Accueil À propos CEV Confiance Membres Blog

Normes ISO pour la securite des documents numeriques : ISO 22376 et ISO 22385

Les normes sont l'infrastructure invisible de la confiance. Quand un agent frontalier verifie un passeport, quand un pharmacien controle l'authenticite d'un medicament ou quand un consommateur scanne une etiquette de produit, les normes internationales rendent cette verification possible -- et fiable. Pour les Cachets Electroniques Visibles (CEV), cette fondation repose sur les normes ISO 22376, ISO 22385 et les specifications OACI associees.

Le paysage normatif

OACI Doc 9303 -- La ou tout a commence

L'Organisation de l'aviation civile internationale (OACI) a ete pionniere du concept de documents de voyage lisibles par machine (MRTD) il y a plusieurs decennies. Dans sa serie Doc 9303, l'OACI a defini le format VDS specifiquement pour les documents de voyage et d'identite :

  • VDS pour les documents de voyage -- Un code-barres DataMatrix signe sur les vignettes visa, les documents de voyage d'urgence et les documents d'identite supplementaires.
  • VDS-NC (Non-Constrained) -- Une extension du format pour des cas d'usage au-dela du voyage : certificats de sante, timbres fiscaux, diplomes, etc.

ISO 22376 -- Specification technique

La norme ISO 22376 definit la specification technique du CEV. Elle precise comment les champs de donnees sont organises, quels algorithmes de signature sont pris en charge et comment les chaines de certificats doivent etre gerees.

ISO 22385 -- Cadre de confiance

La norme ISO 22385 definit le cadre de confiance qui gouverne l'ecosysteme CEV : les roles des differents acteurs (operateurs de schema, autorites de certification, emetteurs CEV), les exigences de securite et les mecanismes d'interoperabilite.

Pourquoi les normes sont essentielles

Interoperabilite

Un CEV emis par une autorite francaise doit etre verifiable par un systeme de controle frontalier japonais. Les normes garantissent que le format des donnees, les algorithmes de signature et la gestion des certificats sont universellement compris.

Confiance

Les normes definissent les hierarchies de certificats -- qui est autorise a emettre des cachets, comment leurs cles sont gerees et comment fonctionne la revocation. Sans cette gouvernance, quiconque pourrait pretendre etre un emetteur legitime.

Perennite

En specifiant des exigences techniques precises, les normes protegent contre l'obsolescence. Un CEV imprime aujourd'hui restera verifiable pendant des annees, car la logique de verification est definie dans un document stable et accessible publiquement.

Recevabilite juridique

Dans de nombreuses juridictions, la conformite a des normes internationales reconnues est un prerequis pour la recevabilite juridique des preuves numeriques. Un CEV verifie selon les normes ISO a plus de poids qu'une solution proprietaire.

Exigences techniques cles

Les normes definissent plusieurs elements critiques :

  • Algorithmes de signature -- ECDSA avec des courbes standardisees, garantissant un equilibre entre robustesse de securite et contraintes pratiques d'impression et de scan des codes-barres sur supports physiques.
  • Format des donnees -- MessagePack pour une serialisation compacte et efficace.
  • Structure des certificats -- Conformite X.509 pour la gestion des cles publiques.
  • Listes de confiance -- Format TSL/LoTL pour la distribution des autorites de confiance.

Le role de l'AIGCEV dans la normalisation

L'AIGCEV participe activement au developpement et a la promotion des normes CEV a travers :

  • Contributions aux comites techniques -- Les membres de l'AIGCEV contribuent aux groupes de travail ISO et OACI.
  • Tests d'interoperabilite -- L'AIGCEV organise des plugfests et des evenements de test de conformite ou les implementeurs verifient que leurs systemes generent et verifient correctement les CEV.
  • Implementations de reference -- Des outils comme Otentik Codes Reader servent d'applications de verification de reference, garantissant que les normes sont correctement implementees.
  • Education et sensibilisation -- L'AIGCEV publie des documents d'orientation et organise des ateliers pour aider les gouvernements et les industries a adopter le CEV.

Perspectives

A mesure que les menaces numeriques evoluent, les normes evoluent egalement. Les travaux en cours incluent :

  • Cryptographie post-quantique -- Preparer le CEV a l'ere de l'informatique quantique en evaluant des algorithmes de signature resistants aux attaques quantiques.
  • Profils de donnees etendus -- De nouveaux schemas de donnees pour des cas d'usage supplementaires tels que les diplomes, les certificats environnementaux et les passeports numeriques de produits.
  • Protection renforcee de la vie privee -- Des mecanismes de divulgation selective permettant a un CEV de ne reveler que les informations necessaires pour un contexte de verification specifique.