Archives numériques – Pérennité une nécessité
La réglementation, le besoin de traçabilité ou les raisons patrimoniales sont les moteurs de l’archivage électronique. Il est important de préserver les contenus numériques tout en s’assurant leur intégrité, leur authenticité, leur sécurité et leur lisibilité dans le temps. Pour cela plusieurs textes normatifs et réglementaires proposent des pistes techniques ou organisationnelles.
Dans tous les cas, la conservation des documents numériques commence systématiquement par le contrôle des versements des objets à archiver (SIP) et vous êtes nombreux à vous interroger sur les différents types de contrôles à réaliser par un Service d’Archivage Electronique (SAE) lors des versements d’archives électroniques effectués par un service versant (SV).
Les principaux textes qui font référence en France sont ceux produits par la commission de normalisation française Afnor CN171 :
- Norme AFNOR NF Z42-013 de 2020 et sa certification NF 461 associée
- Norme AFNOR NF Z42-020 de 2012 et sa certification logicielle NF 203 associée
Le versement, prémisse de la conservation
Lorsqu’un SV doit verser un fichier numérique vers un SAE, il doit s’assurer de l’authenticité du contenu à verser. Pour exemple, dans le cadre du versement d’un document numérisé, la fidélité du document numérique au regard du document papier doit être assurée par celui qui gère le cycle de vie du document en amont du SAE. Il est toujours délicat de préciser qu’un document est authentique une fois qu’il a été archivé si ce dernier ne véhicule pas au moment de l’archivage tous les éléments nécessaires à la démonstration de son authenticité.
Le rôle du SAE consiste à mettre en place et à vérifier que les règles de sécurité nécessaires permettent de recevoir les versements d’un SV avec un niveau de sécurité irréprochable et sans pouvoir mettre en cause l’identité du SV.
Dans certains cas d’usage, le SAE doit également s’assurer que les documents versés respectent des règles de validation fixées par le contrat de service et la politique d’archivage dûment acceptée par le SV. Ces règles peuvent par exemple définir des contrôles sur :
- Le format du document numérique versé.
- La vérification de la présence de métadonnées obligatoires et leur format.
- La vérification de la présence d’éléments de preuve constitués par le SV en amont du SAE.
- La vérification de la validité d’une signature électronique apposée sur le document versé.
- …
Dans le cas où ces contrôles démontrent une non-conformité par rapport à ce qui a été prévu, le versement est refusé temporairement par le SAE. Il appartient alors au SV de corriger les informations avant de soumettre de nouveau le versement au SAE.
Contrôle d’intégrité lors du versement
Certaines normes exigent d’utiliser des mécanismes de contrôle d’intégrité entre le SV et le SAE. C’est par exemple le cas de la norme AFNOR NF Z42-020 liée au Composant Coffre-fort Numérique (CCFN). Cette norme a été imaginée pour fonctionner dans un cadre sécurisé et non sécurisé. Pour permettre au CCFN (composant d’un SAE) de valider l’objet numérique versé, le SV doit accompagner l’objet de son empreinte numérique. Le SV doit alors fournir au CCFN l’objet à conserver, son empreinte et le détail sur l’algorithme qu’il a utilisé pour calculer l’empreinte. A réception, le CCFN doit réaliser une vérification de l’empreinte transmise par simple recalcul et comparaison.
Dans la pratique, ce procédé n’est utile que lorsque le transfert de l’objet entre le SV et le CCFN n’est pas sécurisé. Si le transfert est réalisé par une communication sécurisée, il devient inutile de mettre en œuvre un mécanisme de vérification d’intégrité par le SV puisque le protocole sécurisé sous-jacent apporte cette garantie. Les deux principaux protocoles sécurisés qui sont généralement proposés par les SAE pour les versements permettent de gérer la confidentialité et l’intégrité :
- Pour les transferts via https, la gestion de l’intégrité et de la confidentialité de données transmises est garantie par le protocole et le chiffrement réalisé rendant totalement inefficaces les tentatives d’attaques type MITM. Comme l’explique le site de l’ANSSI dans sa note intitulée « RECOMMANDATIONS DE SÉCURITÉ CONCERNANT L’ANALYSE DES FLUX HTTPS », « le protocole HTTPS est conçu pour protéger en confidentialité et en intégrité des communications de bout en bout (entre un client et un serveur). Il apporte également des fonctions d’authentification du serveur, mais aussi optionnellement du client ».
- Pour les transferts via un protocole robuste comme SFTP, un mécanisme de checking complet de l’intégrité des paquets envoyés permet de fournir un niveau de sécurité additionnel, même si cette vérification peut ralentir la transmission des fichiers.
Dans un cas de protocole non sécurisé, le transfert d’une empreinte avec l’objet à conserver n’est pas une bonne pratique. En effet, les attaques type MITM peuvent très facilement substituer l’objet en fournissant une empreinte en cohérence avec l’objet substitué. Il est donc fondamental de ne pas utiliser le même canal de communication pour transmettre l’empreinte afin d’éviter ce type d’attaque. S’il n’est pas possible de communiquer l’empreinte sur un autre canal de communication que celui utilisé pour transmettre l’objet, il faut alors transmettre l’empreinte après l’avoir chiffrée (AES par exemple) puis trouver un moyen sécurisé pour transmettre la clef de déchiffrement. Avec cette approche, les attaques de type MITM ne pourrons pas substituer les objets sans connaître la clef utilisée.
Lors de la révision de la norme AFNOR NF Z42-013 de 2020, le point lié à l’utilité de transmettre une empreinte avec un paquet à archiver a été soulevé dans le cadre des exigences et recommandations liées aux versements entre un SV et le SA. Par soucis de consensus, il a donc été positionné une exigence conditionnelle pour répondre aux attentes de ceux qui souhaitent mettre en place ce type de mécanisme. De ce fait, il appartient au SV de décider ou non de transmettre les empreintes des documents à archiver dans le « SIP » envoyé. Si le transfert doit être réalisé dans un environnement non sécurisé ou via un protocole ne prenant pas en charge l’intégrité des objets transférés, le SV pourra transmettre les empreintes. Elles devront alors être contrôlées par le SA à réception. Attention alors de retenir une implémentation permettant d’éviter les attaques MITM. Il s’agit d’interpréter d’une manière sécurisée le texte normatif pour apporter une véritable solutionsécurisée au contrôle d’intégrité.
Christian Dubourg – Directeur Lab Innovation et Conformité
Spark Archives / Kleegroup
Sources
- ANSSI : https://www.ssi.gouv.fr/guide/recommandations-de-securite-concernant-lanalyse-des-flux-https/
- Attaque de l’homme du milieu : https://fr.wikipedia.org/wiki/Attaque_de_l%27homme_du_milieu
- Norme AFNOR NF Z42-020 : https://www.boutique.afnor.org/fr-fr/norme/nf-z42020/specifications-fonctionnelles-dun-composant-coffrefort-numerique-destine-a-/fa176610/1249
- Norme AFNOR NF Z42-013-2020 : https://www.boutique.afnor.org/fr-fr/norme/nf-z42013/archivage-electronique-recommandations-et-exigences/fa197009/260701