaré à la CNIL avant ce traitement, l'organisme délivrant une autorisant d'exploitation. La CNIL vérifie également que la base de données ne contient pas des données illégales (couleur de peau, croyances religieuses, opinions politiques, etc...).


Les logiciels CVP contiennent des données à caractère personnel (un nom ou une simple adresse email suffisent !). Dans ce cadre, une déclaration à la CNIL est obligatoire. La société CVP n'a pas la possibilité de faire une déclaration commune pour tous ses clients. Chacun de nos clients doit donc procéder à la déclaration de ses données à la CNIL lui-même.


C'est simple et rapide, une telle déclaration peut être faite en ligne sur le site de la CNIL en 10 minutes. Nous vous conseillons par ailleurs d'aller consulter ce site pour y trouver des informations utiles sur la CNIL.


Comment faire sa déclaration ?

Les logiciels CVP entrent dans le cadre de la norme simplifiée n°11, vous pouvez donc faire la déclaration très facilement :


1- Rendez vous sur www.cnil.fr

2- Saisissez les informations concernant votre entreprise dans le cadre "Organisme déclarant".

3- Dans les deux cadres suivants, cochez les cases.

4- Dans le cadre "Traitement déclaré" choisissez la norme "11 Gestion des fichiers de clients et de prospects", et rentrez les informations nécessaires pour les questions suivantes.

5- Le cadre "Personne à contacter" permet de spécifier quelle sera la personne chez vous que la CNIL peut contacter en cas de questions. C'est à l'adresse email spécifiée que sera aussi envoyé le récépissé de déclaration.

6- Le cadre "Personne responsable de la déclaration" permet d'indiquer le nom et la fonction de la personne responsable de l'exactitude des informations fournies dans la déclaration.

7- Cliquez "l'organisme déclarant" dans le cadre suivant.

8- Relisez votre déclaration pour valider l'exactitude des informations.

9- Cliquez ensuite sur le bouton [Envoyer la déclaration à la CNIL].


Note : Les informations contenues ici sont une aide à la déclaration des logiciels CVP à la CNIL, et après analyse par la société DoubleTrade, une telle déclaration semble correcte dans la majorité des cas. Toutefois, la société DoubleTrade ne saurait être tenue responsable des mauvaises déclarations faites par toute personne ayant lu cette page. Chaque déclarant est supposé avoir pris connaissance de toutes les informations nécessaires, disponibles sur le site www.cnil.fr pour faire sa déclaration de façon correcte.

Que siginifient toutes ces abréviations que l'on retrouve partout dans les appels d'offres ?
A venir
Où voir la liste des familles de certificats référencées ?
A venir