AS2 : Protocole sécurisé pour l’échange de données EDI entre entreprises

Qu’est-ce que l’AS2 ?

L’ EDIINT est un terme générique signifiant simplement « EDI via INTernet ». Il permet la combinaison pratique des syntaxes de l’EDI traditionnel avec les protocoles IP d’Internet. Les entreprises qui adoptent l’AS2 pour leurs communications EDI bénéficient non seulement d’une meilleure sécurité, mais aussi d’une réduction des coûts et d’un gain de temps dans les échanges de données.

Historiquement, l’AS2 est un protocole EDI de “deuxième génération”, créé par l’Internet Engineering Task Force (IETF) en 2002 pour remplacer l’AS1 (moins rapide, moins sûre et surtout moins pratique).

Son utilisation permet d’éliminer les intermédiaires coûteux et d’accélérer les processus métier. Pour répondre à ces exigences, il est important de cerner les mécanismes et entités qui œuvrent dans le cycle d’acheminement de ces contenus.

Technologie et caractéristiques de l’AS2

L’AS2 est un protocole dont l’intérêt s’articule sur quatre caractéristiques fondamentales :

• Authentification : l’identité de l’émetteur et du récepteur est assurée dans l’ensemble des processus.
• Confidentialité : les échanges de donnée sont sécurisés de sorte à être visible uniquement par l’entité ciblée.
• Intégrité : le contenu est protégé contre toute menace de falsification externe. Les données échangées à travers les processus demeurent strictement authentiques de « bout en bout ».
• Non-répudiation : la bonne réception et la prise en compte des données envoyées sont justifiées et constituent une preuve valable.

Point définition : La non-répudiation signifie la possibilité de vérifier que l’envoyeur et le destinataire sont bien les parties qui disent avoir respectivement envoyé ou reçu le message. De ce fait, la non-répudiation de l’origine permet de prouver que les données ont été envoyées, et la non-répudiation de l’arrivée prouve qu’elles ont été reçues.

Le succès de l’AS2 repose en grande partie sur sa capacité à garantir la non-répudiation des échanges de données EDI. Cette fonctionnalité clé permet aux entreprises d’éviter les litiges et les malentendus, tout en renforçant leurs relations commerciales.

Fonctionnement de l’AS2

1. La préparation des documents EDI

Bien que l’AS2 ne soit pas soumis à une limitation de format, les données à envoyer sont d’abord préparées dans un format EDI standard.

2. L’emballage AS2

Avant d’être expédiées, ces données sont soumises à un processus de transformation plus ou moins variable en fonction de leurs natures.

– Facultativement, en fonction de la taille des données, le message peut être compressé à travers un algorithme afin d’accélérer son acheminement et éviter certaines attaques de cryptanalyse (qui se basent sur des analyses statistiques du contenu). 

– La signature : les données sont signées avec une clé privée de l’expéditeur afin de garantir son identité en tant qu’émetteur du message.

– Le chiffrement : le module AS2 « encapsule » le message dans une enveloppe sécurisée grâce un protocole de cryptographie S/MIME spécifique. Les données à transférer sont chiffrées avec une clé publique à disposition du système destinataire, de sorte qu’il soit l’unique récepteur en mesure de les lire.

3. La transmission des messages

La capsule ainsi engendrée est transmise en toute sécurité via les protocoles de communications http (un renforcement supplémentaire peut être acquis en utilisant le https) que nous traitons dans cet article.

4. L’étape du déballage dans l’AS2

Le serveur destinataire du message qui est constamment en ligne, reçoit alors un paquet qui lui a été désigné. Ce paquet encapsulé intègre alors un processus de « déballage » dans lequel intervient un double contrôle :

• la signature du document est vérifiée à l’aide de la clé publique de l’expéditeur pour confirmer sa bonne identité.
• Les données jusque-là chiffrées sont décryptées grâce à la clé privée du destinataire.
• Si une compression a été réalisée à l’émission, le message est décompressé.

À l’issue de ces étapes, le message EDI devient enfin accessible et exploitable.

5. Le traitement EDI

Le module AS2 récepteur transmet le document exploitable à votre système EDI afin d’exécuter la logique métier attribuée.

6. Envoie de l’accusé de réception par le Destinataire.

L’organisation réceptrice ayant finalement reçu les données, émet un MDN (Message Disposition Notification, voir ci-dessous) pour informer le système expéditeur de la bonne réception du paquet.

7. Traitement de l’accusé de réception par l’expéditeur.

L’expéditeur initial des données valide la signature de réception et vérifie à l’occasion l’intégrité du message en comparant le MIC (Message Integrity Check) du contenu renvoyé avec celui qu’il a calculé à l’origine.

AS2 : Focus sur l’accusé de réception (MDN) et le principe de non-répudiation

Les reçus, ou notifications de disposition de message (MDN), confirment que les partenaires commerciaux ont bien reçu les données. Ceci permet alors d’obtenir un non-déni de réception.

Il existe cinq options pour traiter les reçus, notamment :

• Pas de reçus – un mauvais choix qui ne fournit aucune piste d’audit et peut conduire à de faux positifs pour la transmission. L’équivalent de sécurité est le retrait des piles d’un détecteur de fumée.
• Reçus simples – reçus non signés retournés immédiatement à l’expéditeur pour afficher un reçu de message. Aussi un mauvais choix, car il est sujet à l’usurpation d’identité.
• Reçu signé – retourné immédiatement et signé, fournissant la piste d’audit la plus solide
• Réception simple asynchrone – un reçu simple qui est envoyé plus tard, pas immédiatement
• Reçu signé asynchrone – un reçu signé qui est envoyé plus tard, pas immédiatement. Ceci est utile dans les situations où le message est plus volumineux et que l’expéditeur peut donc ne pas souhaiter laisser la connexion initiale ouverte en attendant qu’un MDN qui prend plus de temps à générer soit renvoyé.

L’expéditeur peut paramétrer la forme du reçu que le destinataire doit renvoyer, vous devez donc vous assurer que votre logiciel prend en charge les cinq options, car chaque partenaire peut exiger des reçus différents.

De plus, le reçu MDN contient le MIC calculé sur la « charge utile » reçue de la transmission initiale. Lorsque l’expéditeur d’origine valide le MDN, ce MIC est comparé au MIC qui a été calculé à l’origine sur la transmission AS2, de sorte que l’expéditeur reçoive une garantie que le contenu a été reçu comme emballé et sans falsification. L’utilisation de signatures sur le message et le reçu constitue alors une preuve légale de non-répudiation de réception.

AS2 : Focus sur la sécurité

Le chiffrement dans l’AS2

Les mécanismes de sécurité sont basés sur des couples de clés publiques/privées.

• La clé publique est transmise dans un certificat de sécurité.
• La clé privée est connue et détenue uniquement par son propriétaire.

En utilisant le certificat public du destinataire, le contenu du message AS2 est chiffré afin de sécuriser les données. Seul le destinataire pourra déchiffrer le contenu, à l’aide de son certificat privé.

Pour chiffrer vos données au fur et à mesure que vous les transmettez via AS2, vous et votre partenaire devez utiliser et prendre en charge le même algorithme de cryptage. Les options populaires sont :

• 168 Bit Triple DES (3DES) :
• AES (plus récent et plus utilisé)

La signature électronique

Le rôle de cette signature réside dans sa capacité à garantir :

• L’intégrité des données
• L’identité de l’émetteur (authentification)

Pour y parvenir, il est question de calculer par un algorithme de « hachage » un checksum (une courte séquence de données numériques calculée à partir du texte initial à signer). Cela va permettre de vérifier par la suite que l’intégrité de ce bloc a été préservée lors de l’opération de transmission. Ce même checksum est chiffré avec la clé privée de l’émetteur et constitue alors une signature unique qui sera attachée au fichier à envoyer.

De l’autre côté, le destinataire reçoit le message avec la signature.
Il calcule le « hash » sur la partie donnée du message.
Ensuite, il déchiffre la signature en utilisant la clé publique de l’expéditeur.
Il compare le résultat avec ce qu’il a calculé et s’assure ainsi de l’intégrité du message original et de l’identité de son émetteur.

Clés publiques et privées dans l’AS2 et leurs principes de fonctionnement.

Les certificats, éléments importants dans la sécurité AS2

L’AS2, un incontournable de l’EDI.

En conclusion, l’AS2 est un protocole sécurisé essentiel pour l’échange de données EDI entre entreprises. Il offre une solution robuste et fiable pour assurer la sécurité, la confidentialité et l’intégrité des données échangées en B2B. Grâce à ses mécanismes d’authentification, de chiffrement et de non-répudiation, l’AS2 permet un échange de données rapide et sécurisé, répondant aux exigences des organisations modernes. Pour plus d’information, nous vous invitons à consulter notre ebook. En choisissant l’AS2 pour les échanges de données EDI, les entreprises peuvent répondre aux normes de sécurité les plus strictes. L’AS2 contribue ainsi à renforcer la confiance entre les partenaires commerciaux et à garantir la protection des informations sensibles.

Chez Esalink, nous sommes spécialisés dans l’EDI et proposons des solutions d’intégration moderne des flux B2B. Retrouvez nos services et prestations de maintenance et support sur-mesure pour votre plateforme EDI. Si vous souhaitez optimiser et sécuriser vos échanges de données entre entreprises, n’hésitez pas à nous contacter dès aujourd’hui pour découvrir comment nos experts peuvent vous aider à mettre en place une solution AS2 adaptée à vos besoins.