Discussion :

[azias]

Bonjour,

Je pose la question sans grand espoir mais on ne sait jamais.

En utilisant uniquement du javascript embarqué dans une page web: est-il possible d'accéder au magasin de certificats électronique de windows via javascript afin de générer une signature électronique (en signant un hash de fichier par exemple).

Nous le faisons déjà actuellement en utilisant un applet Java, mais compte tenu des controverses de sécurité récentes concernant java (en plus de nécessité que Java soit installé côté client)...

Je ne me rappelle plus comment s'appelle l'API mais j'avais déjà trouvé une API propre à firefox qui permettait d'accéder au magasin de certificat de firefox (pas celui de windows). Comme c'est propre à firefox ça n'est pas portable.

Il y a la solution consistant à développer un composant ActiveX, mais c'est propre à IE, donc pas portable, et ne nous lançons pas dans une discussion concernant les ActiveX.

La solution consistant à proposer des plugins pour navigateurs nécessiterait le développement de plugin pour chaque navigateur (et pour chacune de leur version majeur) pour chaque plateforme, etc... pas envisageable.

Bref, une solution en javascript serait l'idéal.

Ce message était une bouteille à la mer
Merci.

[sekaijin]

NON le magasin de certificat est le coffre fort de l'utilisateur
l'ouvrir à un code extérieur c'est comme dire à tous les voleur de la planète

"Hey les gars j'ai mis les clefs sous le paillason"

A+JYT

[azias]

Je ne l'avais pas précisé parce que ça me paraissait évident, mais il n'est pas question d'y accéder sans l'autorisation de l'utilisateur.

Nous le faisons déjà actuellement en passant par une applet Java, et Windows demande l'autorisation à l'utilisateur, qui doit fournir un mot de passe s'il a pensé à protéger l'accès à son certificat par un mot de passe. Par ailleurs, le magasin de certificat est aussi une API très pratique qui permet d'accéder non seulement aux certificats sur fichiers qui ont été enregistrés dans le magasin par l'utilisateur, mais aussi aux clefs matérielles correctement installées (sans que nous ayons à nous soucier de la technologie utilisée par la clefs matérielle, des drivers, etc.)

Des technologies existent déjà pour accéder au magasin (et heureusement sinon il ne servirait à rien), mais aucune n'est portable: firefox permet d'accéder à son propre magasin en javascript; sous IE on peut développer du ActiveX et y accéder via la dll capi; on peut utiliser une applet Java comme nous le faisons actuellement; je ne serais pas étonné que Flash ou Adobe Air le permette; évidement il y a toujours la solution de développer des plugins pour les navigateurs...

Bref, le problème n'est pas le droit d'accéder au magasin (qui est censé se protéger par lui-même et ne jamais donner l'accès direct aux clefs privées) mais que tous les moyens que j'ai trouvé pour le faire ne sont pas portables ou nécessitent l'installation de logiciels tiers.

Pour terminer, il me semble que l'identification forte sur internet va devenir de plus en plus nécessaire et il va bien falloir développer les technologies pour l'accompagner.

Merci

[sekaijin]

Javascript ne permet que d'accéder au navigateur et encore uniquement à ce que le navigateur à prévu.

en général (et c'est la règle mais pas une norme) un plugin peu ajouter une api js à ses ressources.

la norme W3c ne prévois l'accès qu'à l'objet

c'est donc du bon vouloir du navigateur que de te donner accès à autre chose.
tu est donc en présence d'une possibilité propriétaire donc non portable.
il te faut donc bien savoir ce que tu fais.

mais ce n'est pas tout l'API Windows est totalement différente de celle de MacOS et sous unix il en existe plusieurs qui peuvent même être installé en même temps sur la même machine.

l'accès au certificats est donc pas une affaire simple.
et surtout pas portable.

A+JYT

[azias]

J'ai bien conscience de tout ça. Notre solution basée sur une applet Java a été mise en place il y a plus d'un an et fonctionne bien. C'est ce que nous avons trouvé de plus portable mais nous sommes conscient de ses limites, notamment le fait qu'une JRE doit être installée et les multiples messages d'avertissement de sécurité (qui ont particulièrement fleuris ces dernières semaines) bien que nos serveurs et notre applet soient correctement signés.

Notre site web qui utilise cette technologie s'adresse a priori au grand public, ce genre de contrainte est donc gênante, c'est pourquoi nous restons en veille pour ne pas passer à côté de nouvelles solutions qui pourraient apparaître.

L'idéal serait qu'une API crypto javascript comme celle proposée chez mozilla ou équivalent puisse être standardisée.

J'ai lu récemment une news sur developpez.com indiquant que Google pense à proposer une identification par baque électronique plutôt que par login/mot de passe. Peut-être que Google sera capable de pousser vers l’apparition d'API plus ou moins standardisé permettant l'identification forte ou la signature.

De nos jours, les moyens d'identification par clefs électroniques sont de plus en plus courants: badges remplaçant les digicodes, portes de parkings, carte de transport en commun, évidemment les carte bleues, peut-être que la future carte d'identité française portera une certificat électronique...

Je doute que le web puisse échapper longtemps encore à cette vague, d'autant que c'est justement sur internet qu'on trouve maintenant le plus de falsification ou d'usurpation d'identité.