|
|||
Législation Cryptologie : Algorithme Signature électronique |
Qu'est-ce que la signature électronique ? Le développement du commerce électronique est subordonné à l'existence de garanties sur la sécurité des transmissions de données et des paiements en ligne. Grâce à un système de chiffrement appliqué au message transmis, sans que ce dernier soit nécessairement lui-même chiffré, la signature électronique constitue une réponse au problème, car elle garantit l'authenticité et l'intégrité des données, ainsi que l'identité du signataire. Si la confidentialité est requise, il faut chiffrer le contenu du message. De façon générale, le chiffrement consiste à rendre le texte d'un message illisible pour qui ne détient pas la clé de déchiffrement. Dans les systèmes de chiffrement symétriques, une seule clé sert à la fois à chiffrer et à déchiffrer les données. Elle doit être gardée secrète par les parties intéressées pour que la sécurité de l'information soit garantie. L'inconvénient principal réside dans le fait que l'expéditeur et le destinataire doivent convenir à l'avance de la clé et doivent disposer d'un canal sûr pour l'échanger. C'est pourquoi les systèmes de signature électronique qui se développent depuisquelques années reposent sur des algorithmes de chiffrement asymétriques, où, de plus, chaque utilisateur dispose de deux clés, une clé publique et une clé privée. Ces deux clés sont elles-mêmes créées à l'aide d'algorithmes mathématiques. Elles sont associées l'une à l'autre de façonunique et sont propres à un utilisateur donné. Un message chiffré à l'aide d'un algorithme asymétrique et d'une clé privée, qui constitue l'un des paramètres de l'algorithme, ne peut être déchiffré qu'avec la clé publique correspondante, et inversement.La clé publique doit donc être connue detous, tandis que la clé privée reste secrète, la carte à puce semblant être le meilleur support de stockage des clés privées. Lorsque l'algorithme de chiffrement asymétrique est utilisé seulement pour créer la signature électronique, les mêmes clés, privée et publique, sont utilisées, mais seulement pour vérifier l'authenticité et l'intégrité du message. Ces signatures électroniques, obtenues par l'application d'algorithmes asymétriques, sont parfois qualifiées de numériques ou de " digitales ", par opposition aux signatures électroniques créées au moyen d'autres dispositifs. Selon la Commission des Nations Unies pour le droit commercial international, une signature numérique est " une valeur numérique apposée à un message de données et qui, grâce à une procédure mathématique bien connue associée à la clé cryptographique privée de l'expéditeur, permet de déterminer que cette valeur numérique a été créée à partir de la clé cryptographique privée de l'expéditeur. Les procédures mathématiques utilisées pour créer les signatures numériques sont fondées sur le chiffrement de la clé publique. Appliquées à un message de données, ces procédures mathématiques opèrent une transformation du message de telle sorte qu'une personne disposant du message initial et de la clé publique de l'expéditeur peut déterminer avec exactitude : a) si la transformation a été opérée à l'aide de la clé privée correspondant à celle de l'expéditeur ; et b) si le message initial a été altéré une fois sa transformation opérée (...) " Contrairement à la signature manuscrite,la signature numérique, composée de chiffres, de lettres et d'autres signes, ne comporte aucun élément permettantde l'attribuer à une personne donnée. Chaque utilisateur doit donc établir avec certitude l'identité de ses correspondants. C'est pourquoi on recourt à desservices de certification, souvent désignés comme " tiers de certification ", qui disposent de la confiance de chacun et qui garantissent l'appartenance d'une signature à une personne. Comme le destinataire utilise la clé publique de l'expéditeur pour vérifier la signature électronique de ce dernier, la vérification suppose que le tiers certifie au destinataire que la clé publique qu'il utilise correspond bien à la clé privée de l'expéditeur signataire et que ce dernier est bien celui qu'il prétend être. Les tiers de certification délivrent donc descertificats d'authentification qui contiennent, d'une part, divers renseignements sur la personne dont on souhaite vérifier l'identité (nom, prénom, date de naissance...) et, d'autre part, sa clé publique. Ces certificats sont généralement réunis dans des bases de données mises en ligne sur le réseau Internet, ce qui permet à chacun d'y accéder facilement. La signature numérique constitue donc un bloc de données créé à l'aide d'une clé privée ; la clé publique correspondante et le certificat permettent de vérifier que la signature provientréellement de la clé privée associée, qu'elle est bien celle de l'expéditeur et que le message n'a pas été altéré.
Union Européenne Le 13 mai 1998, la Commission a présenté laproposition de directive sur un cadre commun pour les signatures électroniques. Le Parlement européen l'a approuvée le 13 janvier 1999, après avoir introduit quelques amendements. La Commission a donc présenté une proposition modifiée le 29 avril 1999, sur laquelle le Conseil a adopté une position commune. Le 27 octobre 1999, le Parlement européen a adopté quelques amendements formels à ce texte, sur lequel le Conseil s'est prononcé le 29 novembre 1999.
L'article premier de la directive énonce : " L'objectif de la présente directive est de faciliter l'utilisation des signatures électroniques et de contribuer à leur reconnaissance juridique (...) ". A l'article suivant, elle définitdeux niveaux de signature électronique. Elle distingue en effet la " signature
électronique ", qu'elle qualifie de " donnée
sous forme électronique, qui est jointe ou liée logiquement
à d'autres données électroniques et qui sert
de méthode d'authentification ", de la " signature
électronique avancée ", qui doit en outre
satisfaire aux exigences suivantes :
D'après la directive,seules les signatures électroniquescréées dans des conditions de sécurité optimale peuvent avoir la même valeur que lessignatures manuscrites. En effet, cette équivalence est réservée aux signatures électroniques avancées " basées sur un certificat qualifié et créées par un dispositif sécurisé de création de signature ". Toutefois,les autres signatures électroniques doivent pouvoir être reconnues en justice. Le seul fait qu'elles ne reposent pas sur un certificat qualifié, que le certificat n'ait pas été délivré par un tiers de certification agréé, ou qu'elles ne résultent pas d'un dispositif sécurisé de création de signature ne doit pas empêcher a priori qu'elles soient reçues comme preuves.
La recevabilité en justice des signatures
électroniques et la qualification de signature électronique
" avancée ", reposent sur des conditions
relatives :
Les titulaires des certificats sont despersonnes physiques
qui peuvent, le cas échéant, agir pour le compte d'une
personne morale. La directive ne mentionne aucune indication de
durée de validité maximale pour les certificats.
Si la fourniture de services de certification ne
peut être soumise à une autorisation préalable,
et peut être assurée par toute personne physique ou
morale, les Etats membres doivent cependant instaurer un système
de contrôle des tiers de certification. La directive prévoit
par ailleurs que les Etats membres puissent, pour " améliorer
le niveau du service de certification fourni ", instaurer
un système d'accréditation.
Les dispositifs sécurisés
de création de signature sont définis à l'annexe III
de la directive : |
Contact : securinet@free.fr
Dernière mise à jour :