infodts@doubletrade.net | +(33) 1 71 16 31 00

Des questions sur DTS ?


Nous avons regroupé ici pour nos clients les questions les plus fréquemment posées, ceci afin de leur permettre de gagner du temps. Si toutefois vous ne trouvez pas la réponse à votre question, n’hésitez pas à nous la poser par mail.

F.A.Qs Appels d’Offres

  • Quels sont les pré requis pour déposer une réponse électronique signée ?

    Réponse : Seul le navigateur Internet Explorer permet de déposer une réponse électronique sur nos plateformes. Il faut également disposer de Java version 32 Bits à jour.
    Les versions de JAVA 64 Bits ne sont pas supportées actuellement. Exemple de pré requis sur nos plateformes
  • Quelles sont les conditions d'utilisations de nos licences ?

    Réponse : Les conditions d’utilisations des logiciels DoubleTrade sont acceptés par vos soins à l’installation de nos logiciels.
  • Qu'est-ce qu'un certificat électronique ?

    Réponse :  Les certificats sont des petits fichiers divisés en deux parties, la partie contenant les informations & la partie contenant la signature de l’autorité de certification. La structure des certificats est normalisée par le standard X.509 de l’ UIT , qui définit les informations contenues dans le certificat :

    • Le nom de l’autorité de certification
    • Le nom du propriétaire du certificat
    • La date de validité du certificat
    • L’algorithme de chiffrement utilisé
    • La clé publique du propriétaire

    L’ensemble de ces informations (informations + clé publique du demandeur) est signé par l’autorité de certification, cela signifie qu’une fonction de hachage crée une empreinte de ces informations, puis ce condensé est chiffré à l’aide de la clé privée de l’autorité de certification ; la clé publique ayant été préalablement largement diffusée afin de permettre aux utilisateurs de vérifier la signature avec la clé publique de l’ autorité de certification.

    INTRODUCTION À LA NOTION DE CERTIFICAT

    Les algorithmes de chiffrement asymétrique sont basé sur le partage entre les différents utilisateurs d’une clé publique. Généralement le partage de cette clé se fait au travers d’un annuaire électronique (généralement au format LDAP) ou bien d’un site web.

    Toutefois ce mode de partage a une grande lacune : Rien ne garantit que la clé est bien celle de l’utilisateur a qui elle est associée. En effet un pirate peut corrompre la clé publique présente dans l’annuaire en la remplaçant par sa clé publique. Ainsi, le pirate sera en mesure de déchiffrer tous les messages ayant été chiffrés avec la clé présente dans l’annuaire.

    Ainsi un certificat permet d’associer une clé publique à une entité (une personne, une machine, …) afin d’en assurer la validité. Le certificat est en quelque sorte la carte d’identité de la clé publique, délivré par un organisme appelé autorité de certification (souvent notée CA pour Certification Authority ).

    L’autorité de certification est chargée de délivrer les certificats, de leur assigner une date de validité (équivalent à la date limite de péremption des produits alimentaires), ainsi que de révoquer éventuellement des certificats avant cette date en cas de compromission de la clé (ou du propriétaire).

  • Comment fonctionne la signature électronique ?

    Réponse : Le paradigme de signature électronique (appelé aussi signature numérique) est un procédé permettant de garantir l’authenticité de l’expéditeur (fonction d’ authentification), ainsi que de vérifier l’intégrité du message reçu.

    La signature électronique assure également une fonction de non-répudiation, c’est-à-dire qu’elle permet d’assurer que l’expéditeur a bien envoyé le message (autrement dit elle empêche l’expéditeur de nier avoir expédié le message).

    QU’EST-CE QU’UNE FONCTION DE HACHAGE ?

    Une fonction de hachage (parfois appelée fonction de condensation) est une fonction permettant d’obtenir un condensé (appelé aussi haché) d’un texte, c’est-à-dire une suite de caractères assez courte représentant le texte qu’il condense. La fonction de hachage doit être telle qu’elle associe un et un seul haché à un texte en clair (cela signifie que la moindre modification du document entraîne la modification de son haché). D’autre part, il doit s’agir d’une fonction à sens unique (one-way function) afin qu’il soit impossible de retrouver le message original à partir du condensé.

    Ainsi, le haché représente en quelque sorte l’empreinte digitale (en anglais finger print) du document. Les algorithmes de hachage les plus utilisés actuellement sont :

    • MD5 (MD signifiant Message Digest), créant une empreinte digitale de 128 bits. Il est courant de voir des documents en téléchargement sur Internet accompagnés d’un fichier MD5, il s’agit du condensé du document permettant de vérifier l’intégrité de ce dernier).
    • SHA (pour Secure Hash Algorithm, pouvant être traduit par Algorithme de hachage sécurisé) créant des empreintes d’une longueur de 160 bits.
    LE SCELLEMENT DES DONNÉES

    L’utilisation d’une fonction de hachage permet de vérifier que l’empreinte correspond bien au message reçu, mais rien ne prouve que le message a bien été envoyé par celui que l’on croit être l’expéditeur.

    Ainsi, pour garantir l’authentification du message, il suffit à l’expéditeur de chiffrer (on dit généralement signer ) le condensé à l’aide de sa clé privée (le haché signé est appelé sceau ) et d’envoyer le sceau au destinataire.

    A réception du message, il suffit au destinataire de déchiffrer le sceau avec la clé publique de l’expéditeur, puis de comparer le haché obtenu avec la fonction de hachage au haché reçu en pièce jointe. Ce mécanisme de création de sceau est appelé scellement.

    LE SCELLEMENT DES DONNÉES

    En expédiant un message accompagné de son haché, il est possible de garantir l’intégrité d’un message, c’est-à-dire que le destinataire peut vérifier que le message n’a pas été altéré (intentionnellement ou de manière fortuite) durant la communication.

    Lors de la réception du message, il suffit au destinataire de calculer le haché du message reçu et de le comparer avec le haché accompagnant le document. Si le message (ou le haché) a été falsifié durant la communication, les deux empreintes ne correspondront pas.

    Ce document intitulé « Cryptographie – Signature électronique » issu de CommentCaMarche.fr est soumis à la licence GNU FDL.

  • Que signifie le sigle ``SSL`` que l'on voit partout ?

    Réponse : SSL (Secure Sockets Layers , que l’on pourrait traduire par couche de sockets sécurisée) est un procédé de sécurisation des transactions effectuées via Internet mis au point par Netscape , en collaboration avec Mastercard , Bank of America , MCI et Silicon Graphics . Il repose sur un procédé de cryptographie par clef publique afin de garantir la sécurité de la transmission de données sur Internet Le système SSL est indépendant du protocole utilisé , ce qui signifie qu’il peut aussi bien sécuriser des transactions faites sur le Web par le protocole HTTP que des connexions via le protocole FTP , POP ou IMAP . En effet, SSL agit telle une couche supplémentaire, permettant d’assurer la sécurité des données, située entre la couche application et la couche transport (protocole TCP par exemple).

    De cette manière, SSL est transparent pour l’utilisateur (entendez par là qu’il peut ignorer qu’il utilise SSL). Par exemple un utilisateur utilisant un navigateur Internet pour se connecter à un site de commerce électronique sécurisé par SSL enverra des données chiffrées sans avoir à s’en préoccuper.

    La quasi intégralité des navigateurs supporte désormais le protocole SSL. Netscape Navigator affiche par exemple un cadenas verrouillé pour indiquer la connexion à un site sécurisé par SSL et un cadenas ouvert dans le cas contraire, tandis que Microsoft Internet Explorer affiche un cadenas uniquement lors de la connexion à un site sécurisé par SSL.

    Un serveur sécurisé par SSL possède une URL commençant par https://, où le « s » signifie bien évidemment secured (sécurisé).

    Au milieu de l’année 2001, le brevet de SSL appartenant jusqu’alors à Netscape a été racheté par l’ IETF ( Internet Engineering Task Force ) et a été rebaptisé pour l’occasion TLS ( Transport Layer Security ).

    FONCTIONNEMENT DE SSL 2.0

    La sécurisation des transactions par SSL 2.0 est basée sur un échange de clés entre client et serveur. La transaction sécurisée par SSL se fait selon le schéma suivant :

    • Dans un premier temps, le client, se connecte au site marchand sécurisé par SSL et lui demande de s’authentifier. Le client envoie également la liste des cryptosystèmes qu’il supporte, triée par ordre décroissant de la longueur des clés.
    • Le serveur a réception de la requête envoie un certificat au client, contenant la clé publique du serveur, signée par une autorité de certification (CA), ainsi que le nom du cryptosystème le plus haut dans la liste avec lequel il est compatible (la longueur de la clé de chiffrement – 40 bits ou 128 bits – sera celle du cryptosystème commun ayant la plus grande taille de clé).
    • Le client vérifie la validité du certificat (donc l’authenticité du marchand), puis crée une clé secrète aléatoire (plus exactement un bloc prétenduement aléatoire), chiffre cette clé à l’aide de la clé publique du serveur, puis lui envoie le résultat (la clé de session).
    • Le serveur est en mesure de déchiffrer la clé de session avec sa clé privée. Ainsi, les deux entités sont en possession d’une clé commune dont ils sont seuls connaisseurs. Le reste des transactions peut se faire à l’aide de clé de session, garantissant l’intégrité et la confidentialité des données échangées.

  • Comment fonctionne le paiement sécurisé par carte bancaire ?

    Réponse : Un paiement sécurisé se passe de la façon suivante :

    1. Le client crée sa commande sur un site marchand (le Portail CVP par exemple). Il a pour cela divers moyens à sa disposition, mais la façon de faire la plus classique est l’utilisation d’un « panier » ou « caddie » électronique.
    2. Le client choisit le mode de paiement par carte bancaire et confirme sa commande.
    3. On lui demande alors son numéro de carte bancaire ainsi que d’autres informations pour vérifier que la saisie est correcte (date d’expiration, cryptogramme visuel).
    4. Après vérification de ces paramètres, une demande d’autorisation est envoyée à la banque concernée, et si tout concorde, la commande est validée.
    5. Le site marchant informe alors le client que sa commande est validée, et lui envoie en parallèle un mail de confirmation.
    6. Le client reçoit par mail un « ticket de paiement », qui est l’équivalent électronique du ticket de carte bancaire reçu par exemple lorsque l’on fait un achat par carte bancaire au supermarché.

    Il existe une variante à ce système, que nous allons expliquer ci-dessous. Il est en effet problématique de devoir gérer la saisie du numéro de carte bancaire ainsi que toutes les communications avec la banque. La sécurité électronique utilisée doit être à toute épreuve, et une telle mise en oeuvre est coûteuse en matériel ainsi qu’en ressources humaines.

    C’est pourquoi il existe des sociétés qui se sont spécialisées dans le domaine de la gestion du paiement électronique sécurisé, et qui prennent donc en charge toute la gestion de ce paiement. Le principe est alors le suivant :

    • Le client saisit sa commande et comme dans la méthode précédente choisit le paiement par carte bancaire et confirme sa commande.
    • Au moment de la confirmation, le site marchand délègue la phase de paiement à une autre société (que l’on va appeler SociétéP) spécialisée dans ce domaine. Le client se trouve alors redirigé vers le site de SociétéP, où est affiché le montant à payer.
    • Il peut alors y remplir toutes les informations nécessaires (numéro de la carte, date d’expiration, cryptogramme visuel, etc …).
    • SociétéP s’occupe de faire tous les contrôles nécessaires ainsi que de contacter la banque pour obtenir une autorisation de paiement.
    • Après toutes ces opérations, SociétéP informe alors le site marchand du succès ou de l’échec du paiement qui peut agir en conséquence : confirmer la commande, ou l’annuler.

    L’avantage de cette méthode est qu’il permet de déléguer des responsabilités très importantes à un tiers de confiance spécialisé dans ce besoin particulier qu’est le paiement en ligne. De nos jours, seuls les plus gros sites marchands utilisent encore la première technique (pour économiser les frais de la société de gestion du paiement).

    CVP a choisi d’apporter la solution du paiement électronique en procurant une interface fonctionnelle entre WebAO et la société Paybox qui s’occupe donc de tout ce qui concerne le paiement sécurisé. Paybox est une société reconnue dans ce domaine et équipe de très nombreux sites marchands.

  • Quelle est la différence entre un ``Compte Utilisateur`` et un ``Compte Client`` sur DTS ?

    Réponse : Le Portail DTS (DTS AP et/ou DTS GED) fait la différence entre la notion de compte utilisateur et de compte client. Un compte utilisateur représente, de façon simplifiée, une paire login + mot de passe qui va permettre à une personne physique de se connecter sur le Portail. Le compte client, quand à lui, représente plus une personne morale, le client, qui peut donc être une entreprise par exemple. Le compte client contient donc toutes les informations nécessaires à la facturation (adresses, catégorie achat-vente, etc …).

    Au premier abord, on pourrait se demander pourquoi Doubletrade a fait le choix de séparer la notion de compte client de celle du compte utilisateur. Ce choix a été fait pour que le Portail soit en mesure de comprendre des situations telles que celles que vous rencontrez lorsque vous travaillez avec des grands comptes. Dans ces cas-là, il vous arrive souvent d’avoir à faire à plusieurs interlocuteurs, mais toute la facturation se fait sur le même compte client dans Cvp AO. Pour simplifier, on peut considérer qu’un « compte utilisateur » est un « interlocuteur » qui est connu par le Portail, et qui a des droits bien spécifiques.

    Une documentation complète a été réalisée pour vous permettre de comprendre comment créer des comptes utilisateurs/clients. Cette notion est également abordée dans nos formations. Vous pouvez télécharger cette documentation au format PDF en cliquant ici : Création Compte Client / Utilisateur (pdf) – doc à venir

  • Dois je déclarer mon site à la CNIL ?

    Réponse : La Commission Nationale de l’Informatique et des Libertés (CNIL) a été instituée par la loi n° 78-17 du 6 janvier 1978 avec pour mission, entre autres, de faire connaÎtre et respecter cette loi.

    Cette loi protège en partie notre vie privée dans le cadre de l’informatique. Ainsi l’accent est porté sur le fait que tout ensemble de données à caractère personnel ayant à subir un traitement informatique doit être déclaré à la CNIL avant ce traitement, l’organisme délivrant une autorisant d’exploitation. La CNIL vérifie également que la base de données ne contient pas des données illégales (couleur de peau, croyances religieuses, opinions politiques, etc…).

    Les logiciels CVP contiennent des données à caractère personnel (un nom ou une simple adresse email suffisent !). Dans ce cadre, une déclaration à la CNIL est obligatoire. La société CVP n’a pas la possibilité de faire une déclaration commune pour tous ses clients. Chacun de nos clients doit donc procéder à la déclaration de ses données à la CNIL lui-même.

    C’est simple et rapide, une telle déclaration peut être faite en ligne sur le site de la CNIL en 10 minutes. Nous vous conseillons par ailleurs d’aller consulter ce site pour y trouver des informations utiles sur la CNIL.

  • Que signifient toutes ces abréviations que l'on retrouve partout dans les appels d'offres ?

    Réponse : Les termes employés dans les marchés sont d’une importance primordiale car ils font parfois l’objet d’interprétations divergentes lors des procédures de réception des prestations et de discussions interminables, d’où l’intérêt de les définir de manière à ce qu’ils s’appliquent à l’ensemble des pièces du marché.

    Les définitions sont généralement issues de sources législatives, réglementaires, jurisprudentielles ou normatives. Dans la rédaction de ses marchés, la personne publique a intérêt à réserver un chapitre relatif aux définitions des principaux termes employés dans les documents contractuels ; ceci étant d’ailleurs fréquemment utilisé dans la rédaction de contrats ou de textes réglementaires.

    Il est à noter que cette pratique est très fréquente dans les contrats proposés par les fournisseurs comme les contrats de maintenance par exemple. Certains textes définissent la signification d’expressions applicables au seul texte où figurent ces définitions (c’est le cas des directives européennes notamment).

    Afin d’avoir des définitions fidèles aux textes officiels, lorsque la source est citée, les définitions sont reprises telles qu’elles figurent dans ladite source. Sont ajoutés éventuellement un commentaire ou des compléments. D’autre part l’utilisation de termes étrangers est interdite dans les marchés lorsqu’un équivalent existe en Français.

    1. Sigles et acronymes relatifs aux marchés publics.
    2. Répertoire de définitions relatives à l’informatique, l’Internet,  l’électronique et aux télécommunications
    3. Tableau de correspondance Terme étranger / Equivalent Français
    4. Sigles relatifs à l’informatique et domaines connexesRemarque

    Depuis janvier 1999 les préfixes des multiples binaires ont changé, mais l’usage fait que l’on utilise encore les anciens préfixes.
    Exemple : Giga-octets a été remplacé par gibi-octets (Gio)

  • Où voir la liste des familles de certificats référencées ?

    Réponse : 19 mai 2013 : Conformité des certificats au Référentiel Général de Sécurité (RGS). A compter de cette date, les certificats Pris V1 utilisés jusque là, disparaissent pour être remplacés par des certificats conformes au RGS. Une liste de ces nouveaux certificats est délivrée par la société LSTI, unique entité habilitée à qualifier des prestataires de service de confiance qualifiés : http://www.lsti-certification.fr.

    En ce qui concerne les marchés publics, une fiche technique sur la transition du référentiel PRIS V1 vers le RGS a été publiée par la Direction des affaires juridiques (DAJ) du Ministère de l’économie et des finances. Cette fiche fournit une liste de prestataires qualifiés pour délivrer des certificats RGS.

    LA SIGNATURE ELECTRONIQUE DES MARCHES PUBLIQUES

    Les règles d’usage de la signature électronique dans les marchés publics sont fixées dans l’arrêté du 15 juin 2012 relatif à la signature électronique dans les marchés publics, qui s’est substitué à l’arrêté du 28 août 2006.

    Mode d’emploi pour accompagner la généralisation de la dématérialisation, l’arrêté précise et uniformise les conditions d’utilisation de la signature électronique, quel que soit le signataire (personne publique ou opérateur économique) ou le document à signer.

    Tout savoir sur le site de la DAJ

Nous contacter

Votre NOM (requis)

Votre Email (requis)

Votre question concerne

Saisissez votre question