Pourquoi les coffres forts électronique Offline de Fullsecure sont conforme au décret n 2018-418 qui entrera en vigueur le 1^er janvier 2019 ?

Vu le décret n° 2018-418 du 30 mai 2018 issu de la loi n° 2016-1321 du 7 octobre 2016 pour une République Française numérique, relatif aux modalités de mise en œuvre du service de coffre-fort numérique. Sauf erreur de notre part, il apparaît que les solutions innovantes brevetées de coffres forts 100% électroniques à utilisation hors ligne n’ont pas encore été réglementées.

Lien Legifrance de la loi : https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000033202746&categorieLien=id

Lien Legifrance du décret : https://www.legifrance.gouv.fr/eli/decret/2018/5/30/ECOI1801826D/jo/texte

Les coffres forts électronique Fullsecure conforme au décret n 2018-418 concerne les solutions EviTag NFC, EviCard NFC, EviLock  NFC, et EviPro NFC

Art. R. 55-1 – Ledit décret cadre le fonctionnement des coffres forts numériques. Ainsi, le fournisseur de coffres forts numériques est tenu d’informer l’utilisateur de façon claire, loyale et transparente sur son service, préalablement à la conclusion d’un contrat. Il doit notamment communiquer

• Le type d’espace mis à sa disposition et les conditions d’utilisation associées ;
• Les mécanismes techniques utilisés ;
• La politique de confidentialité ;
• L’existence et les modalités de mise en œuvre des garanties de bon fonctionnement.

Etant donné que Fullsecure indique clairement aux utilisateurs :

• l’espace préfini disponible avant l’acquisition des dispositifs, ainsi que la possibilité de vérifier par eux-mêmes la quantité de mémoire utilisée,
• les conditions d’utilisation sont disponibles en vidéos, à tout moment sur internet, via YouTube ainsi que par diverses publications écrites sur le site internet,
• qu’aucune information matérielle et/ou numérique n’est collectée de quelque manière que cela soit, ce qui par voie de conséquence engendre le total anonymat de l’utilisateur,
• les fiches techniques complètes des dispositifs sont disponibles sur le site internet de Fullsecure.
• la mise en œuvre de la garantie est publiée sur le site internet. Une grande partie des solutions Fullsecure sont garanties à vie des dispositifs.

Art. R. 55-3 – Ledit décret précise que l’intégrité, la disponibilité et l’exactitude de l’origine des données et documents stockés dans le coffre-fort numérique sont garanties par des mesures de sécurité adaptées et conformes à l’état de l’art.

Etant donné que Fullsecure peut garantir aux utilisateurs :

L’intégrité des données, celle-ci étant garantie par le fabricant des composants STMicroelectronics pour au moins 1 million de cycle d’écritures sans erreur, et 40 ans de rétention de la donnée dans une mémoire non volatile.

Leur disponibilité puisque les dispositifs de Fullsecure fonctionnent sans entretien, sans batterie, par récupération de l’énergie électrique via le signal NFCNear Field Communication (NFC) : il s'agit d'une technologie de connectivité sans fil à courte... More d’un smartphone. Ainsi, un tel dispositif permet aux utilisateurs d’accéder à tout moment, pendant au moins 40 années, aux données contenues dans le coffre-fort.

L’exactitude de l’origine des données : c’est l’utilisateur lui-même qui stocke les données dans la mémoire électronique des coffres forts de Fullsecure

L’accès aux mémoires est physiquement verrouillé par plusieurs dispositifs matériels, tels qu’une clé d’appairage unique avec au minimum un mot de passe administrateur défini par le utilisateur. Ces mesures de sécurité mises en œuvre impliquent l’impossibilité matérielle et/ou numérique de corrompre la donnée sauvegardée. Il sera également impossible au fabricant de pouvoir accéder au contenu automatiquement chiffré de ladite mémoire du dispositif. Il est précisé que l’utilisateur dispose de fonctions supplémentaires qui lui permettent d’endurcir lui-même le niveau de sécurité en fonction de l’usage des coffres forts électronique de Fullsecure.

Art. R. 55-4 Ledit décret précise que la traçabilité des opérations réalisées sur les données et documents stockés dans le coffre-fort numérique requièrent au minimum la mise en œuvre des mesures suivantes :

• L’enregistrement et l’horodatage des accès et tentatives d’accès ;
• L’enregistrement des opérations affectant le contenu ou l’organisation des données et documents de l’utilisateur ;
• L’enregistrement des opérations de maintenance affectant les données et documents stockés dans les coffres forts numériques.
• Les durées de conservation de ces données de traçabilité constituent une mention obligatoire du contrat de fourniture de service de coffre-fort électronique.

Etant donné que les coffres forts électroniques de Fullsecure,

• disposent d’une boîte noire infalsifiable et non modifiable. Que cette boîte noire trace notamment le nombre de tentatives de saisies du mot de passe administrateur et que cette information est automatiquement sauvegardée dans la boite noire.
• gèrent l’enregistrement des données de manière dynamique, machine vers machine (M2MM2M ou MtoM (machine to machine) sont des sigles qui signifient une communication entre machine... More) entre le terminalLe terme "terminal" est utilisé sur ce site pour désigner tout appareil informatique mobile tel... More NFCNear Field Communication (NFC) : il s'agit d'une technologie de connectivité sans fil à courte... More et le dispositif NFCNear Field Communication (NFC) : il s'agit d'une technologie de connectivité sans fil à courte... More. Que le système de sauvegarde est réalisé en temps réel avec de la mémoire électronique physique du dispositif, sur la mémoire volatile du terminalLe terme "terminal" est utilisé sur ce site pour désigner tout appareil informatique mobile tel... More, sans conservation de ces données.
• disposent de mémoires non volatiles, capables de conserver les données sauvegardées par l’utilisateur pendant au moins 40 ans, sans avoir recours à une source d’énergie électrique.
• dispose de documents certifiés du constructeur des composants électroniques utilisés par Fullsecure dans ces dispositifs qui établissent sans conteste que le temps moyen entre pannes est estimé après un 1 million de cycles d’écritures par bloc mémoire, aucune opération de maintenance n’est nécessaire.

Art. R. 55-5.- Ledit décret indique que l’identification de l’utilisateur lors de l’accès au service de coffre-fort numérique doit être assurée par un moyen d’identification électronique adapté aux enjeux de sécurité du service.

Etant donné que les solutions de Fullsecure disposent de plusieurs paramètres d’identification pré-déterminable par l’utilisateur lui-même, à savoir : le mot de passe administrateur, le mot de passe utilisateur, l’appairage des terminaux NFCNear Field Communication (NFC) : il s'agit d'une technologie de connectivité sans fil à courte... More, l’asservissement à un point de géolocalisation, à une clé de chiffrement, à des segments de blockchain physique, mot de passe des clés de chiffrement, et code d’affichage et de partage de données appelé « jamming ».

Art. R. 55-6. Ledit décret, selon la garantie, telle que prévue au 4° de l’article L. 103, de l’exclusivité d’accès aux documents et aux données de l’utilisateur ou aux données associées au fonctionnement du service requiert au minimum la mise en œuvre des mesures suivantes :

« 1° Un mécanisme de contrôle d’accès limitant l’ouverture du coffre-fort numérique aux seules personnes autorisées par l’utilisateur ;

« 2° Des mesures de sécurité destinées à garantir la confidentialité des documents et données stockés ainsi que des métadonnées correspondantes ;

« 3° Le chiffrement par le service de coffre-fort numérique de l’ensemble des documents et données stockés par le coffre-fort numérique ou transférés vers ou depuis celui-ci. Ce chiffrement doit être effectué à l’aide de mécanismes cryptographiques conformes à l’état de l’art et permettre une évolution de la taille des clés et des algorithmes utilisés.

Etant donné que Fullsecure,

• a mis en œuvre plusieurs systèmes de sécurité pour protéger l’ouverture du coffre-fort électronique : identification matérielle, numérique et humaine. Le premier contrôle impose de connaître la clé d’appairage physique du dispositif pour autoriser la connexion avec un terminalLe terme "terminal" est utilisé sur ce site pour désigner tout appareil informatique mobile tel... More informatique disposant de la technologie NFCNear Field Communication (NFC) : il s'agit d'une technologie de connectivité sans fil à courte... More. Le second contrôle impose à l’utilisateur de connaître le code administrateur qu’il a lui-même au préalable enregistré dans le dispositif pour accéder aux services. D’autres systèmes de sécurité peuvent être ajoutés, formant une clé de chiffrement symétrique et/ou asymétrique qui, segmentée en blockchain physique dans de la mémoire physique, rend l’accès aux données chiffrées sauvegardées dans la mémoire physique totalement inaccessible.
• a mis en oeuvre une méthode à multi facteurs d’authentification permet d’identifier simultanément le terminalLe terme "terminal" est utilisé sur ce site pour désigner tout appareil informatique mobile tel... More autorisé à utiliser le dispositif et l’utilisateur. Cela permet de garantir l’exclusivité d’accès aux données sauvegardées à l’utilisateur et/ou à ses ayants-droits.
• a mis en oeuvre un procédé de sauvegarde par lequel toutes les données et les métadonnées attachées sont chiffrées dans le dispositif non connecté qui permet de garantir la confidentialité des données stockées dans le coffre-fort électronique.
• utilise des tailles de clés de chiffrement évolutives de manière dynamique et utilise des standards normalisés qualifiés, tels que les clés AES256 bits et/ou RSA4096 bits. Lesdites clés peuvent elles-mêmes être chiffrées en AES256 bits et segmentées dans une blockchain physique, dans un ou plusieurs dispositifs distincts. Une telle mise en œuvre rend impossible, à l’état de l’art connu, l’accès aux dites clés ou la possibilité de les deviner via une attaque en force brute.

Décision du comité technologique Jaroch réuni le 12 juin 2018,

Vu le décret n° 2018-418 du 30 mai 2018 qui entrera en vigueur le 1er Janvier 2019 ;

Attendu que Fullsecure indique clairement aux utilisateurs les conditions d’utilisation, les mécanismes techniques utilisés et la mise en œuvre des garanties associés à ses solutions de coffres forts électroniques ;

Attendu que les mesures de sécurité adaptées sont mises en œuvre pour garantir l’intégrité, la disponibilité et l’exactitude de l’origine des données stockées dans le coffre-fort électronique ;

Attendu que la traçabilité des opérations réalisées sur les données stockées dans le coffre-fort électronique est effective ;

Attendu que l’identification de l’utilisateur lors de l’accès au service de coffre-fort électronique est assurée par plusieurs moyens d’identification électronique ;

Attendu que de multi facteurs d’authentification sont mis en place pour garantir l’exclusivité d’accès aux données sauvegardées chiffrées dans le coffre-fort électronique ;

Attendu que le dispositif n’est pas connecté, ce qui élime de fait les attaque force brute distantes ;

Par ces motifs,

Vu de tout ce qui précède, et au regard d’une telle mise en œuvre, de l’état de l’art et des technologies connues et disponibles, on ne peut que constater que l’accès à la donnée sauvegardée chiffrée dans les dispositifs non connectés, n’est accessible que par l’utilisateur et les ayants droits qu’il a préalablement définis ;

Prononce en conséquence une totale conformité des solutions de coffres forts électroniques de Fullsecure avec les dispositions de la loi n° 2016-1321 du 7 octobre 2016 et du décret n° 2018-418 du 30 mai 2018 d’application qui entrera en vigueur le 1er janvier 2019.

Jacques Gascuel

Ps : Autres articles sur coffres forts électronique Fullsecure conforme au décret n 2018-418 EviKey NFC et Evidisk NFCNear Field Communication (NFC) : il s'agit d'une technologie de connectivité sans fil à courte... More