Depuis la publication du décret d’application 272 du 30 mars 2001, la signature électronique a la même valeur légale que la signature manuscrite et « l’écrit électronique a la force probante de l’écrit sur support papier ». Les entreprises peuvent donc sécuriser tous leurs échanges sur Internet : transactions, e-mails, contrats, notes de services, etc. Selon la loi, la signature électronique doit identifier clairement le signataire, ainsi qu’être créée et conservée dans des conditions de nature à garantir son intégrité. Elle doit en outre être liée de façon indéfectible à qui l’utilise.
Utilisation : trois niveaux de sécurité garantis
En garantissant trois niveaux de sécurité (l’authentification, l’intégrité et la non-répudiation), la signature électronique introduit la notion de preuve légale dans les échanges dématérialisés. Elle confirme que l’entité qui s’identifie est bien ce qu’elle prétend être, que le message reçu est bien celui qui a été envoyé, qu’il n’a subi aucune altération, et empêche l’expéditeur de nier avoir envoyé le message et, symétriquement, le destinataire de l’avoir reçu. Pour accélérer l’adoption de cette technique, le ministère de l’Économie, des Finances et de l’Industrie (Minefi) a mis au point la procédure Télétv@, qui oblige les entreprises, dont le chiffre d’affaires dépasse 15,24 millions d’euros, à régler leur TVA en ligne depuis janvier 2002.
Principe de fonctionnement : un processus fondé sur une PKI
La signature électronique se fonde sur des processus définis dits de hachage et de chiffrement asymétrique. À l’inverse d’un système symétrique, elle exploite deux clés : l’une, privée, permet de signer les messages, et l’autre, publique, de vérifier l’authenticité de la signature. Les algorithmes utilisés sont censés garantir l’impossibilité de déduire la clé privée à partir de la clé publique. Si le principe est simple, sa mise en oeuvre, en revanche, reste complexe et coûteuse. Pour ce faire, il s’agit de distinguer l’Autorité d’enregistrement des clés privées (AE) et des certificats, l’entreprise le plus souvent, et l’Autorité de certification (AC). La seconde joue un rôle prépondérant : elle délivre les certificats et permet à des entreprises d’échanger des clés publiques. La valeur probante de la signature dépend donc à la fois de l’intervention de l’AC et du dispositif technique mis en place. Déployer la signature électronique impose d’installer des logiciels spécifiques sur les postes de travail et de s’appuyer sur le socle de la PKI (Public Key Infrastructure). Cette infrastructure se compose d’un logiciel d’AE, d’un logiciel d’AC et d’un annuaire LDAP pour gérer la technologie de certificat X.509 préconisée par l’IETF (Internet Engineering Task Force). La version 3 de X.509 permet de stocker des données personnelles utilisées notamment pour gérer les habilitations des signataires. En cours de standardisation, elle promet l’interopérabilité des certificats et la validation de l’horodatage. Par ailleurs, la PKI peut être installée en interne ou hébergée par un prestataire (une autorité de certification le plus souvent). Dans ce cas, elle implique la responsabilité de l’hébergeur. Dans tous les cas, l’interfaçage de l’annuaire LDAP avec le système d’information demeure fastidieux. La conservation des clés privées impose aussi des choix technologiques. L’idéal est de stocker les clés des signataires sur des cartes à puce ou des clés USB. Moins sûre, la sécurisation des accès aux PC où sont stockés ces éléments capitaux. À noter, des zones d’ombre juridiques et techniques subsistent sur l’archivage, l’horodatage des documents signés et sur la responsabilité des autorités de certification.
Acteurs : peu de signatures en mode FAH
La signature électronique implique différents types d’acteurs, tantôt complémentaires, tantôt concurrents. Des éditeurs comme Entrust, Baltimore ou RSA Security proposent de déployer des PKI (à partir de 60 000 e ht). Ces mêmes acteurs et d’autres spécialistes comme Lexign, Safelayer, Silanis et Trustycom fournissent des logiciels de signatures à intégrer dans la messagerie électronique et les applications de bureautique. D’autres encore, comme nCipher ou Rainbow Technologies, fournissent les matériels qui conservent les clés. Les autorités de certification sont également nombreux. Les banques (BNP Paribas-Authority Entreprise, Crédit Lyonnais, Crédit Agricole, SG Trust Services…) et les spécialistes (Certplus, Chambersign et Click and Trust) figurent parmi ceux qui émettent des certificats recevables par le Minefi. Si la plupart proposent d’héberger la PKI, peu offrent de la gérer en mode FAH (fourniture d’applications hébergées). À ce jour, seuls Certplus et Certinomis délivrent des services en ligne de PKI moyennant 15 000 e ht et 10 e ht le certificat logiciel.
Alternatives : la seule technologie sérieuse
Aucune autre technologie ne donne vraiment le change à la signature électronique. Sûre, celle-ci est à usage unique. Promise à un développement considérable, elle s’appliquera aux EDI (Electronic Data Interchange) comme aux documents signés « à la main ». Elle s’apposera aux données XML des échanges interentreprises grâce aux spécifications XML-Dsig de l’IETF et du W3C et XKMS (XML Key Management Specification) des éditeurs Verisign, Microsoft et webMethods.
Un niveau d’exigences légales élevé
Selon le décret de loi français, le certificat doit être distribué par une autorité de certification (AC) accréditée afin que la signature soit « sécurisée » (l’équivalent étant « signature avancée » dans la directive européenne). À la différence du droit européen, ce décret ajoute que seule une signature sécurisée bénéficie de la présomption de fiabilité. Ce qui implique, en cas de litige, que le plaignant démontre que la signature n’est pas fiable. Cependant, le dispositif légal est incomplet. Annoncée pour le 11 octobre dernier, la parution de deux arrêtés au Journal officiel tarde toujours. Ces textes définiront les règles de création et de gestion de la signature électronique et des certificats. Le ministre de l’Industrie devra, de plus, désigner une autorité chargée d’accréditer les AC. Selon toute probabilité, la DCSSI (Direction centrale de la sécurité des systèmes d’information), placée sous l’autorité du Premier ministre et chargée de rédiger ces arrêtés, incarnera cette autorité. Pour l’heure, toutes les AC délivrent des certificats sans l’autorisation de l’état.
Pour en savoir plus
Directive européenne du 13 décembre 1999 : http://europa.eu.int/comm/internal_market/fr/media/ sign/99-915.htm
Décret 2001-272 du 30 Mars 2001 : http://www.legifrance.gouv.fr/html/frame_lois_reglt.htm
Les logiciels de signature electronique :
[img]http://www.comitedentreprise.com/wp-content/uploads/news/signelec.gif »>
Dates clés
1976 : les prémices
Les pionniers Whitfield Diffie et Martin Hellman ouvrent la voie du chiffrement asymétrique (à clé publique) en publiant leur algorithme key agreement protocol dans un article intitulé « New Directions in Cryptography ».
1977 : RSA prend vie
Ron Rivest, Adi Shamir et Leonard Adleman inventent RSA, l’algorithme à clé publique le plus fréquemment utilisé actuellement. RSA repose sur la quasi- impossibilité à inverser une fonction puissance.
1999 : libéralisation de la cryptographie
Au cours d’un comité interministériel, le Premier ministre Lionel Jospin annonce la liberté de l’usage de la cryptographie en France, jusqu’alors soumise au régime de l’autorisation préalable pour le chiffrement et à la déclaration pour la signature.
2001 : décret d’application
Le décret d’application 272 du 30 mars 2001 confère à la signature électronique la même valeur légale que la signature manuscrite.
