16 juin 2010

RPVA

J'ai longuement hésité avant de me risquer sur le sujet brulant du Réseau Privé Virtuel des Avocats (RPVA), surtout sous la forme d'un billet de blog, là où il faudrait sans aucun doute une étude beaucoup plus poussée. D'ailleurs, j'attends avec impatience la publication sur le sujet du rapport de mon confrère Nathan Hattab, expert près la Cour d'appel de Paris et près les Cours Administratives d'Appel de Paris et de Versailles. Si par malheur j'avais raté sa publication, qu'un internaute bienveillant m'adresse le bon lien. [EDIT du 17/06/2010 Comme indiqué en commentaire, le rapport est disponible ici]

Que les avocats dont les nerfs sont à vifs sur le sujet me pardonnent par avance.

Qu'est-ce que le Réseau Privé Virtuel des Avocats?
Pour ce que j'en sais, l'histoire démarre en 2005 avec la signature d'une convention entre le ministère de la Justice et le Conseil National des Barreaux. Cette convention "fixe les modalités et les conditions de consultation et d’échanges électroniques de documents et données relatifs aux affaires civiles et pénales traitées par les juridictions, entre les tribunaux de grande instance et les avocats."

Sans vouloir résumer le document, l'idée est de faciliter le suivi des affaires et l'échanges d'informations entre les magistrats, les personnels des greffes et les avocats. Entendre par faciliter: réduction des délais de traitement, allégement des temps de saisie, circulation en temps réel de l'information, gains de temps dans la transmission des dossiers et diminution des déplacements.

Avec comme arrière pensée évidente, une baisse des coûts.

Tiens, c'est drôle, j'ai l'impression d'avoir déjà entendu cela. Comment dit-on déjà en informatique? Ah oui, dématérialisation de l'information. LE zéro papier quoi. Bon, c'est vrai que le concept a déjà fait couler beaucoup d'encre (je n'ai pas pu m'empêcher...). La carte Vitale, la carte bancaire ou l'achat en ligne sont des exemples de dématérialisations.

Une solution technique est mise au point pour permettre de sécuriser les échanges dans les règles de l'art de la cryptographie (confidentialité, authenticité et intégrité). RPVA est né. Cette offre s'appuie sur une solution physique sous la forme d'un boitier de la société NAVISTA à raccorder directement sur le routeur ADSL du cabinet de l'avocat. L'avocat s'authentifie ensuite avec sa clef USB cryptographique personnelle sur le site web e-barreau.fr qui n'est accessible que par ce VPN.

Problèmes: Sans compter les frais d'installation et de mise en service, le coût d'abonnement était de 55 euros HT par mois en plus de l'abonnement ADSL. Il a été réduit aujourd'hui à 32 euros HT par mois. Je trouve que c'est un peu cher pour un service de sécurisation de ses échanges électroniques. De plus, le système ne semble pas faciliter la mobilité. Enfin, je n'ai pas connaissance d'un système de mise à jour distant des firmwares des boitiers (ce qui ne veut pas dire qu'il n'existe pas).

Une autre solution?
Sans vouloir jouer les donneurs de leçons, surtout quand on n'a pas tous les éléments du cahier des charges, il est néanmoins rassurant de constater que bon nombre d'avocats se sont interrogés sur l'intérêt d'un tel système, surtout que parmi eux nombreux sont ceux qui connaissent déjà des systèmes de communication avec chiffrage efficaces, performants et peu couteux.

A mon avis, ce sont les postulats initiaux de cette histoire qu'il faut repenser, avec (comme souvent) une solution en tête: faut-il nécessairement un réseau privé virtuel pour relier l'ensemble des cabinets d'avocat aux tribunaux? L'utilisation des outils de messagerie actuel ne pouvait-elle pas suffire dès lors qu'il existe des systèmes cryptographiques très efficaces assurant confidentialité, authenticité et intégrité?

Par exemple, GPG avec ses clefs publiques/privées et des serveurs de clefs existent depuis de nombreuses années.

L'Etat et le Conseil National des Barreaux ne pouvaient-ils pas s'appuyer sur des systèmes open sources éprouvés? Est-il si difficile d'imaginer en France plusieurs serveurs de clefs publiques permettant à tous les citoyens (et donc les avocats, les greffiers, les magistrats, mais aussi les huissiers, les notaires, les experts judiciaires et tous les intervenants occasionnels de la Justice) d'accéder à un système de communication sécurisé déjà existant et gratuit?

La raison souvent invoquée semble être la difficulté technique rendant ce genre de solution impraticable. N'est-ce pas prendre les gens pour des imbéciles? Je croise régulièrement des avocats parfaitement à l'aise avec les concepts techniques, et en particulier ceux de l'informatique. Ne pensez-vous pas qu'ils seront prêts à apprendre à manipuler ceux de clefs publiques/privées?

Le coût? Ne pensez-vous pas que tout l'argent investi dans le développement d'un boitier propriétaire qui deviendra rapidement obsolète n'aurait pas été plus utile dans, par exemple, l'amélioration des plugins GPG opensource pour Outlook, Thunderbird, GMail etc? En s'appuyant, par exemple, sur une SSII spécialisée justement dans les solutions open source. Ne pensez-vous pas qu'au lieu de payer 32 euros HT pendant x années, un cabinet d'avocat n'aurait pas eu intérêt à faire travailler une fois un informaticien pour la configuration de son système d'information (et en plus, beaucoup de gros cabinets confient déjà la gestion de leur parc à une SSII).

Et effectivement cela aurait profité à tout le monde.
On aurait pu sécuriser tous nos échanges.
Ceux des avocats, des magistrats, des experts, mais aussi de tous les citoyens qui le souhaitent.

Les allemands l'ont bien compris, eux qui proposent déjà des outils permettant de communiquer en toute sécurité.

------------------------------------------------
Sources:
heftmanavocat.com
precisement.org (1) et precisement.org (2)
e-barreau.fr
afai.asso.fr
cnb.avocat.fr

17 commentaires:

  1. LE rapport Hattab est disponible : http://www.fnuja.com/RPVA-Le-Rapport-HATTAB_a1321.html

    RépondreSupprimer
  2. @Ludo: Merci! Voilà ce que c'est de garder trop longtemps un billet en mode brouillon. Je sais maintenant quoi lire ce soir ;)

    RépondreSupprimer
  3. Jean-Sébastien17 juin 2010 à 10:02

    Alors oui et non, je ne suis pas complètement d'accord avec vous. Pour travailler dans ce milieu, je peux vous dire que dés que l'on touche au poste de travail, cela devient vite l'enfer au support.

    Pas les bonnes versions de clients messageries, Windows dans des états lamentables, etc etc etc.

    La règle générale est : pour des déploiements à grande échelle, on évite autant que possible de modifier le poste de travail. Surtout dans un environnement non maitrisé (si je comprends bien, le poste utilisateur est à la charge de l'avocat).

    De plus un boitier permet d'évoluer vers d'autres fonctions : chiffrement de tous types de flux, antivirus, etc.

    C'est mon expérience sur des projets similaires qui parle. Mais je ne connais pas ce dossier particulièrement !

    RépondreSupprimer
  4. Intéressant ce rapport, et bien écrit. Je me demande toujours pourquoi on veut imposer des solutions, alors qu'on devrait simplement décider des standards ouverts : pour se connecter vous devez utiliser le protocole machin, avec l'authentification truc et etc.
    Pour se connecter à votre banque, on vous demande pas un routeur dédié. Dans le meilleur des cas (banque étrangère) vous recevez une carte à puce (avec le lecteur associé ou une calculette) et vous vous en servez pour vous authentifier, point final. Dans le moins bon des cas (banque française) c'est juste un username/password.

    RépondreSupprimer
  5. OpenPGP (que ce soir avec PGP ou GPG) est de toute façon absent du RGS (Référentiel Général de sécurité). Le stribuunaux ne peuvent donc pas l'utiliser.

    Je ne suis même pas sûr que ces solutions de VPN y soient conforme, mais c'est à vérifier.

    RépondreSupprimer
  6. Sans préjuger de la solution RPVA, votre proposition (et votre lien final) me font penser que vous n'etes pas au courant des multiples contraintes techniques et légales (nationales et européennes) pour mettre en place ce genre de service. Pour rester sur la partie légale, la manipulation correcte de documents légaux nécessite l'utilisation
    de signatures qualifiées, ce qui élimine d'office tous les "soft certificates" tels que vous les décrivez dans votre proposition. Au passage les notaires que vous citez utilisent déja leur propre système, controlé par l'ADSN (Association pour le Développement du Service Notarial) via Real.not, et apparemment il fonctionne pas mal. Quant à un accès démocratisé à l'authentification et à la signature électroniques, la France a lancé en 2008 le trés ambitieux plan "France Numérique 2012", dont je vous laisse voir l'avancement: http://francenumerique2012.fr/

    RépondreSupprimer
  7. @Sam280: Sans préjugé de vos affirmations, je pense qu'il ne suffit pas de dire que c'est très compliqué pour éliminer les solutions open source qui ne fonctionnent pas mal elles aussi.

    J'ai beaucoup ri du lien que vous signalez... Je conserve :)

    RépondreSupprimer
  8. Bonjour Zythom,

    J'avais raté plein de vos papiers, ce qui prouve qu'il m'arrive d'avoir mauvais goût et d'oublier les bonnes choses...

    Bref, je vous ajoute à mes flux on the blog dès que j'ai dix secondes, mais juste pour vous dire que le CNB vient de pondre un petit rapport délicieux, au terme duquel et après l'expertise de votre confrère, il indique en douze pages pourquoi le RPVA est aussi bien...

    Avant de "légaliser" le système utilisé depuis des années par le Barreau de Paris pour son Intranet !

    Funny, isn't it ? Surtout quand lorsque que comme moi, on fait partie du Barreau de Lille, "pilote" du RPVA depuis longtemps et a qui on a demandé d'en faire la constante promotion, notamment auprès de ceux qui le trouvaient trop cher...

    Bref, si un jour les avocats de France parlent d'une seule et même voix nationale, enfin, on aura fait un grand pas en avant...

    RépondreSupprimer
  9. Merci pour ce billet.

    Vous pouvez y ajouter qu'actuellement, le RPVA est totalement incompatible avec les environnements GNU/Linux et j'ai reçu il y a quelques temps une belle fin de non-recevoir de la part du CNB.COM pour le portage de l'application... Bel exemple d'interopérabilité pour une application que l'on prétend vouloir nous imposer (surtout compte tenu de la réforme de la procédure d'appel avec Magendie II et la disparition programmée des Avoués) !! Qui va faire mes déclarations d'appel lorsque les Avoués à la Cour seront supprimés, si je ne peux pas les faire par le "RPVA-Windows" ?

    Pourtant, en s'intéressant au problème, on s'aperçoit que le boitier fw-VPN-proxy (+ base iptables) est une appli tournant sous linux (kernel 2.6.25 ou 2.6.27 dixit le rapport) et que les tunnels VPN sont chiffrés en AES 256... ce qui n'a absolument rien d'extraordinaire. Par ailleurs, quand on regarde le RPVA tourner, on se rend compte que l'appli se connecte en https, le boitier se chargeant de filtrer un peu plus (https encapsulé dans le cryptage du routeur) les échanges (sans jamais garantir qui est le porteur de la clé de cryptage)

    Cette sécurité me semble totalement disproportionnée au regard de données qui ne sont pas si sensibles que cela... puisqu'elles transitent "en clair" tous les jours au format papier via les toques du palais (les cases de courrier des avocats qui se trouvent ouvertes, dans de nombreux palais, aux quatre vents...) !

    Par ailleurs, cette sécurité accrue cause de nombreux soucis et notamment l'obligation pour certains cabinets de construire deux réseaux internes parallèles, l'un connecté sur le routeur Navista pour les activités de communication juridique, l'autre en direct sur internet pour permettre aux SSII (ou SSLL) la maintenance à distance des cabinets, les prestataires que j'ai interrogés à ce sujet n'ayant pas eu accès aux numéros de ports pour pouvoir ouvrir le FW et permettre la maintenance à distance). De fait, la solution n'est donc surtout pas économique lorsqu'on sait le prix que coûte une infra câble à construire dans des locaux...

    La débauche de sécurité sur le RPVA m'étonne d'autant que le rapport dit bien que le cryptage 128 bits est suffisant jusqu'en 2020 minimum (mais bon autant prendre une GPG avec un algorithme RSA ou autre à fort niveau de cryptage).

    La clé usb de cryptage (dont il aurait été heureux qu'elle soit au format carte de crédit pour permettre de la ranger facilement...) aurait donc pu suffire à mon avis pour garantir qui l'identité du porteur de la clé et un bon niveau de sécurité.

    En outre, cette sécurité au niveau de l'utilisateur ne garantit pas la sécurité des données centralisées ! C'est comme le piratage des numéros de carte bancaire, certains pirates ayant tendance à préférer pirater les sites des commerçants plutôt que d'intercepter le flux de données.

    Déjà, si tous les confrères cessaient de se transmettre les actes de procédure au "format Word", propriétaire, fermé, non interopérable, on aura déjà fait un grand pas.... Le RPVA impose notamment d'utiliser le format PDF et tout les confrères utilisateurs de Windows sont entrain de se ruer sur PDF Creator, sans donner un sou aux développeurs...

    Pour ma part, en termes de sécurité, je refuse de changer pour infrastructure sous Linux qui est peu gourmande, très compétitive et très sécurisée, pour prendre un SE Windows, qui est un nid à virus et vous obligé à vous équiper de pare-feu, antivirus, etc.

    Enfin, j'ajoute qu'en l'état de ma lecture du rapport, je le trouve très léger en matière d'explications sur les protocoles de chiffrement. Mais je continue ma lecture... :)

    RépondreSupprimer
  10. pardon pour les coquilles : "je refuse de changer mon infrastructure sous Linux" (...)

    RépondreSupprimer
  11. Bonjour.

    Assez d'accord avec Zythom et Frédéric.
    J'aurais beaucoup à dire sur la sécurité des échanges, notamment chez les avocats (j'ai bossé dans la sécurité informatique et ma femme est également avocate - Zythom pourra retrouver son nom et le mien en quelques secondes, je n'utilise pas de proxy -). Mais je vais faire très court.

    Contrairement à ce vous dites, cher Zythom, je rencontre en très grande majorité des avocats totalement ignares en informatique. Plus qu'en moyenne.
    Et c'est l'amorce du problème.
    En effet, quoi de plus simple que du social engineering chez quelqu'un qui ne se doute de rien ?
    Usurpation d'identité avec un simple From: ton_confrère@wanadoo.fr, un MiM en https qui annoncera juste un petit message sous IE7 que l'avocat ne comprendra pas et donc approuvera (c'est le paradoxe de l'informatique : on accepte par défaut ce que l'on ne connait pas, soit l'inverse absolu de la sécurité informatique).
    La clé USB crypto ? La blague. Beaucoup plus facile à copier qu'une carte à puce (en terme de matériel) et beaucoup moins fiable.
    Le code confidentiel qui va avec : sur un post-it, si possible près de la clef.
    Au pire, on envoie un mail avec un lien pour télécharger discrètement un spyware (on ne manquera pas d'afficher tout de même une vidéo rigolote ou un dessin humoristique lié au droit).

    Bref, un simple certificat SSL authentification+chiffrement remis par une autorité choisie avec discernement, pas de PGP/GPG, aurait amplement suffit.

    Ainsi, on chiffre ET AUTHENTIFIE les échanges AVEC LES CLIENTS ÉGALEMENT. Idem pour les PDF, de plus en plus utilisés, chiffrés avec Open/StarOffice, PDFCreator et cie.

    Pour le reste, sur-sécuriser, alors que bon nombre d'avocats utilisent du matériel sans fil, de la téléphonie IP, et placent leur écran près de la fenêtre, c'est un peu mettre le réacteur avant la carlingue.

    En tout cas, ravi d'avoir découvert ce blog. (comment devient-on expert ?)

    PS : en préjugeant de l'ambition de ce plan national, j'ai voulu me rendre sur le site francenumerique, mais il renvoie une jolie page par défaut d'Apache sous CentOS. Au moins c'est pas IIS :)... mais ce n'est pas non plus nginx sous FreeBSD.

    RépondreSupprimer
  12. Avec un peu de retard, je tombe nez a nez sur cet article que j'ai du "zapper" depuis le temps que je suis le blog. Je suis technicien sur site, et j'installe en moyenne deux boitier rsa navista par semaine, l'installation est très simple, de-plus des techniciens gère totalement le routeur à distance (en gros il ne me reste qu'à choisir le mode d'installation (bridge ou gateway) de fournir une adresse ip, brancher les câbles et installer le client sur les stations où les avocats vont utiliser les services ebarreau. La où a mon sens il y a un grand problème de sécu c'est au niveau des postes clients : pas d'antivirus, ou des brelles genre avast (sans licence pro); box en clef wep voir sans protection, ...
    Sa ne sert a rien de verrouiller les portes si c'est pour laisser les fenêtre grande ouverte...

    RépondreSupprimer
  13. ah ben ça... depuis le temps que j'essaye de dire à mes confrères de passer à Linux, pour d'évidentes raisons de sécurité (ce n'est pas pour rien que le boîtier Navista tourne sous linux).

    Apparemment, d'après les dernières informations que j'ai pu avoir, j'en déduis que RPVA serait totalement compatible Linux, ce qui serait logique, après tout, puisqu'il ne s'agit que d'encapsuler un flux de données.

    Mais il y aurait semble-t-il un problème de support pour Linux de la part de Certeurope qui fournit les clés de chiffrement. Les paquets existent, mais j'ignore pourquoi il faudrait avoir des paquets à installer dans l'hypothèse où il ne s'agit que de gérer une clé de chiffrement ! Il y a quoi dans la clé usb ?

    En tout cas, si le support sous Linux n'est qu'une question de support, ce n'est pas aux cabinets d'en faire les frais, l'application étant payante...

    RépondreSupprimer
  14. Dans la clef, une simple carte de type sim ainsi que le drivers de la dite clet (avec un petit gestionnaire de certificat)

    RépondreSupprimer
  15. Marrant, je viens à l'instant d'installer un RPVA sur un poste qui a linux et Win juste pour le RPVA.
    Ce MSWin avait IE6, certes SP3 mais sans AUCUN mise à jour depuis (il y en avait 102 de critiques !)
    La grande classe.

    RépondreSupprimer
  16. Bien alors, mon Ordre me dit : non sous linux, pas de RPVA et je viens de lire que c'était possible ? Si une âme charitable et expérimentée pouvait me confirmer ou même publier un petit how to (non pas de wiki ou alors pourquoi pas tiens ?), ce serait une belle et bonne chose.

    Et quid d'un forum regroupant les Avocats utilisant linux ? Une communauté ?

    RépondreSupprimer
  17. Merci pour ces intéressantes informations. Jeune avocat, je peux vous dire que le niveau en informatique au sein des cabinets et en général dans la profession est désastreux.

    J'ai installé le RPVA dans mon cabinet et du point de vue de la sécurité informatique, je suis tombé de haut.

    Pour information, un lien vers un tutoriel d'installation du RPVA sous Linux, méthode qui a pleinement fonctionné chez moi.

    Ne reste plus qu'à trouver un bon logiciel de gestion de cabinet...

    RépondreSupprimer

Lectrice, admiratrice, avocate, magistrate, programmeuse, dessinatrice, chère consœur, femmes de tous les pays, lecteur, j'ai toute confiance en vous pour prendre bien soin de vérifier que votre prose est compatible avec les normes orthographiques et grammaticales en vigueur. Et si vous pouviez éviter les propos insultants ou haineux, je vous en serais reconnaissant.
N'hésitez pas à respecter ces quelques règles qui peuvent même s'appliquer en dehors de ce blog.

Les commentaires sur ce blog sont modérés. Votre message apparaîtra sur le blog dès que le modérateur l'aura approuvé. Merci de votre patience.