Comment distinguer un vrai WRPAC de production d'un certificat de bac à sable

Le WRPAC — Wallet-Relying Party Access Certificate — se trouve au centre de toute intégration technique relevant du règlement (UE) 2025/848. Sans lui, votre application ne peut pas s'authentifier auprès d'un EUDI Wallet. Avec le mauvais type de certificat, vous disposez d'un certificat qui en a l'apparence, mais qui ne peut pas être publiquement vérifié comme chaînant vers un prestataire publié et mandaté. Cette distinction compte — et aujourd'hui, en mai 2026, elle compte davantage que la plupart des fournisseurs ne vous le diront.

Pourquoi c'est important maintenant

Il n'existe pas encore de liste publique des prestataires WRPAC autorisés. À la fin mai 2026, le tableau de bord eIDAS indique que la liste des prestataires WRPAC n'est pas publiée. Ce n'est ni un retard, ni un oubli, ni l'échec de qui que ce soit : le règlement s'applique à partir du 24 décembre 2026, et l'écosystème assemble encore l'infrastructure qui le portera. Mais cela crée un risque spécifique et concret pour les parties utilisatrices qui évaluent les offres du marché.

Comme la liste n'est pas servie publiquement, il n'existe aucun moyen pour un acheteur — ou pour un tiers — de confirmer qu'un certificat proposé comme « WRPAC de production » chaîne effectivement vers un prestataire mandaté par un État membre. La chaîne se termine soit sur une autorité de certification listée et mandatée, soit elle ne le fait pas. À ce stade, cette vérification ne peut pas être menée contre une source publiée. Quiconque commercialise aujourd'hui un WRPAC de production vous demande d'accepter sa parole sur un fait qui ne peut pas encore être vérifié de façon indépendante.

Nous avons traité en détail l'état actuel de cette lacune dans Aucune liste de prestataires WRPAC publiée pour l'instant — ce que cela signifie avant décembre 2026. Cet article explique comment vérifier un WRPAC lorsque cette liste existera — et pourquoi la même logique expose toutes les affirmations formulées aujourd'hui.

La chaîne de vérification qui définit un vrai WRPAC

Un WRPAC de production n'est pas simplement un certificat X.509 émis par une partie qui affirme être autorisée. Trois conditions doivent être réunies en même temps, et chacune est vérifiable indépendamment.

Premièrement : le certificat doit chaîner vers une liste de confiance publiée, européenne ou nationale. Le règlement (UE) 2025/848 établit le format technique du WRPAC par l'article 7 et l'annexe IV, tandis que l'article 7, paragraphe 1, impose à chaque État membre d'autoriser au moins une autorité de certification à émettre des WRPAC. Un certificat qui se termine sur une AC racine absente de l'infrastructure de listes de confiance publiée pertinente ne peut pas être traité comme un WRPAC de production, quoi que prétende l'émetteur.

Deuxièmement : le tableau de bord eIDAS doit indiquer que la liste des prestataires WRPAC est publiée. Le drapeau de publication du tableau de bord est le signal faisant autorité que la liste des prestataires mandatés est en ligne et vérifiable. Tant que ce drapeau indique non publié, la chaîne ne peut pas être vérifiée de bout en bout. Il n'existe pas de contournement : un certificat peut exister et même être techniquement bien formé, mais le lien entre l'émetteur de ce certificat et le mandat d'un État membre ne peut pas être confirmé.

Troisièmement : l'émetteur doit être un prestataire mandaté par un État membre. L'article 2, paragraphe 11, du règlement (UE) 2025/848 définit un prestataire de WRPAC comme une personne physique ou morale mandatée par un État membre pour émettre des WRPAC aux parties utilisatrices. L'article 2, paragraphe 12, définit le WRPAC lui-même. L'autorisation de l'État membre au titre de l'article 7, paragraphe 1, est la base juridique qui permet de faire confiance au certificat. Un prestataire qui n'a été mandaté par aucun État membre n'entre pas dans cette définition, indépendamment de toute auto-certification ou revendication commerciale.

Ces trois conditions forment une seule chaîne. Rompez un maillon, et le certificat ne peut pas être traité comme un WRPAC de production.

Comment le vérifier vous-même

Lorsque la liste des prestataires sera publiée, la procédure de vérification sera simple. Commencez par le tableau de bord eIDAS et vérifiez le statut de publication de la liste WRPAC. Le tableau de bord agrège les données des listes de confiance des États membres ; lorsque le drapeau passe de « non publié » à publié, vous avez confirmation que l'infrastructure est opérationnelle.

Ensuite, interrogez directement le point d'accès des prestataires WRPAC. Ce point d'accès servira la liste des prestataires autorisés et mandatés une fois la publication active. Vous cherchez à voir l'AC émettrice de votre certificat apparaître dans cette liste.

Enfin, vérifiez la chaîne de certificats elle-même. Avec des outils PKI standard, OpenSSL ou équivalent, remontez la chaîne depuis votre WRPAC à travers les éventuels intermédiaires jusqu'à l'AC racine. Cette racine doit correspondre à une AC présente dans la liste publiée des prestataires. Si la chaîne se termine ailleurs — sur une racine privée, sur une AC absente de la liste, ou sur quoi que ce soit d'autre que la racine d'un prestataire mandaté — le certificat ne qualifie pas comme WRPAC de production au sens du règlement.

Documentez cette vérification et conservez la sortie. Lorsque les autorités de supervision commenceront à faire appliquer le cadre après décembre 2026, pouvoir démontrer que vous avez exercé une diligence raisonnable sur votre source de WRPAC comptera.

Signaux d'alerte

Un fournisseur qui revendique un WRPAC de production avant la publication de la liste. C'est le signal d'alerte central. L'affirmation n'est pas nécessairement malhonnête : le prestataire peut croire sincèrement que son AC sera finalement mandatée. Mais elle est invérifiable aujourd'hui. Acheter sur cette base revient à accepter une assurance invérifiable. Le risque réglementaire repose sur vous, la partie utilisatrice.

Un certificat qui ne chaîne vers aucune liste de confiance publiée. C'est un échec PKI avant d'être un échec réglementaire. Un certificat provenant d'une AC absente de l'infrastructure de listes de confiance pertinente ne peut pas établir la chaîne requise pour un WRPAC de production. Vérifiez la chaîne avant d'accepter un certificat pour un usage d'intégration.

Le terme « mandaté » affirmé sans source d'État membre vérifiable. Demandez à tout fournisseur quel État membre l'a mandaté et sur quelle base juridique — acte national, décision ministérielle ou avis de supervision — repose ce mandat. S'il ne peut pas pointer vers une source publique et traçable, l'affirmation n'est pas vérifiable. « Nous discutons avec des États membres » et « nous pensons être mandatés » ne sont pas équivalents à « nous sommes mandatés par [État membre] au titre de [acte juridique] ».

Une tarification ou un packaging qui suggère une préparation production sans l'étayer. Les certificats de bac à sable sont des produits légitimes et utiles. Ils ne deviennent problématiques que lorsqu'ils sont vendus — ou positionnés — comme des WRPAC de production. Si un fournisseur emballe un certificat avec des engagements de niveau de service et des prix de niveau production mais ne peut pas étayer les trois conditions ci-dessus, traitez-le comme un certificat de bac à sable jusqu'à vérification.

À quoi servent légitimement les certificats de bac à sable

Les certificats de bac à sable ont un rôle important et légitime. La fenêtre de prépublication — la période entre maintenant et la date d'application de décembre 2026 — est précisément le moment où les parties utilisatrices doivent intégrer, tester et qualifier leurs implémentations. Faire ce travail sans aucune infrastructure de certificats serait impraticable.

Le bac à sable EUDI Wallet officiel de l'Allemagne, opéré par SPRIND depuis décembre 2025, fournit un environnement de référence exactement pour ce type de test d'intégration. Le playground France Identité offre une fonction similaire pour les implémentations françaises de portefeuille. Ce ne sont pas des contournements ; ce sont les chemins de test prévus pendant la période précédant la mise en ligne de l'infrastructure de production.

Un certificat de bac à sable vous permet de construire vos flux de requête WRPAC, de valider votre implémentation OpenID4VP avec des implémentations de référence de portefeuilles, de tester votre logique de traitement des attributs et de préparer votre dossier d'enregistrement — tout cela avant même qu'un seul WRPAC de production ait été émis à qui que ce soit. C'est un travail utile, et le certificat qui le supporte est un produit légitime.

Le problème est spécifique : un certificat de bac à sable présenté à tort comme un WRPAC de production. Un certificat émis dans un environnement de bac à sable, par une AC qui n'est pas mandatée au titre de l'article 2, paragraphe 11, ne peut pas authentifier votre application auprès d'un EUDI Wallet de production. Il n'est pas conçu pour cela. Utiliser un certificat de bac à sable en production est une défaillance technique ; en acheter un en croyant qu'il est de niveau production est une défaillance d'achat. Les deux sont évitables.

La règle

N'achetez pas et ne commercialisez pas un certificat actuel comme WRPAC de production, sauf s'il chaîne vers un prestataire publié et mandaté — et si cette chaîne peut être vérifiée indépendamment par rapport à la liste publiée des prestataires.

Cette règle n'est pas un détail technique. Elle constitue la substance de ce que le règlement exige. L'article 7, paragraphe 1, du règlement (UE) 2025/848 place l'obligation d'autorisation sur les États membres, tandis que l'article 7 et l'annexe IV définissent les exigences d'émission des WRPAC. La partie utilisatrice conserve le risque opérationnel lié à l'usage d'un certificat non conforme. Si votre WRPAC ne satisfait pas la chaîne à trois conditions décrite ci-dessus, votre intégration de portefeuille ne dispose pas d'un mécanisme d'authentification conforme.

Tant que la liste des prestataires n'est pas publiée, la position correcte est la suivante : il n'existe pas de chemin WRPAC de production public et vérifiable. Planifiez en conséquence : utilisez les environnements de bac à sable pour le travail d'intégration, mais ne traitez pas les certificats de bac à sable comme des actifs de production, et n'acceptez pas les affirmations de fournisseurs sur une préparation production qui ne peuvent pas être vérifiées contre une source publique.

Ce qu'il faut surveiller

Deux événements changeront l'image.

Le drapeau de publication du tableau de bord eIDAS. Lorsque le tableau de bord passera d'une liste WRPAC indiquée comme non publiée à une liste indiquée comme publiée, la première moitié de la chaîne de vérification deviendra possible. Mettez en place une surveillance du tableau de bord eIDAS et du point d'accès des prestataires. Ce sont les signaux faisant autorité, pas les annonces de fournisseurs.

La nomination par un État membre d'une AC mandatée pour émettre des WRPAC. Le mandat au titre de l'article 2, paragraphe 11, découle d'une décision d'État membre. Lorsque n'importe quel État membre désignera publiquement une autorité de certification ou un autre prestataire comme mandaté pour émettre des WRPAC, ce sera le moment où la seconde moitié de la chaîne deviendra vérifiable. Surveillez les annonces des autorités nationales de supervision et les mises à jour des listes de confiance nationales : ce sont les sources amont qui alimentent le tableau de bord eIDAS et le point d'accès des prestataires.

Aucun de ces deux événements n'a eu lieu au moment de la rédaction. Lorsqu'ils auront tous deux eu lieu, la procédure de vérification décrite dans cet article deviendra exécutable. D'ici là, elle sert de cadre pour évaluer tout certificat qui vous est proposé — et pour comprendre exactement ce qui manque dans toute revendication de préparation production rencontrée sur le marché.

Articles similaires

Aucun pays de l'UE n'a encore publié de liste de prestataires WRPAC — ce que cela change pour votre échéance de décembre 2026

À la fin mai 2026, les listes officielles d'entités de confiance de l'UE ne sont pas publiées : le tableau de bord eIDAS indique que le WRPAC n'est pas publié et la liste des prestataires n'est pas servie publiquement. Voici pourquoi c'est prévu ainsi, et ce que cela change pour votre planification de décembre 2026.

8 min de lecture

Enregistrement eIDAS 2.0 des parties utilisatrices : le guide complet

Tout ce qu'il faut savoir pour vous enregistrer comme partie utilisatrice au titre de l'article 5b du règlement eIDAS 2024/1183.

12 min de lecture