Accueil À propos CEV Confiance Membres Blog

Normes ISO pour la sécurité des documents numériques : ISO 22376 et ISO 22385

Les normes (les standards) forment l'infrastructure invisible de la confiance. Lorsqu'un agent aux frontières vérifie un passeport, qu'un pharmacien contrôle l'authenticité d'un médicament, ou qu'un consommateur scanne l'étiquette d'un produit, les normes internationales rendent de telles vérifications possibles — et fiables. Pour les Cachets Électroniques Visibles (CEV), cette base de confiance repose sur la norme ISO 22385 et les spécifications connexes de l'OACI.

Le Panorama des Normes

Le Doc 9303 de l'OACI — L'origine du concept

L'Organisation de l'aviation civile internationale (OACI) a été pionnière dans le concept de documents de voyage lisibles par machine (MRTD) il y a plusieurs décennies. Dans la série de son Document 9303, l'OACI a défini le format CEV spécifiquement pour les documents de voyage et d'identité :

  • CEV pour les documents de voyage — Un code-barres DataMatrix signé affiché sur des vignettes visas, des titres de voyage d'urgence et des documents d'identité.
  • VDS-NC (Non-Constrained) — Un format spécialement conçu pour des cas d'usage allant au-delà de ceux des documents de voyage (ex: certificats de santé, accréditations professionnelles, etc.), sans limite de taille pour la charge utile et avec un schéma de données plus souple.

ISO 22385 / ISO 22376 — Élargissement de la portée

La famille de normes ISO 22381 (qui inclut l'ISO 22376 et l'ISO 22385) généralise la technologie du CEV pour des applications bien plus larges :

  • ISO 22385 / ISO 22376 — La norme ISO 22376 définit le cadre général et la structure des données pour l'authentification CEV des produits et des documents ; la norme ISO 22385 spécifie les dispositions techniques requises pour sa mise en œuvre (l'encodage, la cryptographie, les listes de confiance), élaborées en étroite collaboration avec l'AIGCEV.
  • Des règles définissent comment les champs de données y sont organisés, quels algorithmes de signature sont pris en charge et comment gérer les chaînes de certification.

ISO 17712 et ISO 28000 — Le contexte de la Supply Chain

Dans le contexte des chaînes logistiques, la technologie CEV est complémentaire aux normes en place pour les cachets des conteneurs matériels (ISO 17712) ainsi que pour la gestion de sécurité liée à la chaîne d'approvisionnement (ISO 28000), bien que l'alignement normatif direct entre ces normes et les spécifications CEV soit encore en évolution.

Pourquoi les normes sont importantes

L'interopérabilité

Un Cachet Électronique Visible émis par une autorité française doit être vérifiable par un système des contrôles frontaliers japonais. Les normes garantissent que le format de données, les algorithmes de signature et la gestion par certificats sont universellement compris.

La Confiance

Les spécifications des normes prescrivent des hiérarchies de certificats — qui est autorisé à émettre des cachets, comment leurs clés sont gérées, et comment fonctionne la révocation. Sans cette gouvernance, quiconque pourrait prétendre être un émetteur légitime.

La Pérennité

En spécifiant des exigences techniques précises, les normes protègent contre l'obsolescence. Un CEV imprimé aujourd'hui restera vérifiable pendant des années, car la logique de vérification est définie dans un document technique officiel, public et stable.

Validité Juridique / Admissibilité légale

Dans de nombreuses juridictions, l'adhésion aux normes internationales reconnues est une condition préalable à l'admissibilité des preuves numériques en justice. Un CEV vérifié conformément à la norme ISO 22381 a plus de poids juridique qu'une solution propriétaire.

Exigences Techniques Clés

Les normes définissent plusieurs éléments critiques :

Élément

Spécification (Paramètres requis)

Format de code-barres

DataMatrix (ECC 200), QR Code, NFC, URL (Le CEV est agnostique de son support)

Algorithme de signature

ECDSA avec des courbes P-256 ou supérieures

Format de certificat

X.509 v3

Encodage des données

MessagePack (format de sérialisation binaire utilisé pour l'encodage de la charge utile)

La Compression

Compression zlib optionnelle pour des lourdes charges (payloads de grande taille)

Ces choix équilibrent la force de la sécurité avec les contraintes pratiques de l'impression et de la lecture des codes-barres sur des supports physiques.

Le Rôle de l'AIGCEV dans la Normalisation

L'AIGCEV participe activement au développement et à la promotion des normes CEV en assurant :

  • Contributions aux comités techniques — Des représentants de l'AIGCEV contribuent activement aux groupes de travail de l'ISO et de l'OACI.
  • Tests d'interopérabilité — L'AIGCEV organise des "Plugfests" et des événements de test de conformité au cours desquels les intégrateurs vérifient que leurs systèmes génèrent et vérifient correctement les CEV.
  • Implémentations de références — L'utilisation d'outils tels que l'application Otentik Code Reader sert d'application de vérification de référence, garantissant que les normes sont correctement implémentées.
  • Éducation et formation — L'AIGCEV publie des documents d'orientation et organise des séminaires d'accompagnement pour aider les gouvernements et l'industrie à adopter les CEV.

Vue sur L'Avenir

À mesure que les technologies et les menaces évoluent, les normes évoluent également. Les travaux en cours incluent :

  • La Cryptographie Post-Quantique — Préparer la transition des CEV pour l'ère de l'informatique quantique en évaluant des algorithmes de signature résistants au quantique.
  • Nouveaux Profils de Données Étendus — De nouveaux schémas de données pour des cas d'usage supplémentaires tels que les diplômes universitaires, les certificats environnementaux et les passeports numériques de produits.
  • Confidentialité renforcée — Des mécanismes de divulgation sélective (Selective Disclosure) qui permettent à un CEV de révéler uniquement les informations nécessaires pour un contexte de vérification spécifique.