Introduction
Législation réglementation française lois françaises certification
Cryptologie : à clés secrètes à clés publiques
Stéganographie
Algorithme RSA
Signature électronique
|
Texte
Original
Qu'est-ce
que la signature électronique ?
Le développement du commerce électronique
est subordonné à l'existence de garanties sur la sécurité
des transmissions de données et des paiements en ligne. Grâce
à un système de chiffrement appliqué au message
transmis, sans que ce dernier soit nécessairement lui-même
chiffré, la signature électronique constitue une réponse
au problème, car elle garantit l'authenticité et l'intégrité
des données, ainsi que l'identité du signataire. Si
la confidentialité est requise, il faut chiffrer le contenu
du message.
De façon générale, le chiffrement
consiste à rendre le texte d'un message illisible pour qui
ne détient pas la clé de déchiffrement. Dans
les systèmes de chiffrement symétriques, une seule
clé sert à la fois à chiffrer et à déchiffrer
les données. Elle doit être gardée secrète
par les parties intéressées pour que la sécurité
de l'information soit garantie. L'inconvénient principal
réside dans le fait que l'expéditeur et le destinataire
doivent convenir à l'avance de la clé et doivent disposer
d'un canal sûr pour l'échanger.
C'est pourquoi les
systèmes de signature électronique qui se développent
depuisquelques années reposent sur des algorithmes de chiffrement
asymétriques, où, de plus, chaque utilisateur dispose
de deux clés, une clé publique et une clé privée.
Ces deux clés sont elles-mêmes créées
à l'aide d'algorithmes mathématiques. Elles sont associées
l'une à l'autre de façonunique et sont propres à
un utilisateur donné. Un message
chiffré à l'aide d'un algorithme asymétrique
et d'une clé privée, qui constitue l'un des paramètres
de l'algorithme, ne peut être déchiffré qu'avec
la clé publique correspondante, et inversement.La clé publique doit donc être connue
detous, tandis que la clé privée reste secrète, la carte à puce semblant être le meilleur
support de stockage des clés privées. Lorsque l'algorithme
de chiffrement asymétrique est utilisé seulement pour
créer la signature électronique, les mêmes clés,
privée et publique, sont utilisées, mais seulement
pour vérifier l'authenticité et l'intégrité
du message.
Ces signatures électroniques, obtenues par
l'application d'algorithmes asymétriques, sont parfois qualifiées
de numériques ou de " digitales ", par
opposition aux signatures électroniques créées
au moyen d'autres dispositifs.
Selon la Commission des Nations Unies pour le droit
commercial international, une signature numérique est " une
valeur numérique apposée à un message de données
et qui, grâce à une procédure mathématique
bien connue associée à la clé cryptographique
privée de l'expéditeur, permet de déterminer
que cette valeur numérique a été créée
à partir de la clé cryptographique privée de
l'expéditeur. Les procédures mathématiques
utilisées pour créer les signatures numériques
sont fondées sur le chiffrement de la clé publique.
Appliquées à un message de données, ces procédures
mathématiques opèrent une transformation du message
de telle sorte qu'une personne disposant du message initial et de
la clé publique de l'expéditeur peut déterminer
avec exactitude : a) si la transformation a été
opérée à l'aide de la clé privée
correspondant à celle de l'expéditeur ; et b)
si le message initial a été altéré une
fois sa transformation opérée (...) "
Contrairement à la signature manuscrite,la signature numérique, composée de chiffres, de lettres et d'autres
signes, ne comporte aucun élément
permettantde l'attribuer à une personne donnée. Chaque utilisateur doit donc établir avec
certitude l'identité de ses correspondants. C'est pourquoi
on recourt à desservices de
certification, souvent désignés
comme " tiers de certification ", qui disposent
de la confiance de chacun et qui garantissent l'appartenance d'une
signature à une personne. Comme le destinataire utilise la
clé publique de l'expéditeur pour vérifier
la signature électronique de ce dernier, la vérification
suppose que le tiers certifie au destinataire que la clé
publique qu'il utilise correspond bien à la clé privée
de l'expéditeur signataire et que ce dernier est bien celui
qu'il prétend être. Les tiers de certification délivrent
donc descertificats d'authentification qui contiennent, d'une part, divers renseignements
sur la personne dont on souhaite vérifier l'identité
(nom, prénom, date de naissance...) et, d'autre part, sa
clé publique. Ces certificats sont généralement
réunis dans des bases de données mises en ligne sur
le réseau Internet, ce qui permet à chacun d'y accéder
facilement.
La signature numérique constitue donc un
bloc de données créé à l'aide d'une
clé privée ; la clé publique correspondante
et le certificat permettent de vérifier que la signature
provientréellement de la clé privée associée,
qu'elle est bien celle de l'expéditeur et que le message
n'a pas été altéré.
Le 13 mai 1998, la Commission a présenté
laproposition de directive sur un
cadre commun pour les signatures électroniques.
Le Parlement européen l'a approuvée
le 13 janvier 1999, après avoir introduit quelques amendements.
La Commission a donc présenté une proposition modifiée
le 29 avril 1999, sur laquelle le Conseil a adopté une
position commune. Le 27 octobre 1999, le Parlement européen
a adopté quelques amendements formels à ce texte,
sur lequel le Conseil s'est prononcé le 29 novembre
1999.
1) La reconnaissance
juridique de la signature électronique
L'article premier de la directive énonce :
" L'objectif de la présente directive est de faciliter
l'utilisation des signatures électroniques et de contribuer
à leur reconnaissance juridique (...) ".
A l'article suivant, elle définitdeux niveaux de signature électronique. Elle distingue en effet la " signature
électronique ", qu'elle qualifie de " donnée
sous forme électronique, qui est jointe ou liée logiquement
à d'autres données électroniques et qui sert
de méthode d'authentification ", de la " signature
électronique avancée ", qui doit en outre
satisfaire aux exigences suivantes : a) être
liée uniquement au signataire ; b) permettre
d'identifier le signataire ; c) être créée
par des moyens que le signataire puisse garder sous son contrôle
exclusif ; et d) être liée aux données
auxquelles elle se rapporte de telle sorte que toute modification
ultérieure des données soit détectable ".
2) Les effets
juridiques de la signature électronique
D'après la directive,seules
les signatures électroniquescréées dans des
conditions de sécurité optimale peuvent avoir la même
valeur que lessignatures manuscrites.
En effet, cette équivalence est réservée aux
signatures électroniques avancées " basées
sur un certificat qualifié et créées par un
dispositif sécurisé de création de signature ".
Toutefois,les autres
signatures électroniques doivent pouvoir être reconnues
en justice. Le seul fait qu'elles
ne reposent pas sur un certificat qualifié, que le certificat
n'ait pas été délivré par un tiers de
certification agréé, ou qu'elles ne résultent
pas d'un dispositif sécurisé de création de
signature ne doit pas empêcher a priori qu'elles soient reçues
comme preuves.
3) Les conditions
de validité de la signature électronique
La recevabilité en justice des signatures
électroniques et la qualification de signature électronique
" avancée ", reposent sur des conditions
relatives : - aux certificats ; -
aux tiers de certification ; - au processus de création
de la signature électronique.
a) Les certificats
Les titulaires des certificats sont despersonnes physiques
qui peuvent, le cas échéant, agir pour le compte d'une
personne morale. La directive ne mentionne aucune indication de
durée de validité maximale pour les certificats.
L'annexe I de la directive énumère
les exigences relatives aux certificats " qualifiés ". Ces derniers comportent nécessairement :
a) une mention indiquant que le certificat est délivré
à titre de certificat qualifié ; b)
l'identification du prestataire de service de certification, ainsi
que le pays dans lequel il est établi ; c)
le nom du signataire ou un pseudonyme qui est identifié comme
tel ; d) la possibilité d'inclure, le cas
échéant, une qualité spécifique du signataire,
en fonction de l'usage auquel le certificat est destiné ;
e) des données afférentes à la vérification
de signature qui correspondent aux données pour la création
de signature sous le contrôle du signataire ;
f) l'indication du début et de la fin de la période
de validité du certificat ; g) le code d'identité
du certificat ; h) la signature électronique
avancée du prestataire de service de certification qui délivre
le certificat ; i) les limites à l'utilisation
du certificat, le cas échéant ; et
j) les limites à la valeur des transactions pour lesquelles
le certificat peut être utilisé, le cas échéant ".
b) Les tiers
de certification
Si la fourniture de services de certification ne
peut être soumise à une autorisation préalable,
et peut être assurée par toute personne physique ou
morale, les Etats membres doivent cependant instaurer un système
de contrôle des tiers de certification. La directive prévoit
par ailleurs que les Etats membres puissent, pour " améliorer
le niveau du service de certification fourni ", instaurer
un système d'accréditation. L'annexe II de la directive définit
les exigences concernant les tiers de certification qui délivrent
des certificats agréés.
Les prestataires de service de certification doivent :
a) faire la preuve qu'ils sont suffisamment fiables pour
fournir des services de certification ; b) assurer
le fonctionnement d'un service d'annuaire rapide et sûr et
d'un service de révocation sûr et immédiat ;
c) veiller à ce que la date et l'heure d'émission
et de révocation d'un certificat puissent être déterminées
avec précision ; d) vérifier, par des
moyens appropriés et conformes au droit national, l'identité
et, le cas échéant, les qualités spécifiques
de la personne à laquelle un certificat qualifié est
délivré ; e) employer du personnel
ayant les connaissances spécifiques, l'expérience
et les qualifications nécessaires à la fourniture
des services et, en particulier, des compétences au niveau
de la gestion, des connaissances spécialisées en technologie
des signatures électroniques et une bonne pratique des procédures
de sécurité appropriées ; ils doivent
également appliquer des procédures et méthodes
administratives et de gestion qui soient adaptées et conformes
à des normes reconnues ; f) utiliser des systèmes
et des produits fiables qui sont protégés contre les
modifications et qui assurent la sécurité technique
et cryptographique des fonctions qu'ils assument ;
g) prendre des mesures contre la contrefaçon des certificats
et, dans les cas où le prestataire de service de certification
génère des données afférentes à
la création de signature, garantir la confidentialité
au cours du processus de génération de ces données ;
h) disposer des ressources financières suffisantes
pour fonctionner conformément aux exigences prévues
par la présente directive, en particulier pour endosser la
responsabilité de dommages, en contractant, par exemple,
une assurance appropriée ; i) enregistrer
toutes les informations pertinentes concernant un certificat qualifié
pendant le délai utile, en particulier, pour pouvoir fournir
une preuve de la certification en justice. Ces enregistrements peuvent
être effectués par des moyens électroniques ;
j) ne pas stocker ni copier les données afférentes
à la création de signature de la personne à
laquelle le prestataire de service de certification a fourni des
services de gestion de clés ; k) avant d'établir
une relation contractuelle avec une personne demandant un certificat
à l'appui de sa signature électronique, informer cette
personne par un moyen de communication durable des modalités
et conditions précises d'utilisation des certificats, y compris
des limites imposées à leur utilisation, de l'existence
d'un régime volontaire d'accréditation et des procédures
de réclamation et de règlement des litiges. Cette
information, qui peut être transmise par voie électronique,
doit être faite par écrit et dans une langue aisément
compréhensible. Des éléments pertinents de
cette information doivent également être mis à
la disposition, sur demande, de tiers qui se prévalent du
certificat ; l) utiliser des systèmes fiables
pour stocker les certificats sous une forme vérifiable, de
sorte que : - seules les personnes autorisées
puissent introduire et modifier des données, -
l'information puisse être contrôlée quant à
son authenticité, - les certificats ne soient disponibles
au public pour des recherches que dans les cas où le titulaire
du certificat a donné son consentement, et - toute
modification technique mettant en péril ces exigences de
sécurité soit apparente pour l'opérateur. "
La directive prévoit
la responsabilité des tiers de certification pour tout préjudice
causé par l'utilisation d'un certificat inexact ou invalide. Ils peuvent cependant dégager leur responsabilité
en prouvant qu'ils n'ont commis aucune négligence.
c) Le dispositif
de création de la signature électronique
Les dispositifs sécurisés
de création de signature sont définis à l'annexe III
de la directive : 1. Les dispositifs sécurisés
de création de signature doivent au moins garantir, par les
moyens techniques et procédures appropriés, que :
a) les données utilisées pour la création
de la signature ne puissent, pratiquement, se rencontrer qu'une
seule fois et que leur confidentialité soit raisonnablement
assurée ; b) l'on puisse avoir l'assurance
suffisante que les données utilisées pour la création
de la signature ne puissent être trouvées par déduction
et que la signature soit protégée contre toute falsification
par les moyens techniques actuellement disponibles ;
c) les données utilisées pour la création de
la signature puissent être protégées de manière
fiable par le signataire légitime contre leur utilisation
par d'autres. 2. Les dispositifs sécurisés
de création de signature ne doivent pas modifier les données
à signer ni empêcher que ces données soient
soumises au signataire avant le processus de signature ".
 |