Re: [tryton-fr] Loi de finance 2016 et Logiciels Libres (suite).
Le 10 août 2017 à 18:33, Richard PALOa écrit : > > Plutôt sur toutes les écritures validées. > http://bofip.impots.gouv.fr/bofip/2899-PGP.html sur le document que tu m'as indiqué, : page 20 L’archivage est effectué à la suite du traitement de clôture de chaque période ce n'est pas à ce propos que vous cherchez à valider l'intangibilité de chaque écriture, "sinon la comptabilité risque d'être déclarée non-probante". Je vous laisse bosser, j'aurai le temps de comprendre plus tard. -- Vous recevez ce message, car vous êtes abonné au groupe Google Groupes tryton-fr. Cette discussion peut être lue sur le Web à l'adresse https://groups.google.com/d/msgid/tryton-fr/CAHZrxK5c3oOkWzBmvORRyJe0yU7PdXun6XejWXsG5e3XP075aQ%40mail.gmail.com.
Re: [tryton-fr] Loi de finance 2016 et Logiciels Libres (suite).
Le 10 août 2017 à 18:33, Richard PALOa écrit : > Le 10/08/2017 à 17:42, Dominique Chabord a écrit : >> >> Le 10 août 2017 à 17:33, Richard PALO a écrit : >> >>> sinon la comptabilité risque d'être déclarée non-probante. >> >> >> Est ce que tu peux être plus précis sur ce que tu entends par là ? >> Je pensais que la compta de devait être probante que sur les périodes >> closes et qu'elle devait simplement correspondre aux pièces comptables >> archivées. >> Si j'ai faux, à quoi faut il veiller ? >> > > Plutôt sur toutes les écritures validées. > http://bofip.impots.gouv.fr/bofip/2899-PGP.html > > Pas mal d'infos à trouver sur la toile, dont: >> >> >> http://www.lacademie.info/evenements/les_conferences/cahier_n_20_le_controle_fiscal_informatise_comment_s_y_preparer > Je ne trouve pas ma réponse sur ces documents. Est-ce qu'on peut déclarer qu'une comptabilité est non-probante parce qu'on n'a pas mis en place de solution de non-modification comme celle que vous discutez ? -- Vous recevez ce message, car vous êtes abonné au groupe Google Groupes tryton-fr. Cette discussion peut être lue sur le Web à l'adresse https://groups.google.com/d/msgid/tryton-fr/CAHZrxK6kbf1xUm7LiMN_OTvakdc9jDdz_mnvhcWbrGMK3vYdGQ%40mail.gmail.com.
Re: [tryton-fr] Loi de finance 2016 et Logiciels Libres (suite).
Le 10/08/2017 à 17:42, Dominique Chabord a écrit : Le 10 août 2017 à 17:33, Richard PALOa écrit : sinon la comptabilité risque d'être déclarée non-probante. Est ce que tu peux être plus précis sur ce que tu entends par là ? Je pensais que la compta de devait être probante que sur les périodes closes et qu'elle devait simplement correspondre aux pièces comptables archivées. Si j'ai faux, à quoi faut il veiller ? Plutôt sur toutes les écritures validées. http://bofip.impots.gouv.fr/bofip/2899-PGP.html Pas mal d'infos à trouver sur la toile, dont: http://www.lacademie.info/evenements/les_conferences/cahier_n_20_le_controle_fiscal_informatise_comment_s_y_preparer -- Richard PALO -- Vous recevez ce message, car vous êtes abonné au groupe Google Groupes tryton-fr. Cette discussion peut être lue sur le Web à l'adresse https://groups.google.com/d/msgid/tryton-fr/3d08d3fe-2911-bf50-52fb-6520ea1a0c4a%40free.fr.
Re: [tryton-fr] Loi de finance 2016 et Logiciels Libres (suite).
On 2017-08-10 17:33, Richard PALO wrote: > Le 10/08/2017 à 16:21, Cédric Krier a écrit : > > On 2017-08-10 16:05, Cédric Krier wrote: > >> On 2017-08-10 14:47, Richard PALO wrote: > >>> Le 10/08/2017 à 10:22, Richard PALO a écrit : > un simple horodatage certifié (ISO/IEC 18014-3) ? > >>> > >>> pour ce cas plutôt simpliste, pourquoi pas servir de `openssl ts`? > >>> (avec la possibilité d'une autorité d'horodatage configurée localement) > >> > >> C'est encore mieux évidement si on peut réutiliser un standard (que je > >> ne connaissais pas). > > > > En fait, ça ne protège pas contre la suppression des derniers > > enregistrement signé. Il faut que le serveur de signature vérifie la > > non-rupture de la chaîne. > > > > En effet, j'ai réfléchi à cela. Je me suis dit qu'il existe plusieurs cas > de figure dont le cas d'une simple restauration depuis une sauvegarde d'une > base après une panne de quelque sorte. > > Ce sera incompréhensible si votre tiers vous met dans une situation où il > serait impossible (ou bien très difficile) de reprendre votre comptabilité. > > Je pense qu'il existe des possibilités à évaluer comment éviter (ou au moins > permettre à détecter) cette sorte de malveillance. > > Hélas, une fois détecté .. une restauration depuis une sauvegarde encore > valable > s'impose ainsi que la nécessité de reprendre les écritures perdues... > sinon la comptabilité risque d'être déclarée non-probante. Après une seconde réfection, je pense que ce ne sera pas un réel problème d'attester une solution à base de "timestamping". Car soit c'est le cas d'une restauration après crash et donc un honnête utilisateur va réencoder les écritures manquantes qui auront un timestamp décaler (voir même avec un très petit intervalle). Dans un tel cas, il pourra se justifier par rapport au crash etc. Soit c'est un utilisateur malhonnête qui a mis en place du code qui supprime certaine écriture et re-fait le chaînage avec un nouveau timestamp. Dans ce cas, il y aura une incohérence importante entre les dates des mouvements et le timestamp qu'il ne pourra pas justifier. Et vis-a-vis de l'attestation, on pourra l'invalider sous prétexte que l'utilisateur a mis en place un contournement des protections. Donc il faudra pouvoir présenter une vérification basé sur des anomalies de décalage dans les timestamps. -- Cédric Krier - B2CK SPRL Email/Jabber: cedric.kr...@b2ck.com Tel: +32 472 54 46 59 Website: http://www.b2ck.com/ -- Vous recevez ce message, car vous êtes abonné au groupe Google Groupes tryton-fr. Cette discussion peut être lue sur le Web à l'adresse https://groups.google.com/d/msgid/tryton-fr/20170810162006.GG3701%40kei.
Re: [tryton-fr] Loi de finance 2016 et Logiciels Libres (suite).
On 2017-08-10 16:42, Richard PALO wrote: > Le 10/08/2017 à 16:05, Cédric Krier a écrit : > > On 2017-08-10 14:47, Richard PALO wrote: > >> Le 10/08/2017 à 10:22, Richard PALO a écrit : > >>> un simple horodatage certifié (ISO/IEC 18014-3) ? > >> > >> pour ce cas plutôt simpliste, pourquoi pas servir de `openssl ts`? > >> (avec la possibilité d'une autorité d'horodatage configurée localement) > > > > C'est encore mieux évidement si on peut réutiliser un standard (que je > > ne connaissais pas). > > Les points manquants sont: > > > > - openssl ne gère pas l'envoie des requêtes/réponses. > > > > Un simple site web avec authentification devrait faire l'affaire. > > > > - cryptography n'a pas de binding pour cette interface > >(https://cryptography.io/en/latest/hazmat/backends/openssl/) > > > > Il faudra soit le proposer à cryptography. Par expérience le projet est > > assez ouvert (j'y ai déjà contribué: > > https://github.com/pyca/cryptography/commits?author=cedk). > > Soit il faudra appeler les commandes via subprocess mais ça rendrait le > > déploiement plus compliqué et moins portable (Windows, MacOSX, etc.). > > > > > > > mais le certificat peut être auto-signé: > > https://superuser.com/questions/738612/openssl-ca-keyusage-extension > qui évite, dans ce cas, la nécessité d'envoyer la requête. Ça n'a pas d'intérêt de s'auto-signé. Il faut justement avoir un tier de confiance. Après évidement ce tiers de confiance pourrait utiliser un certificat auto-signé. -- Cédric Krier - B2CK SPRL Email/Jabber: cedric.kr...@b2ck.com Tel: +32 472 54 46 59 Website: http://www.b2ck.com/ -- Vous recevez ce message, car vous êtes abonné au groupe Google Groupes tryton-fr. Cette discussion peut être lue sur le Web à l'adresse https://groups.google.com/d/msgid/tryton-fr/20170810154040.GF3701%40kei.
Re: [tryton-fr] Loi de finance 2016 et Logiciels Libres (suite).
Le 10 août 2017 à 17:33, Richard PALOa écrit : > sinon la comptabilité risque d'être déclarée non-probante. Est ce que tu peux être plus précis sur ce que tu entends par là ? Je pensais que la compta de devait être probante que sur les périodes closes et qu'elle devait simplement correspondre aux pièces comptables archivées. Si j'ai faux, à quoi faut il veiller ? -- Vous recevez ce message, car vous êtes abonné au groupe Google Groupes tryton-fr. Cette discussion peut être lue sur le Web à l'adresse https://groups.google.com/d/msgid/tryton-fr/CAHZrxK4-5aS%3DBMRM_OHXn5yPk9nG0E-gD-aGKOyGvY0nwDs6EA%40mail.gmail.com.
Re: [tryton-fr] Loi de finance 2016 et Logiciels Libres (suite).
Le 10/08/2017 à 16:21, Cédric Krier a écrit : On 2017-08-10 16:05, Cédric Krier wrote: On 2017-08-10 14:47, Richard PALO wrote: Le 10/08/2017 à 10:22, Richard PALO a écrit : un simple horodatage certifié (ISO/IEC 18014-3) ? pour ce cas plutôt simpliste, pourquoi pas servir de `openssl ts`? (avec la possibilité d'une autorité d'horodatage configurée localement) C'est encore mieux évidement si on peut réutiliser un standard (que je ne connaissais pas). En fait, ça ne protège pas contre la suppression des derniers enregistrement signé. Il faut que le serveur de signature vérifie la non-rupture de la chaîne. En effet, j'ai réfléchi à cela. Je me suis dit qu'il existe plusieurs cas de figure dont le cas d'une simple restauration depuis une sauvegarde d'une base après une panne de quelque sorte. Ce sera incompréhensible si votre tiers vous met dans une situation où il serait impossible (ou bien très difficile) de reprendre votre comptabilité. Je pense qu'il existe des possibilités à évaluer comment éviter (ou au moins permettre à détecter) cette sorte de malveillance. Hélas, une fois détecté .. une restauration depuis une sauvegarde encore valable s'impose ainsi que la nécessité de reprendre les écritures perdues... sinon la comptabilité risque d'être déclarée non-probante. cordialement, -- Richard PALO -- Vous recevez ce message, car vous êtes abonné au groupe Google Groupes tryton-fr. Cette discussion peut être lue sur le Web à l'adresse https://groups.google.com/d/msgid/tryton-fr/b89f95db-8a63-aeed-eb9a-92eddd1b8118%40free.fr.
Re: [tryton-fr] Loi de finance 2016 et Logiciels Libres (suite).
Le 10/08/2017 à 16:05, Cédric Krier a écrit : On 2017-08-10 14:47, Richard PALO wrote: Le 10/08/2017 à 10:22, Richard PALO a écrit : un simple horodatage certifié (ISO/IEC 18014-3) ? pour ce cas plutôt simpliste, pourquoi pas servir de `openssl ts`? (avec la possibilité d'une autorité d'horodatage configurée localement) C'est encore mieux évidement si on peut réutiliser un standard (que je ne connaissais pas). Les points manquants sont: - openssl ne gère pas l'envoie des requêtes/réponses. Un simple site web avec authentification devrait faire l'affaire. - cryptography n'a pas de binding pour cette interface (https://cryptography.io/en/latest/hazmat/backends/openssl/) Il faudra soit le proposer à cryptography. Par expérience le projet est assez ouvert (j'y ai déjà contribué: https://github.com/pyca/cryptography/commits?author=cedk). Soit il faudra appeler les commandes via subprocess mais ça rendrait le déploiement plus compliqué et moins portable (Windows, MacOSX, etc.). mais le certificat peut être auto-signé: https://superuser.com/questions/738612/openssl-ca-keyusage-extension qui évite, dans ce cas, la nécessité d'envoyer la requête. Sinon, il faut bien envoyer la requete à une autorité d'horodatage (TSA) comme dans cet exemple:> http://unmitigatedrisk.com/?p=395 DuckDuckGo (ou g$ggle): openssl timestamp extendedKeyUsage -- Richard PALO -- Vous recevez ce message, car vous êtes abonné au groupe Google Groupes tryton-fr. Cette discussion peut être lue sur le Web à l'adresse https://groups.google.com/d/msgid/tryton-fr/45973487-d9c8-9375-ff56-4cf79772eb00%40free.fr.
Re: [tryton-fr] Loi de finance 2016 et Logiciels Libres (suite).
On 2017-08-10 16:05, Cédric Krier wrote: > On 2017-08-10 14:47, Richard PALO wrote: > > Le 10/08/2017 à 10:22, Richard PALO a écrit : > > > un simple horodatage certifié (ISO/IEC 18014-3) ? > > > > pour ce cas plutôt simpliste, pourquoi pas servir de `openssl ts`? > > (avec la possibilité d'une autorité d'horodatage configurée localement) > > C'est encore mieux évidement si on peut réutiliser un standard (que je > ne connaissais pas). En fait, ça ne protège pas contre la suppression des derniers enregistrement signé. Il faut que le serveur de signature vérifie la non-rupture de la chaîne. -- Cédric Krier - B2CK SPRL Email/Jabber: cedric.kr...@b2ck.com Tel: +32 472 54 46 59 Website: http://www.b2ck.com/ -- Vous recevez ce message, car vous êtes abonné au groupe Google Groupes tryton-fr. Cette discussion peut être lue sur le Web à l'adresse https://groups.google.com/d/msgid/tryton-fr/20170810142129.GD3701%40kei.
Re: [tryton-fr] Loi de finance 2016 et Logiciels Libres (suite).
On 2017-08-10 14:47, Richard PALO wrote: > Le 10/08/2017 à 10:22, Richard PALO a écrit : > > un simple horodatage certifié (ISO/IEC 18014-3) ? > > pour ce cas plutôt simpliste, pourquoi pas servir de `openssl ts`? > (avec la possibilité d'une autorité d'horodatage configurée localement) C'est encore mieux évidement si on peut réutiliser un standard (que je ne connaissais pas). Les points manquants sont: - openssl ne gère pas l'envoie des requêtes/réponses. Un simple site web avec authentification devrait faire l'affaire. - cryptography n'a pas de binding pour cette interface (https://cryptography.io/en/latest/hazmat/backends/openssl/) Il faudra soit le proposer à cryptography. Par expérience le projet est assez ouvert (j'y ai déjà contribué: https://github.com/pyca/cryptography/commits?author=cedk). Soit il faudra appeler les commandes via subprocess mais ça rendrait le déploiement plus compliqué et moins portable (Windows, MacOSX, etc.). -- Cédric Krier - B2CK SPRL Email/Jabber: cedric.kr...@b2ck.com Tel: +32 472 54 46 59 Website: http://www.b2ck.com/ -- Vous recevez ce message, car vous êtes abonné au groupe Google Groupes tryton-fr. Cette discussion peut être lue sur le Web à l'adresse https://groups.google.com/d/msgid/tryton-fr/20170810140528.GC3701%40kei.
Re: [tryton-fr] Loi de finance 2016 et Logiciels Libres (suite).
Le 10/08/2017 à 10:22, Richard PALO a écrit : un simple horodatage certifié (ISO/IEC 18014-3) ? pour ce cas plutôt simpliste, pourquoi pas servir de `openssl ts`? (avec la possibilité d'une autorité d'horodatage configurée localement) -- Richard PALO -- Vous recevez ce message, car vous êtes abonné au groupe Google Groupes tryton-fr. Cette discussion peut être lue sur le Web à l'adresse https://groups.google.com/d/msgid/tryton-fr/5697b823-2d77-173d-953f-c646eae68bf6%40free.fr.