Cegid Expert TDI Nouvelle Sécurisation

NNote Technique
Cegid Expert TDI
Nouvelle Sécurisation
Service d'Assistance Téléphonique 0 826 888 488
NONOTE TECHNIQUE
Sommaire
1. Introduction ......................................................................................................................... 3
Rappel du contexte actuel .......................................................................................................3
Nouvelle procédure de sécurisation .........................................................................................3
2. Génération des clés .............................................................................................................. 4
Installation OPENSSL ..............................................................................................................4
Création des clés privée / publique ..........................................................................................8
Exportation de la clé publique au format PEM ..........................................................................9
3. Obtention de l’accréditation auprès de la DGFiP ................................................................ 11
4. Paramétrage dans Cegid Expert Etafi TDI .......................................................................... 12
Paramétrage / Site ............................................................................................................... 12
Envoi des messages ............................................................................................................. 13
Etafi TDI – Cegid Expert
Page 2 / 13
NONOTE TECHNIQUE
1. Introduction
Rappel du contexte actuel
Actuellement, les échanges entre les partenaires EDI et la DGFiP ne sont pas chiffrés. Il n'y a pas de confidentialité dans les données
transmises via les canaux de communication CFT/IP, TEDECO et CFT/Numeris.
Par contre, ces échanges sont signés et la DGFiP réalise une vérification de signature des fichiers reçus portant sur trois points :

l'authentification de l'émetteur ;

la non-répudiation ;

le contrôle d'intégrité des données transmises.
L'émetteur produit donc une signature en chiffrant, à l'aide de sa clé privée, un condensat (sorte d'empreinte) obtenu par application
d'une fonction de hachage sur les données qu'il souhaite envoyer.
De son côté, la DGFiP utilise la clé publique de l'émetteur pour vérifier cette signature.
En plus de sa signature, l'émetteur transmet son accréditation contenant entre autres :

son SIRET étendu ;

le type (test ou réel) ;

le numéro de série de sa carte ;

sa clé publique.
Toutes ces informations ont été signées à l'aide de la clé privée autorité DGFiP et cette signature est elle-même intégrée à l'accréditation.
Cette dernière ainsi que les clés du partenaire sont stockées sur une carte à puce délivrée par la DGFiP.
Nouvelle procédure de sécurisation
La DGFiP souhaite faire évoluer la procédure de sécurisation principalement en raison du coût élevé de la création des cartes à puce.
Cette évolution permettra également d'augmenter le niveau de sécurité du chiffrement mis en œuvre.
Deux priorités pour cette solution :

permettre de fournir aux futurs partenaires un moyen de signer leurs transmissions dans les mêmes conditions que ceux qui
possèdent une carte à puce ;

être la plus simple possible pour éviter une refonte lourde, donc coûteuse, du processus actuel tout en garantissant le niveau
de sécurité attendu.
Ainsi, la nouvelle procédure reprend exactement le même principe de fonctionnement que celui qui est appliqué aujourd'hui.
Etafi TDI – Cegid Expert
Page 3 / 13
NONOTE TECHNIQUE
2. Génération des clés
Installation OPENSSL
Afin de pouvoir générer les clés et sécuriser les messages il est nécessaire d’installer OPENSSL.
Openssl est une boîte à outils de chiffrement sous licence Apache (logiciel libre et open source). Cet utilitaire permet de réaliser
l'ensemble des opérations de la nouvelle procédure de sécurisation.
Pour cela, sur le poste qui sécurise les messages EDI, se connecter au site internet suivant :
http://slproweb.com/products/Win32OpenSSL.html
dans la partie « Download win32 openSSL », selon l’OS de la machine, installer l’un des kits suivants :

Win32 OpenSSL v1.0.1e Light

Win64 OpenSSL v1.0.1e Light
ou
NB : le n° de version est donné à titre informatif, il évolue au fil du temps.
Cliquer sur OK,
Etafi TDI – Cegid Expert
Page 4 / 13
NONOTE TECHNIQUE
Cliquer sur Next,
Cocher “I agree the agreement” et cliquer sur Next,
Etafi TDI – Cegid Expert
Page 5 / 13
NONOTE TECHNIQUE
Cliquer sur Next,
Cliquer sur Next,
Etafi TDI – Cegid Expert
Page 6 / 13
NONOTE TECHNIQUE
Choisir “The OpenSSL binaries (/bin) directory” et cliquer sur Next,
Cliquer sur Install,
Etafi TDI – Cegid Expert
Page 7 / 13
NONOTE TECHNIQUE
Vous pouvez décocher l’option proposée, et cliquer sur Finish.
Création des clés privée / publique
Se positionner dans le répertoire où OPENSSL a été installé :
C:\OpenSSL-Win64\bin
Dans ce répertoire créer un fichier quelconque avec une donnée.
Exemple : créer un document texte (.txt) que l’on nomme Fichier.txt, l’ouvrir par Notepad, saisir le texte suivant : Fichier et
enregistrer.
Lancer openssl.exe en faisant un clic droit sur le fichier / Excécuter en tant qu’administrateur et exécuter la ligne de commande ci-jointe :
OpenSSL> genrsa -des3 -rand fichier_quelconque_non_vide -out fichier_des_cles.pem 2048
où :
fichier_quelconque_non_vide = nom du fichier précédemment créé
fichier_des_cles.pem = nom de la clé privée générée. On peut utiliser le nom de la société + SIREN
Ainsi, dans notre exemple la ligne de commande à exécuter sera la suivante :
OpenSSL> genrsa -des3 -rand Fichier.txt -out SOCIETE_123456789_PRIVEE.pem 2048
ATTENTION ! Si vous ne souhaitez pas gérer de mot de passe la ligne de commande à exécuter sera la suivante :
OpenSSL> genrsa -rand Fichier.txt -out SOCIETE_123456789_PRIVEE.pem 2048
Etafi TDI – Cegid Expert
Page 8 / 13
NONOTE TECHNIQUE
Explication des autres paramètres :

genrsa : génération des clés en utilisant l'algorithme RSA ;

-des3 : protection par mot de passe du fichier contenant les clés ;

-rand : ajout d'entropie non déterministe par utilisation d'un fichier externe dans le générateur de nombres
aléatoires ;

-out : nom du fichier PEM dans lequel seront stockées les clés ;

2048 : longueur de la clé générée.
Pour ne pas protéger la clé privée avec un mot de passe, il ne faut pas fournir le paramètre -des3.
NB : Lors de la saisie du mot de passe aucun caractère n’apparait à l’écran.
ATTENTION ! Si vous choisissez de renseigner un mot de passe, celui-ci vous sera demandé à chaque sécurisation, c’est-à-dire à
chaque envoi de messages.
Exportation de la clé publique au format PEM
Exécuter la ligne de commande ci-jointe :
OpenSSL> rsa -in fichier_des_cles.pem -pubout -out fichier_cle_publique.pem
Dans notre exemple la ligne de commande à exécuter sera la suivante :
OpenSSL> rsa -in SOCIETE_123456789_PRIVEE.pem -pubout -out SOCIETE_123456789_PUBLIQUE.pem
Le mot de passe précédemment renseigné vous est alors demandé.
Explication des autres paramètres :

rsa : exploitation de clés générées avec l'algorithme RSA ;

-in : fichier contenant les clés préalablement générées ;

-pubout : extraction de la clé publique ;

-out : nom du fichier dans lequel sera stockée la clé publique.
Etafi TDI – Cegid Expert
Page 9 / 13
NONOTE TECHNIQUE
Pour quitter, exécuter la commande :
OpenSSL> exit
C'est ce fichier SOCIETE_123456789_PUBLIQUE.pem qui doit être fourni au correspondant téléprocédures pour la création de
l'accréditation.
Etafi TDI – Cegid Expert
Page 10 / 13
NONOTE TECHNIQUE
3. Obtention de l’accréditation auprès de la DGFiP
Les accréditations sont délivrées par les correspondants régionaux pour les téléprocédures selon le scénario suivant :

le partenaire EDI génère sa paire de clés de cryptage selon les préconisations techniques du nouveau schéma de sécurisation
(cf. étape précédente) ;

il contacte le correspondant régional pour les téléprocédures en charge de son dossier (liste consultable sur le portail fiscal
www.impots.gouv.fr, rubrique « contacts ») afin de fixer un rendez-vous pour la délivrance de l’accréditation ;

avant ce rendez-vous, il transmet par courriel le fichier de sa clé publique au correspondant régional (dans notre exemple :
SOCIETE_123456789_PUBLIQUE.pem), afin que ce dernier puisse vérifier la conformité technique de cette clé ;

après confirmation de la validité de sa clé, le représentant du partenaire EDI (représentant légal ou dûment mandaté) se
présente au rendez-vous porteur des éléments suivants :
o
le fichier de clé publique précédemment validé sur clé USB régional (dans notre exemple :
SOCIETE_123456789_PUBLIQUE.pem) ;
o
un mandat le désignant comme représentant du partenaire EDI, s’il n’est pas l’entrepreneur individuel lui-même ou le
représentant légal de la société ;

o
une copie d’une pièce d’identité en cours de validité ;
o
une copie de la convention DGFiP/partenaire EDI signée lors de l’habilitation ;
o
un extrait K-bis de moins de trois mois identifiant le partenaire EDI, s’il s’agit d’une société.
après vérification des pièces justificatives, le correspondant régional génère immédiatement l’accréditation et la stocke sur la
clé USB du partenaire ;

à la fin du rendez-vous, le représentant dispose de l’accréditation du partenaire EDI, immédiatement utilisable pour la
sécurisation des envois.
Etafi TDI – Cegid Expert
Page 11 / 13
NONOTE TECHNIQUE
4. Paramétrage dans Cegid Expert Etafi TDI
Le paramétrage des Emetteurs et Destinataires reste identique à ce qui existait précédemment. Pour plus de précisions, se reporter au
Manuel d’utilisateur de Cegid Expert Etafi TDI.
Cette partie traite uniquement du différentiel de paramétrage par rapport au boitier de sécurisation.
Paramétrage / Site
Généralités
Dans le contexte d’utilisation de TDI en mode PED il est désormais proposé de choisir le mode de sécurisation :
Sécurisation
Dans le cas où le nouveau mode de sécurisation a été choisi (clés privée/publique), un nouvel onglet « Sécurisation » apparait.
Renseigner le répertoire dans lequel OpenSSL a été installé :
Importer les clés générées précédemment :

Clé privée : dans notre exemple SOCIETE_123456789_PRIVEE.pem

Clé publique : dans notre exemple SOCIETE_123456789_PUBLIQUE.pem

Accréditation : récupérer le fichier fourni par le correspondant téléprocédures.
Etafi TDI – Cegid Expert
Page 12 / 13
NONOTE TECHNIQUE
Lors de la validation ces fichiers sont enregistrés en base et un indicateur visuel vous précise qu’un fichier a déjà été importé :
Dans le cas où il est nécessaire de ré-importer un des éléments, il suffit de cliquer à nouveau sur Importer.
Envoi des messages
La procédure d’envoi des messages reste identique.
A noter toutefois que si la génération de la clé privée a été faite avec un mot de passe, ce dernier vous sera demandé à chaque envoi de
messages.
Etafi TDI – Cegid Expert
Page 13 / 13