PC SOFT

PROFESSIONAL NEWSGROUPS
WINDEVWEBDEV and WINDEV Mobile

Home → Off-topic → Certification NF 525
Certification NF 525
Started by Yo!, Jan., 14 2015 2:22 PM - 140 replies
//hostimage.webdev.info/avatars/default.gif
Posted on January, 14 2015 - 2:22 PM
Bonjour,

Je ne sais pas si Laurent a posté sur un sujet plus global concernant la certification NF525, comme il l'avait dit le mois dernier ... fouillé, rien trouvé.

Je rebondis sur la réponse de Fredo, que je reprends ci-après et je crée un nouveau post plus global ici (déjà posté ailleurs, peut-être pas au bon endroit, sans réponse aucune) :

"ll faut donc :
- Cartographie logicielle (tableau excel qui fait le lien entre l'IHM,
le code, l'exigence 525 et la base de donnée)
- Plan de tests <= hyper important !!! surtout pour tout ce qui concerne
la 525.
- Documentation utilisateur à jour
- Suivi des modifications (le gds ne suffit pas)
- ... pleins d'autre trucs qui garantissent à l'auditeur que tu as un
minimum de suivi sur ton produit."

http://forum.pcsoft.fr/fr-FR/pcsoft.fr.windev/177373-securisation-par-signature-electronique-177404/read.awp…
________________________________________________________________________________

1 - Signature électronique => Il me semble qu'il n'est pas obligatoire de signer chaque ligne mais uniquement l'entête ? La dernière mouture de la certification le prévoit-elle ? Risque de ralentir drastiquement l'encaissement tout ça : j'imagine un ticket comportant une cinquantaine de lignes.

2 - Cartographie au format excel => nous avions commencé sous forme de logigrammes ... ? Obligatoire au format excel donc (?!). Serait-il possible d'avoir un exemple, afin d'avoir une idée des colonnes à placer dans le fichier ? Jusqu'à quel niveau de précision aller ? Toutes les fonctions doivent-elles être listées lors de l'Audit ou il faut axer la carto' sur l'aspect sécurisation spécifié dans la 'norme' ?

3 - Plan de test ... certainement une question idiote. Combien de tests envisager ?

A vous lire.

MERCI !

Yo!
//hostimage.webdev.info/avatars/default.gif
Posted on January, 14 2015 - 3:50 PM
Salut,

Réponse ci après


Le 14/01/2015 13:22, Yo! a écrit :
Bonjour,

Je ne sais pas si Laurent a posté sur un sujet plus global concernant la
certification NF525, comme il l'avait dit le mois dernier ... fouillé,
rien trouvé.

Je rebondis sur la réponse de Fredo, que je reprends ci-après et je crée
un nouveau post plus global ici (déjà posté ailleurs, peut-être pas au
bon endroit, sans réponse aucune) :

"ll faut donc :
- Cartographie logicielle (tableau excel qui fait le lien entre l'IHM,
le code, l'exigence 525 et la base de donnée)
- Plan de tests <= hyper important !!! surtout pour tout ce qui concerne
la 525.
- Documentation utilisateur à jour
- Suivi des modifications (le gds ne suffit pas)
- ... pleins d'autre trucs qui garantissent à l'auditeur que tu as un
minimum de suivi sur ton produit."

http://forum.pcsoft.fr/fr-FR/pcsoft.fr.windev/177373-securisation-par-signature-electronique-177404/read.awp…

________________________________________________________________________________


1 - Signature électronique => Il me semble qu'il n'est pas obligatoire
de signer chaque ligne mais uniquement l'entête ? La dernière mouture de
la certification le prévoit-elle ? Risque de ralentir drastiquement
l'encaissement tout ça : j'imagine un ticket comportant une cinquantaine
de lignes.

2 - Cartographie au format excel => nous avions commencé sous forme de
logigrammes ... ? Obligatoire au format excel donc (?!). Serait-il
possible d'avoir un exemple, afin d'avoir une idée des colonnes à placer
dans le fichier ? Jusqu'à quel niveau de précision aller ? Toutes les
fonctions doivent-elles être listées lors de l'Audit ou il faut axer la
carto' sur l'aspect sécurisation spécifié dans la 'norme' ?

3 - Plan de test ... certainement une question idiote. Combien de tests
envisager ?

A vous lire.

MERCI !

Yo!



1. Ce sont effectivement toutes les lignes qu'ils faut signer et pas
uniquement les entêtes. Très sincèrement, nous n'avons pas constaté de
ralentissement particulier lors de l'enregistrement.

2. Si tu trouve un soft capable de faire la cartographie, n'utilise pas
excel, bien évidemment. Seul problème, la carto est un gros travail et
même si je suis prêt à donner les grandes lignes, il ne me sera pas
possible de diffuser un document exemple (pas d'autorisation dans ce
sens de ma hiérarchie)

L'idée n'est pas de détailler jusqu'à la plus petite fonction, mais si
par exemple tu as une fonction : EnregistreFacture, il va falloir lister
tous les endroits de ton soft ou cette fonction est appellée et la lier
à la fois au bouton de ton interface mais aussi à l’exigence nf 525
correspondante (paragraphe de la NF525) si en plus tu peux lié la
fonction utilisateur au paragraphe correspondant de ta doc, tu as tout
gagné !

Dans un premier temps, axe ton travail sur la carto "NF 525" et ensuite
au fur et à mesure tu l'alimente avec d'autres parties de ton soft.

3 - Prioritairement les plans de tests qui impactent la NF 525
(sécurisation, enregistrement, impression, piste d'audit, ...) et
ensuite tu mets en place des plans de tests pour tout ton soft.

Il faut bien comprendre que l'idée générale est de prouver à l'auditeur
que 1) tu respecte la NF 525 et que 2) tu es capable de garantir la
fiabilité et la pérennité de ton soft. Vu que le "certificateur" engage
sa responsabilité en t'accordant le certificat, il a besoin d'être
rassuré sur la qualité de ton travail au sens large.

Bon courage,

Fred.
//hostimage.webdev.info/avatars/default.gif
Posted on January, 15 2015 - 3:38 PM
On ne peut plus clair. Bien normal pour la cartographie (cf. exemple).

Merci beaucoup, Fred, pour le temps passé à répondre avec précision à chacune de mes interrogations.

Si j'ai d'autres questions, je retenterai ma chance. ;)

Un énorme travail en perspective.

A bientôt !

Yo!
//hostimage.webdev.info/avatars/default.gif
Posted on January, 16 2015 - 5:59 PM
Le 15/01/2015 14:38, Yo! a écrit :
On ne peut plus clair. Bien normal pour la cartographie (cf. exemple).

Merci beaucoup, Fred, pour le temps passé à répondre avec précision à
chacune de mes interrogations.

Si j'ai d'autres questions, je retenterai ma chance. ;)

Un énorme travail en perspective.

A bientôt !

Yo!


Pas de soucis.

Pour ce qui est de la charge de travail, c'est lourd mais pas impossible
et sincèrement, le fait de se structurer pour répondre à la 525 nous as
fait énormément de bien en terme de qualité.

Fred.
//hostimage.webdev.info/avatars/default.gif
Posted on January, 27 2015 - 5:54 PM
Entièrement d'accord avec les termes 'structurer' et 'qualité'.

J'aurais aussi pu ajouter 'charge de travail' & 'lourd'.

Encore merci !
//hostimage.webdev.info/avatars/default.gif
Posted on February, 05 2015 - 4:50 PM
En effet j'ai pas encore posté sur ce sujet.
Je vais bientôt y replonger.

Merci

Laurent
//hostimage.webdev.info/avatars/default.gif
Posted on May, 27 2015 - 10:16 AM
Bonjour,

Je vous invite à consulter le site de l'ACEDISE : www.acedise.fr

Nous sommes à votre disposition.

l'ACEDISE (Association des Constructeurs, Editeurs, Distributeurs, Installateurs de Systèmes d'Encaissement) a participé aux travaux d'élaboration de la marque NF 525.

Jean-Luc BAERT
président
0695891191
jeanluc.baert@acedise.fr
//hostimage.webdev.info/avatars/cIdt9gZBWwUN9ZAFw8yOA
Registered member
3 messages
Posted on February, 05 2016 - 3:58 PM
Bonjour,

Nous avons dû mettre entre parenthèses la certification ... nous y revenons.

Est-il possible d'avoir une réponse aux questions posées ci-après ?

1 - En ce qui concerne la Piste d'Audit et sa sécurisation, il est spécifié en 5.4.1.3 qu'elle ne doit être ni modifiable, ni effaçable 'par une fonction du logiciel. Si l'utilisateur efface le fichier, nous sommes d'accord que nous ne parlons pas d'une fonction du logiciel. Difficile de pouvoir restreindre l'effacement sans passer par de l’administration et encore (puis il peut s'agir du matériel, de l'infrastructure client).

2 - Point 7.1.1.6
=> Nous ne voyons pas à quoi pourrait correspondre le champ 'Type de règlement' exigé ? Il est indiqué entre parenthèse 'transfert' mais sur Kezia II, nous ne gérons pas les transferts tables vers un compte client ou une chambre.

=> La même chose pour le champ Quantité dans la mesure où nous enregistrons une ligne à chaque règlement. Ce champ est également exigé dans les données.

3 - Point 7.2
=> Le numéro de ligne de la table duplicata peut-il correspondre au numéro d'enregistrement géré par HyperFile (WINDEV) ? Nous avons déjà un champ 'Identifiant'.

4 - Point 7.1.4
=> La traçabilité des grands totaux (cf. 7.1.4.2 & 7.1.4.3) est exigée mais il n'existe aucun code s'y apparentant dans la piste d'audit (cf. 7.1.5). L'enregistrement d'un ticket, d'une facture, d'un avoir, d'une annulation par contre-écriture impacte les grands totaux. Nous proposons d'utiliser le code éditeur '999' et d'ajouter les colonnes y faisant référence lorsqu'un enregistrement mouvemente ces totaux. Proposition valable ?

=> Il est mentionné en partie 4 - Définitions - que le 'Grand Total Perpétuel' totalise l'ensemble du CA TTC validé, que les opérations négatives validées (annulations de tickets validés, notes de crédit) sont comptées en positif et incrémentent ce dernier. On parle de valeurs absolues. Les grands totaux (Période et Exercice) se doivent-ils aussi de fonctionner de la même manière (+ et - ) ou non ? Quid des cumuls des Montants TTC ventilés par taux de TVA ... + et - également ?

A vous lire.

MERCI.

Yo!
//hostimage.webdev.info/avatars/cIdt9gZBWwUN9ZAFw8yOA
Registered member
3 messages
Posted on February, 10 2016 - 9:03 AM
###Réponses communiquées par INFOCERT, si ça peut aider ... :

× Point 7.1.1.6

###Exemple table dans Base de données :

ID "Type de règlement" Libellé du mode de règlement
1 "Carte Bancaire" Mastercard
2 "Carte Bancaire" Visa
3 "Ticket Restaurant" Ticket Restaurant
4 "Ticket Restaurant" Chèque Restaurant


× Champ Quantité exigé dans les données :

###Exemple : Si 10 Tickets Restos (1 ligne de règlement « Ticket Resto » avec 10 en quantité)


× Point 7.1.2
Le numéro de ligne peut-il correspondre au numéro d'enregistrement
géré par HyperFile (WINDEV) ?

###Oui, réponse acceptable


× Point 7.1.4
La traçabilité des grands totaux (cf. 7.1.4.2 & 7.1.4.3) est exigée mais ...

###La notion de traçabilité des grands totaux devra être discutée car nous n’en voyons pas
l’intérêt.


× Les grands totaux (Période et Exercice) se doivent-ils aussi de fonctionner de la
même manière (+ et - ) ou non ? Quid des cumuls des Montants TTC ventilés par taux de TVA
... + et - également ?

###OUI
//hostimage.webdev.info/avatars/default.gif
Posted on February, 11 2016 - 6:22 PM
Le 10/02/2016 08:03, Johann K. a écrit :
###Réponses communiquées par INFOCERT, si ça peut aider ... :

× Point 7.1.1.6
###Exemple table dans Base de données :

ID "Type de règlement" Libellé du mode de règlement 1 "Carte
Bancaire" Mastercard 2 "Carte Bancaire" Visa
3 "Ticket Restaurant" Ticket Restaurant 4 "Ticket
Restaurant" Chèque Restaurant

× Champ Quantité exigé dans les données :

###Exemple : Si 10 Tickets Restos (1 ligne de règlement « Ticket Resto »
avec 10 en quantité)

× Point 7.1.2 Le numéro de ligne peut-il correspondre au numéro
d'enregistrement géré par HyperFile (WINDEV) ?

###Oui, réponse acceptable

× Point 7.1.4 La traçabilité des grands totaux (cf. 7.1.4.2 & 7.1.4.3)
est exigée mais ...

###La notion de traçabilité des grands totaux devra être discutée car
nous n’en voyons pas l’intérêt.

× Les grands totaux (Période et Exercice) se doivent-ils aussi de
fonctionner de la même manière (+ et - ) ou non ? Quid des cumuls des
Montants TTC ventilés par taux de TVA ... + et - également ?
###OUI


Désolé, j'étais en déplacement et je ne rentre qu'aujourd'hui.

Au vu des questions (et des réponses) vous avez bien avancé :)

Pour l'effacement par l'utilisateur de la piste d'audit, si cela ne peut
être restreint, cela doit être détecté et tracé.

Bon courage !

Fred.
//hostimage.webdev.info/avatars/cIdt9gZBWwUN9ZAFw8yOA
Registered member
3 messages
Posted on February, 22 2016 - 9:07 AM
Merci pour la réponse concernant la piste d'audit.

Excellente journée Fred.
//hostimage.webdev.info/avatars/T9qhmx8ipNkmOmx8YfpQ
Registered member
154 messages
Posted on February, 29 2016 - 2:12 PM
Bonjour

Par rapport a la loi de finance 2016, le site du service public a fait un article
https://www.service-public.fr/professionnels-entreprises/actualites/A10279

Dans cet article nous trouvons :
À partir du 1er janvier 2018, devient obligatoire l'utilisation d'un logiciel de gestion ou d'un système de caisse satisfaisant aux conditions d'inaltérabilité, de sécurisation, de conservation et d'archivage des données, attestées par un certificat délivré par un organisme accrédité ou par une attestation individuelle délivrée par l'éditeur.

Nous avons demande au site du service public, ce que voulez dire "par une attestation individuelle délivrée par l'éditeur." et que devait contenir cette attestation, reponse du site

Un texte réglementaire (décret ou arrêté) doit venir fixer ce modèle d'attestation. Il n'est pas encore paru au JO. L'obligation ne doit entrer en vigueur qu'à partir du 1er janvier 2018. Dès que le modèle d'attestation sera disponible en ligne, nous le référencerons sur service-public.fr.

Est ce quelqu'un a entendu parler de cette attestation ?
La question que l'on se pose, doit on obligatoirement passer par la norme NF 525 ?

Merci
Olivier
//hostimage.webdev.info/avatars/default.gif
Posted on March, 03 2016 - 3:18 PM
Est ce quelqu'un a entendu parler de cette attestation ?

une attestation signé par l’éditeur engage celui-ci a ce que son logiciel soit conforme a l'article "3° bis du I de l'article 286"
c'est a dire invulnérabilité conservation securisation et archivage des données

C'est vague et précis a la fois . Attention je parle de l'attestation et non pas de la certification. Si le but est identique c'est a dire rassurer le client qui utilise un logiciel d'encaissement la démarche est différentes.

La question que l'on se pose, doit on obligatoirement passer par la norme NF 525 ?

Cela n'existe pas la norme NF 525 ... c'est une certification

Si un client utilise un système assujetti a la TVA , il doit a partir du 01/01/2018 fournir une attestation de conformité à l'article 88 de la LF 2016 ou un certificat NF 525. sinon il s'expose à 7500€ d'amendes par système. Le contrôleur connaîtra l'éditeur. Ensuite l'éditeur devra fournir la liste de ses clients qui seront eux mêmes contrôler. c'est légal.
cela revient a dire que même si le client ne se fait pas contrôler directement il peut par le reseau client de son éditeur être rattrapé par la patrouille.


Aujourd'hui un client qui achète un produit sans ce renseigner sur la volonté de l’éditeur a aller dans le sens de l'article 88 est pour moi, fou.
J'ai dis "renseigner" j'ai pas dis que l'éditeur aujourd'hui (Mars 2016) forcement certifié...

D'ici quelques semaines , il ne sera pas possible de vendre des logiciels qui n'ont pas entrepris une démarche sérieuse vers l'article 88.
//hostimage.webdev.info/avatars/T9qhmx8ipNkmOmx8YfpQ
Registered member
154 messages
Posted on March, 03 2016 - 4:07 PM
"La question que l'on se pose, doit on obligatoirement passer par la norme NF 525 ?"
(évidement si on répond au "c'est a dire invulnérabilité conservation sécurisation et archivage des données")

Si je comprends bien l'article du Service Public , je dirais que non , mais le probleme (pour l'instant ;o)) ) c'est que nous n'avons aucune nouvelle de cette fameuse attestation.
//hostimage.webdev.info/avatars/default.gif
Posted on March, 03 2016 - 5:11 PM
Le 03/03/2016 15:07, Olivier PERRIN a écrit :
"La question que l'on se pose, doit on obligatoirement passer par la
norme NF 525 ?"
(évidement si on répond au "c'est a dire invulnérabilité conservation
sécurisation et archivage des données")

Si je comprends bien l'article du Service Public , je dirais que non ,
mais le probleme (pour l'instant ;o)) ) c'est que nous n'avons aucune
nouvelle de cette fameuse attestation.


Bonjour à tous,

A mon avis (je ne suis pas juriste) C'est juste une question de
responsabilités. Il y a les deux cas de figures:

1. Je suis éditeur et je suis certifié NF525, c'est un organisme
extérieur qui est venu contrôler mon travail et qui certifie que je
respecte les règles. En cas de problème (bug ou autre, on est pas
parfait) c'est cet organisme qui va vérifier que l'éditeur est de bonne
foi. Par rapport au fisc on est de bon élèves

2. Je suis éditeur et j'atteste que mon logiciel est conforme, dans le
même cas de figure (bug ou autre) , il n'y a pas de tiers capable de
dire "ce n'est pas volontaire de la part de l'éditeur". A l'éditeur de
se débrouiller pour prouver sa bonne foi et on ne peut pas dire que dans
l'encaissement on ai une bonne réputation.

j'ai suivi la NF525 depuis ses prémisses et malgré cela il y a pas mal
de points sur lesquels on était passé à coté. On pensait être pas mal et
l'audit à blanc que nous avons passé nous a vite fait déchanter et
passer par l'attestation reviendra à dire "Je suis conforme à 100% à la
NF525, je l'ai vérifié moi même".

Fred.
//hostimage.webdev.info/avatars/default.gif
Posted on March, 13 2016 - 1:40 PM
Il faut bien faire la distinction entre la NF525 et les exigences de la loi.

La certification NF525 est valable un an sous conditions , voir
http://www.jdclr.com/files/JDC-LANGUEDOC-NF525-LEO2-Certificat.pdf

Elle a des exigences, qui ne seront publiques (consultable gratuitement mais uniquement en ligne sur le site AFNOR) QUE si la loi l'impose comme référence, auquel cas elle servira de référence mais ne rendra pas pour autant la certification obligatoire.

De toute façon, tant que l'attestation de l'éditeur ne sera pas définie, cette loi sera inapplicable et la certification ne pourra pas être exigée.
//hostimage.webdev.info/avatars/default.gif
Posted on March, 14 2016 - 11:12 AM
Le 13/03/2016 12:40, Execute a écrit :
Il faut bien faire la distinction entre la NF525 et les exigences de la
loi.

La certification NF525 est valable un an sous conditions , voir



Elle a des exigences, qui ne seront publiques (consultable gratuitement
mais uniquement en ligne sur le site AFNOR) QUE si la loi l'impose comme
référence, auquel cas elle servira de référence mais ne rendra pas pour
autant la certification obligatoire.

De toute façon, tant que l'attestation de l'éditeur ne sera pas définie,
cette loi sera inapplicable et la certification ne pourra pas être exigée.



C'est bien ce qu'on essaye de faire comprendre, la NF525 est un
référentiel de ce que demande les impôts (normal, ils ont participé à
l'élaboration)

Tu as la NF, tu es dans les clous et tu colle à la demande, tu ne l'as
pas, à toi d'être sur que tu correspond à la demande et surtout à toi de
le prouver.

Mais il n'est écrit nulle part que la NF est obligatoire.

Fred
//hostimage.webdev.info/avatars/T9qhmx8ipNkmOmx8YfpQ
Registered member
154 messages
Posted on March, 14 2016 - 4:58 PM
Moi ce qui me parait surprenant, c'est quand on pose des questions a la DGFIP

"Cette nouvelle disposition de la loi de finances pour 2016 est très récente et doit faire l'objet de la part de nos services à BERCY d'un Bulletin Officiel des Impôts ( BOI) définissant de manière précise le type de logiciel concerné ainsi que les normes attendus .
A ce jour , ce BOI n'est pas encore paru"

Du cote de la DGFIP rien n'est donc encore officiel et les normes pas encore validées.

Alors sur quelle base AFNOR a crée la norme NF525 ?
//hostimage.webdev.info/avatars/default.gif
Posted on March, 15 2016 - 4:24 PM
Le 14/03/2016 15:58, Olivier PERRIN a écrit :
Moi ce qui me parait surprenant, c'est quand on pose des questions a la
DGFIP
"Cette nouvelle disposition de la loi de finances pour 2016 est très
récente et doit faire l'objet de la part de nos services à BERCY d'un
Bulletin Officiel des Impôts ( BOI) définissant de manière précise le
type de logiciel concerné ainsi que les normes attendus .
A ce jour , ce BOI n'est pas encore paru"

Du cote de la DGFIP rien n'est donc encore officiel et les normes pas
encore validées.

Alors sur quelle base AFNOR a crée la norme NF525 ?


Pour la NF525, la base de travail a été la certif des logiciels
comptables. Ce sont ensuite réunis les gens d'infocert qui avaient déjà
travaillé sur le BOI de 2006 qui concernait l'encaissement, des éditeurs
de logiciels (ceux qui ont fait l'effort de participer), la DGFIP et
différents intervenants.

Le principe était de trouver un moyen de rendre les "tricheries"
impossible ( le plus impossible possible) en sécurisant les données
(signature numérique) et en identifiant les fonctionnalités à risques
(mode école non tracé, éditions non numérotés, effacement non
répertoriées, ...)

Au final des propositions ont été faites par les divers participants,
elles ont étés validées par la DGFIP et formalisées par la NF525.

Fin de l'histoire.

Fred.
//hostimage.webdev.info/avatars/default.gif
Posted on April, 06 2016 - 5:19 PM
La loi a été voté et parue au J.O 2016/01
vous pouvez consulter les sites :
acedise.fr
infocert.fr
et aussi, la page facebook "je suis NF 525" où vous trouverez des informations, conseils.
bien cordialement

Reine-Marie Noblecourt
//hostimage.webdev.info/avatars/default.gif
Posted on November, 29 2016 - 11:15 AM
Bonjour,

je me lance moi aussi dans la certification de mon logiciel d'encaissement et ce sujet m'a déjà bien aidé ! Merci.

Mon logiciel n'est destiné qu'à nos propres magasins et non vendu à des clients.
Je sais que je suis aussi concerné par cette loi, mais je pense qu'il y a des différences avec un éditeur qui vends son outil d'encaissement, connaissez-vous lesquels ?

Concernant la signature numérique, est-ce qu'un certificat auto-signé (avec openSSL) est suffisant ou faut-il en acheter un ?
J'ai fait quelques tests en générant un certificat OpenSSL auto signé en RSA 2048 bits.
Je signe mes données avec et je les encode en base 64 (comme le veut la NF525).
Je me retrouve avec des checksums d'environ 3700 caractères !

Cela me parait énorme : la taille de ma base de données explose !
Je base d'une petite base de données de 16 mo à une base de 760 mo !
L'autre algo de cryptage autorisé est peut être moins gourmand (Ellyptic Curve) ?
Mais je rate peut être quelque chose ?

Merci pour vos réponses.

Note : J'ai déjà acheté les règles NF525 et j'ai prévu de participer à une journée de formation.

Michaël.
//hostimage.webdev.info/avatars/default.gif
Posted on November, 29 2016 - 11:17 AM
Bonjour,

je me lance moi aussi dans la certification de mon logiciel d'encaissement et ce sujet m'a déjà bien aidé ! Merci.

Mon logiciel n'est destiné qu'à nos propres magasins et non vendu à des clients.
Je sais que je suis aussi concerné par cette loi, mais je pense qu'il y a des différences avec un éditeur qui vends son outil d'encaissement, connaissez-vous lesquels ?

Concernant la signature numérique, est-ce qu'un certificat auto-signé (avec openSSL) est suffisant ou faut-il en acheter un ?
J'ai fait quelques tests en générant un certificat OpenSSL auto signé en RSA 2048 bits.
Je signe mes données avec et je les encode en base 64 (comme le veut la NF525).
Je me retrouve avec des chaines signés d'environ 3700 caractères !

Cela me parait énorme : la taille de ma base de données serait multipliée par 40.
L'autre algo de cryptage autorisé est peut être moins gourmand (Ellyptic Curve) ?

Merci pour vos réponses.

Note : J'ai déjà acheté les règles NF525 et j'ai prévu de participer à une journée de formation.

Michaël.
//hostimage.webdev.info/avatars/default.gif
Posted on November, 29 2016 - 1:35 PM
Bonjour

tu es dans un cas très intéressant... Comme tu as les sources de ton
soft, que tu connais les clé d'encryption et tout ce qui concerne la
sécurité, tu peux sans problème trafiquer tes fichiers et recalculer les
checksums pour l'utilisation dans ta propre société...

NF525 n'apporte donc aucune sécurité dans ton cas.

Normalement, le gars qui a les clés du coffre n'est pas aussi le gars
susceptible d'essayer de voler son contenu...


Donc, sauf si NF525 parle spécifiquement de ce cas, je me demande
jusqu'à quel point ca vaut la peine de l'implémenter, du coup.


Cordialement


--
Fabrice Harari
Consultant WinDev, WebDev et WinDev Mobile International

A votre disposition : WXShowroom.com, WXReplication (open source) et
maintenant WXEDM (open source)

Plus d'information sur http://fabriceharari.com


Le 11/29/2016 à 5:17 AM, "ÿÿÿÿÿÿÿ" a écrit :
Bonjour,

je me lance moi aussi dans la certification de mon logiciel
d'encaissement et ce sujet m'a déjà bien aidé ! Merci.

Mon logiciel n'est destiné qu'à nos propres magasins et non vendu à des
clients.
Je sais que je suis aussi concerné par cette loi, mais je pense qu'il y
a des différences avec un éditeur qui vends son outil d'encaissement,
connaissez-vous lesquels ?

Concernant la signature numérique, est-ce qu'un certificat auto-signé
(avec openSSL) est suffisant ou faut-il en acheter un ?
J'ai fait quelques tests en générant un certificat OpenSSL auto signé en
RSA 2048 bits.
Je signe mes données avec et je les encode en base 64 (comme le veut la
NF525).
Je me retrouve avec des chaines signés d'environ 3700 caractères !

Cela me parait énorme : la taille de ma base de données serait
multipliée par 40.
L'autre algo de cryptage autorisé est peut être moins gourmand (Ellyptic
Curve) ?

Merci pour vos réponses.

Note : J'ai déjà acheté les règles NF525 et j'ai prévu de participer à
une journée de formation.

Michaël.
//hostimage.webdev.info/avatars/default.gif
Posted on November, 29 2016 - 1:56 PM
Merci pour ta réponse.

En effet, c'est la question que je me posais, mais je ne peux pas me permettre de m'auto-certifier.
Aujourd'hui mon soft ne répond absolument pas à ces règles.

Je découvre le principe de signature numérique, ainsi que toutes les règles à mettre en place.
Donc je veux être en accord avec la loi et ne pas risquer une amende lors d'une visite dans un de nos magasins parce que j'aurais oublié une notion importante...
//hostimage.webdev.info/avatars/default.gif
Posted on November, 30 2016 - 4:59 PM
En effet, Fabrice a raison.
Autrement dit, on tourne en rond, le serpent se mord la queue.

De nombreuses sociétés, les franchises en autres, sont sur des logiciels maison.

De toute façon cette norme est une aberration totale.
Comme d'habitude, pondue par des théoriciens peu rompus au contraintes du développement logiciel.

Quand à faire payer le concepteur d'une application pour qu'il est accès aux règles, alors là !
//hostimage.webdev.info/avatars/3p2WFxJYv5QPx7d8CbHN5A
Registered member
684 messages
Posted on December, 01 2016 - 7:52 AM
C'est le grand principe de ceux qui pondent des normes, ils ne sont déjà pas forcément du privé, c'est voté par un petit groupe qui prend des décisions en se disant que ce sera mieux pour le peuple.

Ensuite ben faut se rembourser de toutes ces heures que l'on a passé au restau à discuter de ça alors on fait payer. Et si tu ne payes pas ben tu n'as plus le droit de travailler.

Quel beau système...:D

--
Cordialement,

Philippe SAINT-BERTIN
Géode Informatique
//hostimage.webdev.info/avatars/default.gif
Posted on December, 01 2016 - 8:15 AM
Merci pour vos réponses.

Mais si nous décidons de ne pas l'implémenter, et que nous avons un contrôle, nous devrons nous mettre en règle (c'est à dire conforme à la NF525) dans les 60 jours, ce qui est impossible étant donné les nombreuses règles complexes pour un développeur seul comme moi... Je ne suis même pas sûr d'être capable de le faire en 1 an.
Que feriez-vous à ma place ?
//hostimage.webdev.info/avatars/3p2WFxJYv5QPx7d8CbHN5A
Registered member
684 messages
Posted on December, 01 2016 - 10:10 AM
Tu n'as aucune autre possibilité que de la faire ou alors attendre un contrôle au choix...

--
Cordialement,

Philippe SAINT-BERTIN
Géode Informatique
//hostimage.webdev.info/avatars/default.gif
Posted on December, 01 2016 - 11:33 AM
Ou bien abandonner ce programme, et en prendre un qui est certifié chez un éditeur...
Ce qui serait peut être la décision la plus sage pour l'avenir...
Je me laisse jusqu'à la fin de l'année pour me décider.
Merci.
//hostimage.webdev.info/avatars/T9qhmx8ipNkmOmx8YfpQ
Registered member
154 messages
Posted on December, 01 2016 - 12:03 PM
@Michael , tu peux aussi voir avec la DGFIP , ce qu'il en pense
//hostimage.webdev.info/avatars/default.gif
Posted on December, 01 2016 - 12:13 PM
ou alors...

Plusieurs développeurs se mettent d'accord pour développer ensemble un
module séparé qui lui sera certifié...

ce serait :
- une boite noire
- un exe séparé (ou un assemblage .net, fait en windev)
- qui ne ferait QUE fournir les fonctions d'écriture et de lecture dans
un fichier facture/caisse
- et qui contiendrait tout le bordel de sécurité
- de windev, on ne ferait que ajouter des factures, ou lire des
factures, avec des fonctions très précises...

De cette manière, chacun pourrait faire sa sauce au niveau saisie, avec
toutes les options nécessaires au métier, et quand ca se réduit à
enregistrer des lignes d'article, hop, on transfère au module certifié

Bonne idée ? Mauvaise idée ?

Cordialement


--
Fabrice Harari
Consultant WinDev, WebDev et WinDev Mobile International

A votre disposition : WXShowroom.com, WXReplication (open source) et
maintenant WXEDM (open source)

Plus d'information sur http://fabriceharari.com


Le 12/1/2016 à 5:33 AM, "ÿÿÿÿÿÿÿ" a écrit :
Ou bien abandonner ce programme, et en prendre un qui est certifié chez
un éditeur...
Ce qui serait peut être la décision la plus sage pour l'avenir...
Je me laisse jusqu'à la fin de l'année pour me décider.
Merci.
//hostimage.webdev.info/avatars/default.gif
Posted on December, 01 2016 - 2:03 PM
Le 01/12/2016 à 06:52, Philippe SB a écrit :
C'est le grand principe de ceux qui pondent des normes, ils ne sont déjà
pas forcément du privé, c'est voté par un petit groupe qui prend des
décisions en se disant que ce sera mieux pour le peuple.

Ensuite ben faut se rembourser de toutes ces heures que l'on a passé au
restau à discuter de ça alors on fait payer. Et si tu ne payes pas ben
tu n'as plus le droit de travailler.
Quel beau système...:D

--
Cordialement,

Philippe SAINT-BERTIN
Géode Informatique


Pas trop d'accord, j'ai pu participer à l'élaboration de la NF et on est
pas des "gros" ni des énarques. Par contre, sur la centaine (ou plus)
d'éditeur de logiciels, on devait être en effet 4 ou 5 boites de dév
présente. Si on y est allé c'est justement pour pas qu'on nous impose
n'importe quoi et les discussions ont effectivement été rudes.

L'objectif n'a jamais été d'emmerder le monde mais de faire en sorte que
la NF nous "protège" en garantissant qu'on avait fait le nécessaire pour
que notre soft ne soit pas détourné de son usage.

Mais bon ... à l'époque, lorsqu'on évoquait l'idée d'une norme, on se
foutait de notre gueule ... rira bien comme disait l'autre.

Reste l'attestation pour ceux qui sont sur d'eux.

Fred.
//hostimage.webdev.info/avatars/3p2WFxJYv5QPx7d8CbHN5A
Registered member
684 messages
Posted on December, 01 2016 - 3:08 PM
Reste que le coût n'a pas lieu d'être. Je ne vois pas pourquoi on nous obligerait à payer pour respecter une norme qu'on nous oblige à respecter. Dans tout ça ce sont toujours les plus petits qui trinquent.

Perso je ne développe pas (enfin plus) de logiciel de gestion donc ça ne me touche pas pour le moment, mais je reste solidaire de mes compagnons et je dis que si c'est une obligation alors libérons la norme dans le domaine public alors tout le monde aura le droit d'y accéder et de travailler dessus et ceux qui ne se sentent pas les épaules de mettre à jour leur logiciel pourront dans ce cas choisir un autre chemin.

Imagine que demain tu veuilles intégrer un module de prélèvement SEPA et que l'on te dise: "D'accord mais avant toute chose c'est 2 000 €". Eh bien tu réfléchirais à 2 fois avant de te lancer dans un module dont tu ne sais pas si tu iras jusqu'au bout car peut-être trop pénalisant en temps par rapport au bénéfice que tu en retirerais...

Je ne pense pas que cette norme soit une aberration mais que la manière de la faire appliquer est complètement inéquitable. Pour une entreprise comme Sage, le coût ne représentera pas la même chose que pour une petite boîte ou un auto-entrepreneur qui peine déjà à sortir la tête de l'eau vu le poids des charges qui pèsent sur lui.

Voilà réellement mon point de vue là-dessus.

--
Cordialement,

Philippe SAINT-BERTIN
Géode Informatique
Message modified, December, 01 2016 - 3:11 PM
//hostimage.webdev.info/avatars/default.gif
Posted on December, 02 2016 - 10:43 AM
Le 01/12/2016 à 14:08, Philippe SB a écrit :
Reste que le coût n'a pas lieu d'être. Je ne vois pas pourquoi on nous
obligerait à payer pour respecter une norme qu'on nous oblige à
respecter. Dans tout ça ce sont toujours les plus petits qui trinquent.

Perso je ne développe pas (enfin plus) de logiciel de gestion donc ça ne
me touche pas pour le moment, mais je reste solidaire de mes compagnons
et je dis que si c'est une obligation alors libérons la norme dans le
domaine public alors tout le monde aura le droit d'y accéder et de
travailler dessus et ceux qui ne se sentent pas les épaules de mettre à
jour leur logiciel pourront dans ce cas choisir un autre chemin.

Imagine que demain tu veuilles intégrer un module de prélèvement SEPA et
que l'on te dise: "D'accord mais avant toute chose c'est 2 000 €". Eh
bien tu réfléchirais à 2 fois avant de te lancer dans un module dont tu
ne sais pas si tu iras jusqu'au bout car peut-être trop pénalisant en
temps par rapport au bénéfice que tu en retirerais...

Je ne pense pas que cette norme soit une aberration mais que la manière
de la faire appliquer est complètement inéquitable. Pour une entreprise
comme Sage, le coût ne représentera pas la même chose que pour une
petite boîte ou un auto-entrepreneur qui peine déjà à sortir la tête de
l'eau vu le poids des charges qui pèsent sur lui.

Voilà réellement mon point de vue là-dessus.

--
Cordialement,

Philippe SAINT-BERTIN
Géode Informatique


C'est pourquoi la certification n'est pas obligatoire et que tu as le
choix de l'attestation.

Pour la connexion avec les balances c'est même pire, les protocoles sont
libres, par contre pour pouvoir connecter la balance à ton soft tu dois
le faire certifier auprès du LNE (ou autre organisme de certification)
et tu claque plusieurs milliers d'euro. Et à chaque modification de la
partie certifié tu dois recommencer.

Fred.
//hostimage.webdev.info/avatars/default.gif
Posted on December, 12 2016 - 9:54 AM
Bonjour,

merci à tous pour vos différents points vues très intéressant.
Nous allons donc nous lancer dans cette certification...

Pour parler un peu plus technique, quelqu'un pourrait m'éclairer sur l'autre partie de ma question initiale :

Concernant la signature numérique, est-ce qu'un certificat auto-signé (avec openSSL) est suffisant ou faut-il en acheter un ?
J'ai fait quelques tests en générant un certificat OpenSSL auto signé en RSA 2048 bits.
Je signe mes données avec et je les encode en base 64 (comme le veut la NF525) et je me retrouve avec des chaines signés d'environ 3700 caractères !

Ce checksum doit donc être appliqué aux entêtes de ticket, aux lignes de ticket ainsi qu'aux lignes de paiement (je n'oublie rien ?).
Cela me parait énorme : la taille de ma base de données serait multipliée par 40.
L'autre algo de cryptage autorisé est peut être moins gourmand (Ellyptic Curve) ?
Mais pour ce dernier j'ai passé plusieurs heures à essayer de générer un certificat mais ça ne fonctionne pas.

Merci pour votre aide.

Michaël.
//hostimage.webdev.info/avatars/default.gif
Posted on December, 13 2016 - 5:11 PM
Le 12/12/2016 à 08:54, "ÿÿÿÿÿÿÿ" a écrit :
Bonjour,

merci à tous pour vos différents points vues très intéressant.
Nous allons donc nous lancer dans cette certification...

Pour parler un peu plus technique, quelqu'un pourrait m'éclairer sur
l'autre partie de ma question initiale :

Concernant la signature numérique, est-ce qu'un certificat auto-signé
(avec openSSL) est suffisant ou faut-il en acheter un ?
J'ai fait quelques tests en générant un certificat OpenSSL auto signé en
RSA 2048 bits.
Je signe mes données avec et je les encode en base 64 (comme le veut la
NF525) et je me retrouve avec des chaines signés d'environ 3700
caractères !

Ce checksum doit donc être appliqué aux entêtes de ticket, aux lignes de
ticket ainsi qu'aux lignes de paiement (je n'oublie rien ?).
Cela me parait énorme : la taille de ma base de données serait
multipliée par 40.
L'autre algo de cryptage autorisé est peut être moins gourmand (Ellyptic
Curve) ? Mais pour ce dernier j'ai passé plusieurs heures à essayer de
générer un certificat mais ça ne fonctionne pas.

Merci pour votre aide.

Michaël.



Salut,

Nous on est parti sur un duo clé publique / clé privé généré en interne,
par contre notre signature ne fait pas 3700 caractères mais moins de 60.

Tu es sur que tu n'as pas fait un cryptage au lieu d'une signature ?

Fred.
//hostimage.webdev.info/avatars/default.gif
Posted on December, 14 2016 - 8:52 AM
Salut Fred,

ce n'est pas la signature qui fait 3700 caractères mais les données signées qui sont sur chaque ligne.

Quand je génère ma clé avec OpenSSL je choisis de crypter en RSA 2048 bits comme indiqué dans les règles de la NF525.
Je fais un certificat Windows avec cette clé, et je l'utilise dans Windev pour signer mes lignes.

J'ai mal compris ?
//hostimage.webdev.info/avatars/default.gif
Posted on December, 14 2016 - 4:52 PM
Le 14/12/2016 à 07:52, "ÿÿÿÿÿÿÿ" a écrit :
Salut Fred,

ce n'est pas la signature qui fait 3700 caractères mais les données
signées qui sont sur chaque ligne.

Quand je génère ma clé avec OpenSSL je choisis de crypter en RSA 2048
bits comme indiqué dans les règles de la NF525.
Je fais un certificat Windows avec cette clé, et je l'utilise dans
Windev pour signer mes lignes.

J'ai mal compris ?


Tu dis bien que tu choisis de crypter en RSA et pas de signer. Le
cryptage indique que tu dois pouvoir décrypter et retrouver les données
d'origine, ce qui n'est pas le cas d'une signature (qui correspond à un
checksum)

Bon dev,

Fred.
//hostimage.webdev.info/avatars/default.gif
Posted on December, 14 2016 - 7:20 PM
ou plutot à un Hash

Le 12/14/2016 à 10:52 AM, Fredo a écrit :
Le 14/12/2016 à 07:52, "ÿÿÿÿÿÿÿ" a écrit :
Salut Fred,

ce n'est pas la signature qui fait 3700 caractères mais les données
signées qui sont sur chaque ligne.

Quand je génère ma clé avec OpenSSL je choisis de crypter en RSA 2048
bits comme indiqué dans les règles de la NF525.
Je fais un certificat Windows avec cette clé, et je l'utilise dans
Windev pour signer mes lignes.

J'ai mal compris ?

Tu dis bien que tu choisis de crypter en RSA et pas de signer. Le
cryptage indique que tu dois pouvoir décrypter et retrouver les données
d'origine, ce qui n'est pas le cas d'une signature (qui correspond à un
checksum)

Bon dev,

Fred.
//hostimage.webdev.info/avatars/default.gif
Posted on December, 15 2016 - 9:53 AM
Bonjour,

J'ai également le même problème, le cryptage de ma chaine est limité à
environ 200 caractères avec le RSA, et ma chaine cryptée me renvoie une
chaine de 1050 caractères. Et comme on doit chainer les enregistrements
avec la précédente chaine cryptée, j'ai un big problème.
Comment peut on faire ?

Merci



Fredo vient de nous annoncer :
Le 14/12/2016 à 07:52, "ÿÿÿÿÿÿÿ" a écrit :
Salut Fred,

ce n'est pas la signature qui fait 3700 caractères mais les données
signées qui sont sur chaque ligne.

Quand je génère ma clé avec OpenSSL je choisis de crypter en RSA 2048
bits comme indiqué dans les règles de la NF525.
Je fais un certificat Windows avec cette clé, et je l'utilise dans
Windev pour signer mes lignes.

J'ai mal compris ?

Tu dis bien que tu choisis de crypter en RSA et pas de signer. Le cryptage
indique que tu dois pouvoir décrypter et retrouver les données d'origine, ce
qui n'est pas le cas d'une signature (qui correspond à un checksum)

Bon dev,

Fred.
//hostimage.webdev.info/avatars/default.gif
Posted on December, 15 2016 - 11:17 AM
J'ai du mal à comprendre...

Selon la NF525 :
"Le système doit proposer l'apposition d'une signature électronique asymétrique conforme aux recommandations administratives pour les fichiers (au 1er janvier 2014, RSA 2048 bits ou Elliptic Curve (ECDSA) 224 bits au minimum"

Je comprends donc qu'il faut signer ET CRYPTER avec l'un des deux algorithmes.
Non ?

D'ailleurs, je ne pensais pas qu'on pouvait créer un certificat auto-signé, permettant de signer sans crypter ?
Quand on le fait sous OpenSSL, on choisit les commandes pour générer une clé RSA ("genrsa") ou bien une clé ECDSA ("ecparam"), mais c'est tout.

J'espère me faire comprendre.
Merci.
//hostimage.webdev.info/avatars/default.gif
Posted on December, 26 2016 - 2:12 PM
Mickael, as tu trouvé réponse a ton interrogation, vis a vis d'un soft certifié chez un autre éditeur ?
//hostimage.webdev.info/avatars/default.gif
Posted on January, 04 2017 - 10:29 AM
Bonjour,

non, nous n'avons pas cherché d'éditeur.
Nous nous lançons dans la certification de notre propre logiciel.
//hostimage.webdev.info/avatars/default.gif
Posted on January, 04 2017 - 6:07 PM
Le 04/01/2017 à 09:29, "ÿÿÿÿÿÿÿ" a écrit :
Bonjour,

non, nous n'avons pas cherché d'éditeur.
Nous nous lançons dans la certification de notre propre logiciel.


Si vous avez besoin, n'hésitez pas à poser vos questions ici, on est
plusieurs à être passé à la moulinette de la NF, ça peut aider.

Bon courage,

Fred.
//hostimage.webdev.info/avatars/xCr2jyjVFsBcr07zWmxLDA
Registered member
10 messages
Posted on January, 10 2017 - 8:51 AM
Bonjour à tous

Un de mes clients m'a demandé l'autre jour si mon logiciel était conforme NF525. Jusque là je ne connaissais pas cette certification, donc je me renseigne, et je tombe sur ce forum avec vos échanges très intéressants.
Je vois à peu près ce que je dois modifier dans mon soft pour me rapprocher des exigences de la NF525. je n'ai pas encore acheté les règles NF525, ça ne va pas tarder.
Juste une petit question si ça ne vous ennuie pas. Ça parle partout de "piste d'audit", mais je n'ai trouvé nulle part de description de ce que c'est que cette piste. Tel que le comprends (mais je suis peut-être complètement à côté) ça serait un espèce de log file avec signature pour pouvoir entre autres détecter des modifications "frauduleuses" des données dans la base.
Est-ce qu'il y a un format imposé ? Si oui, est-ce que je le trouverai en achetant les règles NF525?

Merci d'avance
//hostimage.webdev.info/avatars/default.gif
Posted on January, 10 2017 - 10:32 AM
Le 10/01/2017 à 07:51, ANDRE THEVENIN a écrit :
Bonjour à tous

Un de mes clients m'a demandé l'autre jour si mon logiciel était
conforme NF525. Jusque là je ne connaissais pas cette certification,
donc je me renseigne, et je tombe sur ce forum avec vos échanges très
intéressants.
Je vois à peu près ce que je dois modifier dans mon soft pour me
rapprocher des exigences de la NF525. je n'ai pas encore acheté les
règles NF525, ça ne va pas tarder.
Juste une petit question si ça ne vous ennuie pas. Ça parle partout de
"piste d'audit", mais je n'ai trouvé nulle part de description de ce que
c'est que cette piste. Tel que le comprends (mais je suis peut-être
complètement à côté) ça serait un espèce de log file avec signature pour
pouvoir entre autres détecter des modifications "frauduleuses" des
données dans la base.
Est-ce qu'il y a un format imposé ? Si oui, est-ce que je le trouverai
en achetant les règles NF525?

Merci d'avance


Bonjour,

Pour la piste d'audit, c'est un journal qui doit tracé certains
évènements spécifiques avec une codification imposée (me rappelle plus
le détail des codes) de mémoire, tout ce que tu veux tracer en plus de
ce qui est imposé, tu peux le faire en utilisant le code "fonction éditeur".

Globalement c'est une date, un code, un texte descriptif et une
signature lié avec la ligne précédente. Les rubriques sont effectivement
imposée (à minima) et le format est décrit dans la 525.

Bon dev,

Fred.
//hostimage.webdev.info/avatars/default.gif
Posted on January, 10 2017 - 10:49 AM
Bonjour Fred,

je suis toujours bloqué sur la signature numérique.

J'arrive à générer mes certificats en RSA 2048 en utilisant cette méthode :
http://gghe-informatique.blogspot.fr/2012/01/creer-un-certificat-numerique-ssl-auto.html
Je charge mon certificat à l'aide des commandes de Windev, et je signe mes données.
Le soucis vient de la taille de la clé privé (environ 1600 caractères) et donc de la signature.

J'essaye donc de faire la même chose en ECDSA 256 avec la même méthode.
J'adapte simplement les commandes de type "genrsa" avec des commandes de type "ecparam".
Au niveau taille de la clé privée, c'est beaucoup plus correct (environ 166 caractères).
Je charge mon certificat dans Windev, sauf que là, Windev m'indique que ce certificat ne peux pas signer des données. (propriété "..ValidePourSignature" à FAUX).
J'ai donc contacter le support qui va voir avec l'équipe développement.

Je suis preneur de tout idée...

Michaël.
//hostimage.webdev.info/avatars/3p2WFxJYv5QPx7d8CbHN5A
Registered member
684 messages
Posted on January, 10 2017 - 11:12 AM
J'ai du mal à comprendre, on n'est pas censé faire une empreinte des lignes et les stocker en base 64 ?

--
Cordialement,

Philippe SAINT-BERTIN
Géode Informatique
//hostimage.webdev.info/avatars/default.gif
Posted on January, 10 2017 - 2:47 PM
Le 10/01/2017 à 10:12, Philippe SB a écrit :
J'ai du mal à comprendre, on n'est pas censé faire une empreinte des
lignes et les stocker en base 64 ?

--
Cordialement,

Philippe SAINT-BERTIN
Géode Informatique


Les deux mon capitaine. Les lignes de ventes doivent être signées entre
elles ET on doit gérer une piste d'audit qui reprends des évènements du
style "démarrage du logiciel", "activation/désactivation" du mon
training (s'il existe) etc ...

Fred
//hostimage.webdev.info/avatars/default.gif
Posted on January, 10 2017 - 5:20 PM
Le 10/01/2017 à 09:49, "ÿÿÿÿÿÿÿ" a écrit :
Bonjour Fred,

je suis toujours bloqué sur la signature numérique.

J'arrive à générer mes certificats en RSA 2048 en utilisant cette méthode :
http://gghe-informatique.blogspot.fr/2012/01/creer-un-certificat-numerique-ssl-auto.html

Je charge mon certificat à l'aide des commandes de Windev, et je signe
mes données.
Le soucis vient de la taille de la clé privé (environ 1600 caractères)
et donc de la signature.

J'essaye donc de faire la même chose en ECDSA 256 avec la même méthode.
J'adapte simplement les commandes de type "genrsa" avec des commandes de
type "ecparam".
Au niveau taille de la clé privée, c'est beaucoup plus correct (environ
166 caractères).
Je charge mon certificat dans Windev, sauf que là, Windev m'indique que
ce certificat ne peux pas signer des données. (propriété
"..ValidePourSignature" à FAUX).
J'ai donc contacter le support qui va voir avec l'équipe développement.

Je suis preneur de tout idée...

Michaël.


Salut,

Nous on est passé par une dll "maison" en C sans passer par un
certificat, donc la je sèche.

Par contre, la taille de la clé ... au pire on s'en fout, tu ne la
stocke pas dans tes fichiers, c'est uniquement la signature de tes
données que tu stocke (environ 60 caractères de mémoire)

Désolé de ne pas pouvoir t'aider plus sur le coup,

Fred.
//hostimage.webdev.info/avatars/default.gif
Posted on January, 11 2017 - 10:35 AM
Ok donc tu as créé une clé privée et une clé publique avec OpenSSL j'imagine ?
Si oui tu as du utiliser RSA ou ECDSA ?
Si non, comment générer ces clés ?

De mon côté, je ne saurais pas développer un algo pour signer mes données avec la clé privée (encore moins en C).
C'est pour ça que je comptais sur les fonctions "CertificatSigneChaine()" de Windev.
J'attends toujours leurs réponse.
//hostimage.webdev.info/avatars/default.gif
Posted on January, 11 2017 - 1:58 PM
Le 11/01/2017 à 09:35, "ÿÿÿÿÿÿÿ" a écrit :
Ok donc tu as créé une clé privée et une clé publique avec OpenSSL
j'imagine ?
Si oui tu as du utiliser RSA ou ECDSA ?
Si non, comment générer ces clés ?

De mon côté, je ne saurais pas développer un algo pour signer mes
données avec la clé privée (encore moins en C).
C'est pour ça que je comptais sur les fonctions
"CertificatSigneChaine()" de Windev.
J'attends toujours leurs réponse.


Salut,

On a effectivement généré un du privé/public avec OpenSSL. Concernant
l'ago, ce n'est pas moi qui m'en suit occupé et pour éviter toute fuite
en interne (on ne sait jamais) cette information n'a pas été diffusée,
donc c'est forcément un RSA ou ECDSA par rapport à la NF, mais je ne
sais pas leque.

Fred.
//hostimage.webdev.info/avatars/default.gif
Posted on January, 31 2017 - 3:51 PM
Dites les gens,

je vous vois vous creuser la tête sur la NF525 et ses obligations...mais où avez-vous vu dans la LF2016 qu'il fallait crypter les données avec des certificats 2048bits ?

La loi ne parle que d’inaltérabilité,de sécurisation, de conservation et d’archivage de données, sans aucun contexte technique ni aucune référence à la NF525. Le simple fait de remonter les mouvements sur un serveur central inaccessible au client (sur le net par exemple) suivant une connexion sécurisée répond déjà aux critères de la loi.
//hostimage.webdev.info/avatars/default.gif
Posted on February, 01 2017 - 11:04 AM
Le 31/01/2017 à 14:51, Execute a écrit :
Dites les gens,

je vous vois vous creuser la tête sur la NF525 et ses obligations...mais
où avez-vous vu dans la LF2016 qu'il fallait crypter les données avec
des certificats 2048bits ?

La loi ne parle que d’inaltérabilité,de sécurisation, de conservation
et d’archivage de données, sans aucun contexte technique ni aucune
référence à la NF525. Le simple fait de remonter les mouvements sur un
serveur central inaccessible au client (sur le net par exemple) suivant
une connexion sécurisée répond déjà aux critères de la loi.



Ouaip, sauf que l'on doit aussi garantir l'inaltérabilité des données
primaires ... qui sont celles de la caisse et ce sont celles la que le
contrôleur des impôts va récupérer.

Après on retourne sur le débat certification ou attestation. Si on
choisit la voie de la certification alors il faut signer :) (ce qui est
quand même le sujet de ce post)

Fred.
//hostimage.webdev.info/avatars/default.gif
Posted on February, 04 2017 - 12:55 AM
Fabrice Harari a écrit :
Bonjour
tu es dans un cas très intéressant... Comme tu as les sources de ton
soft, que tu connais les clé d'encryption et tout ce qui concerne la
sécurité, tu peux sans problème trafiquer tes fichiers et recalculer les
checksums pour l'utilisation dans ta propre société...
NF525 n'apporte donc aucune sécurité dans ton cas.
Normalement, le gars qui a les clés du coffre n'est pas aussi le gars
susceptible d'essayer de voler son contenu...
Donc, sauf si NF525 parle spécifiquement de ce cas, je me demande
jusqu'à quel point ca vaut la peine de l'implémenter, du coup.
Cordialement
Fabrice Harari
Consultant WinDev, WebDev et WinDev Mobile International


bonsoir,
100% d'accord avec toi fabrice , comme dab , surtout que quand tu signe en RSA , c'est avec la clé privé , qui est forcement trouvable par un crackeur dans ton soft,c'est donc contournable .
la seul chose étant de crypter avec la clé public et non de signé ,mais seul l'éditeur pourrait décrypter avec la clé privé , et si il la donne au impôt ,rebelote les fuites possible (sans vouloir accusé les brigades de recherche mais on ne peut pas garantir leurs bonnes fois).....
un cryptage chainé est de toute façon impossible car cela grossirait à vu d'oeil , une signature non ,elle reste constante , je pense qu'il faut signé les lignes et les lignes entre elle de prime abord mais pour 'restituer les valeurs d'origine' il faut associer la signature de la ligne avec un cryptage contrôlable avec un code 'impot' mais il est noter aussi que les données doivent être accessible même si l'utilisateur change de logiciel ?!!??? dur dur ...
franchement c'est le délire
//hostimage.webdev.info/avatars/3p2WFxJYv5QPx7d8CbHN5A
Registered member
684 messages
Posted on February, 08 2017 - 2:22 PM
Bonjour,

Je suis en concurrence avec odoo chez un client, quelqu'un sait-il comment va s'appliquer la norme sur les logiciels libre ?

--
Cordialement,

Philippe SAINT-BERTIN
Géode Informatique
//hostimage.webdev.info/avatars/default.gif
Posted on February, 15 2017 - 10:42 AM
Bonjour,

quelques interrogations sur la signature dans la NF525 (encore) :

1 ) Les entêtes de tickets doivent être signés, OK.
Mais qu'en est-t-il des lignes des tickets ?
Dans mon cas, une ligne correspond à un article, une quantité, un montant etc...
Je ne vois rien correspondant à cela dans les règles.

2 ) Les données des tickets doivent être signées en incluant la signature du ticket précédent.
Qu'en est-il du ticket suivant ?
Logiquement, il devrait aussi être inclus, mais je n'ai rien trouvé dans les règles NF525.

3 ) Toujours concernant le chaînage des signatures, sur quelle période la chaîne doit être ininterrompue ?
Je suppose que c'est lié aux périodes de clôture ?
Dans mon cas, ouverture de la caisse le matin et clôture le soir.
Donc je suppose que le premier ticket de la journée n'a pas besoin d'inclure la signature du dernier ticket de la veille ?

Je prévois de faire la formation le mois prochain mais j'aimerai avancer entre temps.

Merci pour vos réponses.

Michaël.
//hostimage.webdev.info/avatars/default.gif
Posted on February, 15 2017 - 1:31 PM
Bonjour Michael,

toutes tes questions ont trait à la logique de la chose...

Personne ne doit pouvoir modifier le contenu des fichiers d'une façon
qui tromperait les impots sans que ca se voit...

Donc, les réponses point par point :

Le 2/15/2017 à 4:42 AM, Michael a écrit :
Bonjour,

quelques interrogations sur la signature dans la NF525 (encore) :

1 ) Les entêtes de tickets doivent être signés, OK.
Mais qu'en est-t-il des lignes des tickets ?
Dans mon cas, une ligne correspond à un article, une quantité, un
montant etc...
Je ne vois rien correspondant à cela dans les règles.


Oui, bien sur qu'il faut les signer. Autrement, on pourrait remplacer
des articles à forte valeur ajouté par des articles à faible valeur
ajoutée pour le même montant total, et donc prétendre faire beaucoup
oins de bénéfice.

2 ) Les données des tickets doivent être signées en incluant la
signature du ticket précédent.
Qu'en est-il du ticket suivant ?
Logiquement, il devrait aussi être inclus, mais je n'ai rien trouvé dans
les règles NF525.


A priori, rien ne l'oblige, ce qui est une faiblesse de la norme. En
meme temps, si tu attend le ticket suivant pour modifier l'enreg
précédent, il faut bien exclure les signatures de la signature et ca
double la taille des signature. Donc, si tu compte signer l'attestation
au lieu de passer par une certif externe, c'est certainement conseillé.

3 ) Toujours concernant le chaînage des signatures, sur quelle période
la chaîne doit être ininterrompue ?
Je suppose que c'est lié aux périodes de clôture ?


Surtout pas...
Dans mon cas, ouverture de la caisse le matin et clôture le soir.
Donc je suppose que le premier ticket de la journée n'a pas besoin
d'inclure la signature du dernier ticket de la veille ?

VRAIMENT PAS... ton idée permettrait de remplacer facilement un jour
complet de caisse.

La signature doit être MECANIQUE, un enreg après l'autre, et
complètement séparée de la logique de l'appli.

Il faut signer les enregs au fur et à mesure qu'ils sont ajoutés (perso,
je détourne le hajoute pour ca) sans se préoccuper à aucun moment du
CONTENU des enregs.

Ton fichier doit être signé depuis le premier enreg du fichier jusqu'au
dernier, sans aucune interruption.


Cordialement


--
Fabrice Harari
Consultant WinDev, WebDev et WinDev Mobile International

A votre disposition : WXShowroom.com, WXReplication (open source) et
maintenant WXEDM (open source)

Plus d'information sur http://fabriceharari.com

Je prévois de faire la formation le mois prochain mais j'aimerai avancer
entre temps.

Merci pour vos réponses.

Michaël.
//hostimage.webdev.info/avatars/default.gif
Posted on February, 15 2017 - 3:37 PM
Merci Fabrice pour tes réponses !

En effet, c'est très logique et je n'avais pas pensé à tout ça !
//hostimage.webdev.info/avatars/default.gif
Posted on February, 15 2017 - 4:31 PM
Fabrice, quand tu dis !
"Autrement, on pourrait remplacer des articles à forte valeur ajouté par des articles à faible valeur
ajoutée pour le même montant total."

Alors :
Et les stocks sont faux !
//hostimage.webdev.info/avatars/default.gif
Posted on February, 15 2017 - 6:38 PM
Le 15/02/2017 à 15:31, Christine a écrit :
Fabrice, quand tu dis !
"Autrement, on pourrait remplacer des articles à forte valeur ajouté par
des articles à faible valeur ajoutée pour le même montant total."

Alors :
Et les stocks sont faux !


Vu que 90% des client ne gèrent pas leurs stocks informatiquement ... :)

Bon dev,

Fred.
//hostimage.webdev.info/avatars/default.gif
Posted on February, 15 2017 - 7:28 PM
Bonjour

Alors :
Et les stocks sont faux !


Ben oui... Dans tous les cas, quand les gens trichent dans leur comptes,
il va y avoir quelque chose de faux...

Qui sera corrigé à la main par le fraudeur s'il est suffisamment malin
pour ça, ou qui sera découvert par les impôts lors d'un contrôle. Et ils
contrôlent tout (y compris, par exemple, dans un restaurant, le nombre
de nappes en papier, la quantité de sel utilisé, etc...)

Mais le problème n'est pas la...

Le problème est que cette loi reporte la responsabilité sur NOUS, les
développeurs de soft. Il faut donc, pour SE protéger, penser aux
différentes arnaques que les utilisateurs de nos softs peuvent essayer
de mettre en place.

Cordialement


--
Fabrice Harari
Consultant WinDev, WebDev et WinDev Mobile International

A votre disposition : WXShowroom.com, WXReplication (open source) et
maintenant WXEDM (open source)

Plus d'information sur http://fabriceharari.com
//hostimage.webdev.info/avatars/T9qhmx8ipNkmOmx8YfpQ
Registered member
154 messages
Posted on February, 15 2017 - 9:30 PM
Bonjour

Je pense pas qu'il soit obligatoire de protéger les lignes articles des tickets de caisses
Perso je ne protège que la ligne totale, et après ce n'est que du contrôle

Par ticket
1) dans chaque ligne article j'ai la qte / le prix / le mt TTC et mt HT, le code TVA et le taux
2) une ligne par règlements
3) et une ligne total, avec Qtes Globales, Mt TTC , Mt HT, le détail HT et TTC par code TVA (avec le taux) et une protection Hashcoding (avec mot de passe)

Une table TVA de la journée (par code TVA, avec le mt HT et TTC ) et un Hashcoding (avec un autre, mot de passe)
Une table Règlement de la journée (par code, avec le mt) et un Hashcoding (avec mot de passe)
Une table article , avec par journée : l'article, la Qte, le Mt HT, Mt TTC , le code TVA et le Taux et un Hashcoding (avec mot de passe)
+ fichier d'audit, avec le total HT et TTC de chaque tickets (et le Hashcoding de la ligne total du ticket)

et le soir, a l’édition des résultats
*je vérifie le fichier Ticket avec : détail des lignes article TTC = total des lignes règlements =lignes totales TTC
* même chose pour les lignes articles HT et lignes totales HT
* et je contrôle ma table TVA journalière avec mes lignes Total tickets (test sur le HT et le TTC)
* ma table règlement journalier avec le total des tickets TTC
* ma table articles journalier = a mes lignes Total Tickets (en HT et en TTC)
* que le Hashcoding de chaque ligne total ticket dans mon fichier d'audit = Hashcoding de la ligne totale dans le fichier Ticket

Meme test lancer quand je fais l'archivage fiscal (chaque ligne de l'archive fiscale est protégée par un Hashcoding (avec un mot de passe)
+ un fichier index avec les noms des fichiers archives fiscales et le Hashcoding des fichiers.

* Un traitement peut être lancer a la main , et en visu du fichier d'audit, possibilité de lancer un contrôle d’intégrité.

Si problème d’écart, envoie d'un email a notre maintenance, pour que l'on vérifie si le problème vient de la base ou d'une intervention

Le problème, si c'est du a une tentative de modification a la main, que doit on faire ? (et qu'avons nous le droit de faire ?)
(mais pour l'instant c'est jamais arrivé ;)) )

Avec ça, je pense (évidement pas a 100%, mais...) que je suis tranquille, et avant qu'un de mes clients s'aventure a s'amuser avec...

On a choisit de passer par l'attestation et pas par la norme.

Cordialement
Olivier