Il est très important de s'assurer que le correctif KB4534293 a bien été installé sur le poste.

Nous recommandons une nouvelle fois de ne plus utiliser IE11 ou EDGE, mais :

• Firefox ESR (https://www.mozilla.org/fr/firefox/all/#product-desktop-esr)
• Chromium EDGE (https://support.microsoft.com/fr-ma/help/4501095/download-the-new-microsoft-edge-based-on-chromium)

Finalement une bonne partie de la problématique est de posséder le bon niveau de certificat par rapport à la valeur juridique souhaitée (voir https://ec.europa.eu/cefdigital/wiki/display/CEFDIGITAL/Introduction+to+e-signature).

Les marchés publics exigeaient (avant eiDAS) une signature avec un certificat RGS 2* sur support physique émis par une autorité de confiance (avec vérification en face à face physique même si la règlementation permet la visioconférence). Pour information, la liste européenne des tiers de confiance est ici : https://webgate.ec.europa.eu/tl-browser/#/tl/FR).

Pour la signature de contrats dans le privé, les choses semblent moins claires et dépendent en plus de la réglementation nationale.

Néanmoins seules les signatures de type "Qualified Electronic Signatures (QES)" sont reconnues au travers de toute l'Europe comme l'équivalent irréfutable d'une signature manuscrite.
Une organisation a donc comme possibilités :

• acheter des certificats RGS 2* avec clef USB (un certificat par personne physique signataire)
• utiliser un prestataire de type "Remote qualified signing" qui gère les clefs sur des serveurs évitant à l'organisation de gérer soi-même ses clefs, dans cette catégorie on trouve de multiples prestataires:
  • Docusign (américain)
  • Yousign (français)
  • Signinghub (UK)
  • Adobe Sign (américain)
  • et bien d'autres

Lorsque l’on fait le choix d’un "Remote qualified signing", penser à bien vérifier que les PDF soient exportables avec leur signature (PaDES) pour des raisons de réversibilité, et les stocker sur GoFAST.

Pour l'intégration avec GoFAST plusieurs possibilités :

• Utilisation d’une application sur PC:

  • ouverture à partir de GoFAST dans Acrobat/Foxit du PDF à signer (fonctionne très bien depuis des années, nécessite l'extension dans le navigateur "IT Hit Edit Doc Opener 5")
  • utilisation de Xolidosign qui permet d'ouvrir un répertoire GoFAST contenant des documents à signer (permet la signature en masse y compris en RGS 2*). A télécharger ici : https://en.xolido.com/lang/xolidosign/pais/?refbol=pais&refsec=francia

• Utilisation d’un mécanisme de signature coté serveur (le certificat du signataire et/ou la signature numérisée est associé au profil GoFAST et stocké sur GoFAST)

  • l'orientation que nous pourrions préconiser ces prochaines années pour les signatures numérisées (mais nous allons explorer jusqu'à la possibilité de signer avec une clef RGS 2*, ce qui pose un certain nombre de défis techniques, potentiellement résolus par une extension du navigateur “fortifyapp”)
  • fonctionne déjà sur GoFAST (avec une licence supplémentaire) si l'on souhaite juste apposé un 'tampon' ou une signature manuscrite dans un PDF

• Couplage de GoFAST avec un parapheur en SaaS ("Remote Qualified Signing") type Docusign (mais favoriser un prestataire européen dans le cadre de la souveraineté numérique européenne)

• Couplage de GoFAST avec d’autres types de parapheurs du marché (Docapost FAST, Libriciel i-parapheur, ...). A vérifier également dans ce cas la possibilité de signer avec une clef RGS 2*

Hormis la signature sur le PC couplé avec GoFAST déjà fonctionnelle, les autres options nécessitent certains développements chez CEO-Vision pour l'intégration avec la solution tierce choisie, n'hésitez pas à nous contacter et réagir à ce post si un prestataire a déjà votre préférence.

Pour IE, cela fait maintenant plusieurs années que Microsoft ne produit que des correctifs sécurité, et les éditeurs de logiciels abandonnent les uns après les autres le support pour ce navigateur qui supporte très mal les standards et donc leur coûte très cher en tests et adaptations.

Microsoft a annoncé en début d'année qui abandonnait Edge dans sa version actuelle, une version qui comportait un moteur EdgeHTML lui même dérivé de celui d'IE. Le nouvel Edge est basé sur Chromium (plus particulièrement Blink), le projet Opensource de Chrome, comme maintenant tous les navigateurs (dont Opera) à l'exception notable de Firefox.

Cet abandon de technologie propriétaire montre un changement de culture chez Microsoft, qui avait plutôt l'habitude de persister dans ses erreurs. Les gains de temps chez Microsoft seront réalloués vers la contribution au projet Chromium et aux fonctionnalités du navigateur en tant que tel.

Coté fonctionnalités justement, le nouveau Chromium Edge (ou ChrEdge) possède quelques fonctionnalités notables comme plusieurs modes de respect de la vie privée et l'accès à toutes les extensions de Chrome (un grand plus).

Nouveauté également, Chromium Edge est multi-plateforme (MacOS, Android, iOS...) et une version Linux est en cours d'étude.

Enfin un mode IE permet d'ouvrir les sites nécessitant IE dans un onglet à part. Cette fonctionnalité permettra certainement une adhésion plus rapide à ce nouveau navigateur dans les grandes organisations.

De notre coté nos premiers tests ont montré que Chromium Edge (v78) est (très) rapide et fonctionnel sur GoFAST et son ergonomie enfin à la hauteur. Nous n'avons pas encore fait tous les tests (WebRTC webconférence par exemple), ni de tests sur l'utilisation des ressources du PC (mémoire, ...).

Mais globalement nous pressentons que Chromium Edge est déjà sans aucun doute le moyen pour les DSI de remplacer rapidement IE et Edge "Classique".

La version beta (qui fonctionne très bien) est ici : https://www.microsoftedgeinsider.com/fr-fr/enterprise

En plus de FireFox ESR (Extended Support Release dont la version 68 vient de sortir), il est probable que CEO-Vision recommande pour les grandes organisations plutôt Edge Chromium que Chrome (faible respect des données personnelles ex. de navigation, choix souvent arbitraire d'une version à une autre, ...) .

Si vous installez Chromium Edge, sachez que pour l'instant il est vu comme Chrome et non Edge ce qui a notre avis un choix discutable pour les éditeurs car nous ne pouvons analyser les différences avec Chrome mais sans importance pour l'utilisateur final.

La 1ère analyse de CEO-Vision montre que ces failles touchant le composant SORL d'Alfresco ne peuvent être exploitées sur GoFAST. Nous donnerons des détails si nécessaire dans les jours qui viennent

Réf:
https://nvd.nist.gov/vuln/detail/CVE-2019-14224 (CVSS v3.0: 7.2 HIGH
https://nvd.nist.gov/vuln/detail/CVE-2019-14222 (CVSS v3.0: 9.8 CRITICAL)

CEO-Vision S.A.S a testé les correctifs proposés et appliquera le correctif en GoFAST v3.4.1 (le niveau d'importance étant MEDIUM et non CRITICAL pour lesquels nous publions des HOTFIX pour les éditions "Enterprise")

A noter que des actions sont nécessaires chez l'hébergeur pour compléter le correctif :

• mise à jour de la couche de virtualisation
• mise à jour du microcode du CPU
• mise à jour du kernel
• optionnellement la désactivation de l'HyperThreading (étude d'impact performance à faire par l'hébergeur)
• reboot

Références (EN) :
https://nvd.nist.gov/vuln/detail/CVE-2018-3620
https://access.redhat.com/security/vulnerabilities/L1TF

L'Equipe Support GoFAST