Re: [tryton-fr] Loi de finance 2016 et Logiciels Libres (suite).

[Dominique Chabord]

Le 10 août 2017 à 18:33, Richard PALO  a écrit :
>
> Plutôt sur toutes les écritures validées.
> http://bofip.impots.gouv.fr/bofip/2899-PGP.html


sur le document que tu m'as indiqué, :
page 20
L’archivage est effectué à la suite du traitement de clôture de chaque période

ce n'est pas à ce propos que vous cherchez à valider l'intangibilité
de chaque écriture, "sinon la comptabilité risque d'être déclarée
non-probante".

Je vous laisse bosser, j'aurai le temps de comprendre plus tard.

-- 
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes 
tryton-fr.
Cette discussion peut être lue sur le Web à l'adresse 
https://groups.google.com/d/msgid/tryton-fr/CAHZrxK5c3oOkWzBmvORRyJe0yU7PdXun6XejWXsG5e3XP075aQ%40mail.gmail.com.

Re: [tryton-fr] Loi de finance 2016 et Logiciels Libres (suite).

[Dominique Chabord]

Le 10 août 2017 à 18:33, Richard PALO  a écrit :
> Le 10/08/2017 à 17:42, Dominique Chabord a écrit :
>>
>> Le 10 août 2017 à 17:33, Richard PALO  a écrit :
>>
>>> sinon la comptabilité risque d'être déclarée non-probante.
>>
>>
>> Est ce que tu peux être plus précis sur ce que tu entends par là ?
>> Je pensais que la compta de devait être probante que sur les périodes
>> closes et qu'elle devait simplement correspondre aux pièces comptables
>> archivées.
>> Si j'ai faux, à quoi faut il veiller ?
>>
>
> Plutôt sur toutes les écritures validées.
> http://bofip.impots.gouv.fr/bofip/2899-PGP.html
>
> Pas mal d'infos à trouver sur la toile, dont:
>>
>>
>> http://www.lacademie.info/evenements/les_conferences/cahier_n_20_le_controle_fiscal_informatise_comment_s_y_preparer
>

Je ne trouve pas ma réponse sur ces documents.
Est-ce qu'on peut déclarer qu'une comptabilité est non-probante parce
qu'on n'a pas mis en place de solution de non-modification comme celle
que vous discutez ?

-- 
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes 
tryton-fr.
Cette discussion peut être lue sur le Web à l'adresse 
https://groups.google.com/d/msgid/tryton-fr/CAHZrxK6kbf1xUm7LiMN_OTvakdc9jDdz_mnvhcWbrGMK3vYdGQ%40mail.gmail.com.

Re: [tryton-fr] Loi de finance 2016 et Logiciels Libres (suite).

[Richard PALO]

Le 10/08/2017 à 17:42, Dominique Chabord a écrit :

Le 10 août 2017 à 17:33, Richard PALO  a écrit :


sinon la comptabilité risque d'être déclarée non-probante.


Est ce que tu peux être plus précis sur ce que tu entends par là ?
Je pensais que la compta de devait être probante que sur les périodes
closes et qu'elle devait simplement correspondre aux pièces comptables
archivées.
Si j'ai faux, à quoi faut il veiller ?



Plutôt sur toutes les écritures validées.
http://bofip.impots.gouv.fr/bofip/2899-PGP.html

Pas mal d'infos à trouver sur la toile, dont:

http://www.lacademie.info/evenements/les_conferences/cahier_n_20_le_controle_fiscal_informatise_comment_s_y_preparer



--

Richard PALO

--
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes 
tryton-fr.
Cette discussion peut être lue sur le Web à l'adresse 
https://groups.google.com/d/msgid/tryton-fr/3d08d3fe-2911-bf50-52fb-6520ea1a0c4a%40free.fr.

Re: [tryton-fr] Loi de finance 2016 et Logiciels Libres (suite).

[Cédric Krier]

On 2017-08-10 17:33, Richard PALO wrote:
> Le 10/08/2017 à 16:21, Cédric Krier a écrit :
> > On 2017-08-10 16:05, Cédric Krier wrote:
> >> On 2017-08-10 14:47, Richard PALO wrote:
> >>> Le 10/08/2017 à 10:22, Richard PALO a écrit :
>  un simple horodatage certifié (ISO/IEC 18014-3) ?
> >>>
> >>> pour ce cas plutôt simpliste, pourquoi pas servir de `openssl ts`?
> >>> (avec la possibilité d'une autorité d'horodatage configurée localement)
> >>
> >> C'est encore mieux évidement si on peut réutiliser un standard (que je
> >> ne connaissais pas).
> > 
> > En fait, ça ne protège pas contre la suppression des derniers
> > enregistrement signé. Il faut que le serveur de signature vérifie la
> > non-rupture de la chaîne.
> > 
> 
> En effet, j'ai réfléchi à cela. Je me suis dit qu'il existe plusieurs cas
> de figure dont le cas d'une simple restauration depuis une sauvegarde d'une
> base après une panne de quelque sorte.
> 
> Ce sera incompréhensible si votre tiers vous met dans une situation où il
> serait impossible (ou bien très difficile) de reprendre votre comptabilité.
> 
> Je pense qu'il existe des possibilités à évaluer comment éviter (ou au moins
> permettre à détecter) cette sorte de malveillance.
> 
> Hélas, une fois détecté .. une restauration depuis une sauvegarde encore 
> valable
> s'impose ainsi que la nécessité de reprendre les écritures perdues...
> sinon la comptabilité risque d'être déclarée non-probante.

Après une seconde réfection, je pense que ce ne sera pas un réel
problème d'attester une solution à base de "timestamping".
Car soit c'est le cas d'une restauration après crash et donc un honnête
utilisateur va réencoder les écritures manquantes qui auront un
timestamp décaler (voir même avec un très petit intervalle). Dans un tel
cas, il pourra se justifier par rapport au crash etc.
Soit c'est un utilisateur malhonnête qui a mis en place du code qui
supprime certaine écriture et re-fait le chaînage avec un nouveau
timestamp. Dans ce cas, il y aura une incohérence importante entre les
dates des mouvements et le timestamp qu'il ne pourra pas justifier. Et
vis-a-vis de l'attestation, on pourra l'invalider sous prétexte que
l'utilisateur a mis en place un contournement des protections.
Donc il faudra pouvoir présenter une vérification basé sur des anomalies
de décalage dans les timestamps.

-- 
Cédric Krier - B2CK SPRL
Email/Jabber: cedric.kr...@b2ck.com
Tel: +32 472 54 46 59
Website: http://www.b2ck.com/

-- 
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes 
tryton-fr.
Cette discussion peut être lue sur le Web à l'adresse 
https://groups.google.com/d/msgid/tryton-fr/20170810162006.GG3701%40kei.

Re: [tryton-fr] Loi de finance 2016 et Logiciels Libres (suite).

[Cédric Krier]

On 2017-08-10 16:42, Richard PALO wrote:
> Le 10/08/2017 à 16:05, Cédric Krier a écrit :
> > On 2017-08-10 14:47, Richard PALO wrote:
> >> Le 10/08/2017 à 10:22, Richard PALO a écrit :
> >>> un simple horodatage certifié (ISO/IEC 18014-3) ?
> >>
> >> pour ce cas plutôt simpliste, pourquoi pas servir de `openssl ts`?
> >> (avec la possibilité d'une autorité d'horodatage configurée localement)
> > 
> > C'est encore mieux évidement si on peut réutiliser un standard (que je
> > ne connaissais pas).
> > Les points manquants sont:
> > 
> >  - openssl ne gère pas l'envoie des requêtes/réponses.
> > 
> > Un simple site web avec authentification devrait faire l'affaire.
> > 
> >  - cryptography n'a pas de binding pour cette interface
> >(https://cryptography.io/en/latest/hazmat/backends/openssl/)
> > 
> > Il faudra soit le proposer à cryptography. Par expérience le projet est
> > assez ouvert (j'y ai déjà contribué:
> > https://github.com/pyca/cryptography/commits?author=cedk).
> > Soit il faudra appeler les commandes via subprocess mais ça rendrait le
> > déploiement plus compliqué et moins portable (Windows, MacOSX, etc.).
> > 
> > 
> 
> 
> mais le certificat peut être auto-signé:
> > https://superuser.com/questions/738612/openssl-ca-keyusage-extension
> qui évite, dans ce cas, la nécessité d'envoyer la requête.

Ça n'a pas d'intérêt de s'auto-signé. Il faut justement avoir un tier de
confiance.
Après évidement ce tiers de confiance pourrait utiliser un certificat
auto-signé.

-- 
Cédric Krier - B2CK SPRL
Email/Jabber: cedric.kr...@b2ck.com
Tel: +32 472 54 46 59
Website: http://www.b2ck.com/

-- 
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes 
tryton-fr.
Cette discussion peut être lue sur le Web à l'adresse 
https://groups.google.com/d/msgid/tryton-fr/20170810154040.GF3701%40kei.

Re: [tryton-fr] Loi de finance 2016 et Logiciels Libres (suite).

[Dominique Chabord]

Le 10 août 2017 à 17:33, Richard PALO  a écrit :

> sinon la comptabilité risque d'être déclarée non-probante.

Est ce que tu peux être plus précis sur ce que tu entends par là ?
Je pensais que la compta de devait être probante que sur les périodes
closes et qu'elle devait simplement correspondre aux pièces comptables
archivées.
Si j'ai faux, à quoi faut il veiller ?

-- 
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes 
tryton-fr.
Cette discussion peut être lue sur le Web à l'adresse 
https://groups.google.com/d/msgid/tryton-fr/CAHZrxK4-5aS%3DBMRM_OHXn5yPk9nG0E-gD-aGKOyGvY0nwDs6EA%40mail.gmail.com.

Re: [tryton-fr] Loi de finance 2016 et Logiciels Libres (suite).

[Richard PALO]

Le 10/08/2017 à 16:21, Cédric Krier a écrit :

On 2017-08-10 16:05, Cédric Krier wrote:

On 2017-08-10 14:47, Richard PALO wrote:

Le 10/08/2017 à 10:22, Richard PALO a écrit :

un simple horodatage certifié (ISO/IEC 18014-3) ?


pour ce cas plutôt simpliste, pourquoi pas servir de `openssl ts`?
(avec la possibilité d'une autorité d'horodatage configurée localement)


C'est encore mieux évidement si on peut réutiliser un standard (que je
ne connaissais pas).


En fait, ça ne protège pas contre la suppression des derniers
enregistrement signé. Il faut que le serveur de signature vérifie la
non-rupture de la chaîne.



En effet, j'ai réfléchi à cela. Je me suis dit qu'il existe plusieurs cas
de figure dont le cas d'une simple restauration depuis une sauvegarde d'une
base après une panne de quelque sorte.

Ce sera incompréhensible si votre tiers vous met dans une situation où il
serait impossible (ou bien très difficile) de reprendre votre comptabilité.

Je pense qu'il existe des possibilités à évaluer comment éviter (ou au moins
permettre à détecter) cette sorte de malveillance.

Hélas, une fois détecté .. une restauration depuis une sauvegarde encore valable
s'impose ainsi que la nécessité de reprendre les écritures perdues...
sinon la comptabilité risque d'être déclarée non-probante.

cordialement,

--

Richard PALO

--
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes 
tryton-fr.
Cette discussion peut être lue sur le Web à l'adresse 
https://groups.google.com/d/msgid/tryton-fr/b89f95db-8a63-aeed-eb9a-92eddd1b8118%40free.fr.

Re: [tryton-fr] Loi de finance 2016 et Logiciels Libres (suite).

[Richard PALO]

Le 10/08/2017 à 16:05, Cédric Krier a écrit :

On 2017-08-10 14:47, Richard PALO wrote:

Le 10/08/2017 à 10:22, Richard PALO a écrit :

un simple horodatage certifié (ISO/IEC 18014-3) ?


pour ce cas plutôt simpliste, pourquoi pas servir de `openssl ts`?
(avec la possibilité d'une autorité d'horodatage configurée localement)


C'est encore mieux évidement si on peut réutiliser un standard (que je
ne connaissais pas).
Les points manquants sont:

 - openssl ne gère pas l'envoie des requêtes/réponses.

Un simple site web avec authentification devrait faire l'affaire.

 - cryptography n'a pas de binding pour cette interface
   (https://cryptography.io/en/latest/hazmat/backends/openssl/)

Il faudra soit le proposer à cryptography. Par expérience le projet est
assez ouvert (j'y ai déjà contribué:
https://github.com/pyca/cryptography/commits?author=cedk).
Soit il faudra appeler les commandes via subprocess mais ça rendrait le
déploiement plus compliqué et moins portable (Windows, MacOSX, etc.).





mais le certificat peut être auto-signé:

https://superuser.com/questions/738612/openssl-ca-keyusage-extension

qui évite, dans ce cas, la nécessité d'envoyer la requête.

Sinon, il faut bien envoyer la requete à une autorité d'horodatage (TSA)
comme dans cet exemple:> http://unmitigatedrisk.com/?p=395

DuckDuckGo (ou g$ggle): openssl  timestamp extendedKeyUsage

--

Richard PALO

--
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes 
tryton-fr.
Cette discussion peut être lue sur le Web à l'adresse 
https://groups.google.com/d/msgid/tryton-fr/45973487-d9c8-9375-ff56-4cf79772eb00%40free.fr.

Re: [tryton-fr] Loi de finance 2016 et Logiciels Libres (suite).

[Cédric Krier]

On 2017-08-10 16:05, Cédric Krier wrote:
> On 2017-08-10 14:47, Richard PALO wrote:
> > Le 10/08/2017 à 10:22, Richard PALO a écrit :
> > > un simple horodatage certifié (ISO/IEC 18014-3) ?
> > 
> > pour ce cas plutôt simpliste, pourquoi pas servir de `openssl ts`?
> > (avec la possibilité d'une autorité d'horodatage configurée localement)
> 
> C'est encore mieux évidement si on peut réutiliser un standard (que je
> ne connaissais pas).

En fait, ça ne protège pas contre la suppression des derniers
enregistrement signé. Il faut que le serveur de signature vérifie la
non-rupture de la chaîne.

-- 
Cédric Krier - B2CK SPRL
Email/Jabber: cedric.kr...@b2ck.com
Tel: +32 472 54 46 59
Website: http://www.b2ck.com/

-- 
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes 
tryton-fr.
Cette discussion peut être lue sur le Web à l'adresse 
https://groups.google.com/d/msgid/tryton-fr/20170810142129.GD3701%40kei.

Re: [tryton-fr] Loi de finance 2016 et Logiciels Libres (suite).

[Cédric Krier]

On 2017-08-10 14:47, Richard PALO wrote:
> Le 10/08/2017 à 10:22, Richard PALO a écrit :
> > un simple horodatage certifié (ISO/IEC 18014-3) ?
> 
> pour ce cas plutôt simpliste, pourquoi pas servir de `openssl ts`?
> (avec la possibilité d'une autorité d'horodatage configurée localement)

C'est encore mieux évidement si on peut réutiliser un standard (que je
ne connaissais pas).
Les points manquants sont:

- openssl ne gère pas l'envoie des requêtes/réponses.

Un simple site web avec authentification devrait faire l'affaire.

- cryptography n'a pas de binding pour cette interface
  (https://cryptography.io/en/latest/hazmat/backends/openssl/)

Il faudra soit le proposer à cryptography. Par expérience le projet est
assez ouvert (j'y ai déjà contribué:
https://github.com/pyca/cryptography/commits?author=cedk).
Soit il faudra appeler les commandes via subprocess mais ça rendrait le
déploiement plus compliqué et moins portable (Windows, MacOSX, etc.).


-- 
Cédric Krier - B2CK SPRL
Email/Jabber: cedric.kr...@b2ck.com
Tel: +32 472 54 46 59
Website: http://www.b2ck.com/

-- 
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes 
tryton-fr.
Cette discussion peut être lue sur le Web à l'adresse 
https://groups.google.com/d/msgid/tryton-fr/20170810140528.GC3701%40kei.

Re: [tryton-fr] Loi de finance 2016 et Logiciels Libres (suite).

[Richard PALO]

Le 10/08/2017 à 10:22, Richard PALO a écrit :

un simple horodatage certifié (ISO/IEC 18014-3) ?


pour ce cas plutôt simpliste, pourquoi pas servir de `openssl ts`?
(avec la possibilité d'une autorité d'horodatage configurée localement)


--

Richard PALO

--
Vous recevez ce message, car vous êtes abonné au groupe Google Groupes 
tryton-fr.
Cette discussion peut être lue sur le Web à l'adresse 
https://groups.google.com/d/msgid/tryton-fr/5697b823-2d77-173d-953f-c646eae68bf6%40free.fr.