JURIDIQUE
La mise en oeuvre pratique de la signature électronique
Les droits européens et français ont admis la valeur probante des supports numériques. Comment les mesures seront-elles appliquées?   (27/02/01)
Une signature électronique résulte de l'association de trois éléments essentiels : un document, un cryptage et un certificat. Le cryptage et le certificat sont indispensables à l'identification de l'individu qui émet la signature et à l'authentification du document qui en est l'objet. Leur fonctionnement repose sur l'utilisation d'infrastructures dites "à clé publique".

Ces infrastructures, également désignées sous le terme de PKI, pour Public Key Infrastructure, sont basées sur le principe de la combinaison de deux clés de cryptage : une clé dite "privée" que l'on ne doit pas divulguer, et une clé "publique", qui peut être diffusée librement, notamment dans des annuaires, et qui est également disponible auprès du tiers certificateur.

La création d'une signature (1) consiste en un cryptage par le signataire de l'empreinte de celui-ci (2) au moyen de sa clé privée. Le destinataire déchiffre le message codé à l'aide de la clé publique. S'il y parvient, l'identité du signataire est vérifiée. Pour ensuite s'assurer de l'intégrité du message ou du document, il en calcule une empreinte à l'aide de la même fonction et la compare avec celle qu'il a déchiffrée. Si elles sont identiques, cela signifie que le contenu du document n'a pas été altéré. Compte tenu de la puissance des logiciels de PKI, cette opération se fait rapidement et de façon très assistée.

Ce système correspond à la définition légale de la signature électronique, qui "consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache" (article 1316-4 c.civ.). Ce caractère fiable n'est que présumé, c'est-à-dire qu'il est possible, sous réserve de rapporter la preuve contraire, de démontrer qu'une signature électronique n'est pas valable au regard des exigences légales de garantie de l'identité du signataire et de l'intégrité de l'acte auquel elle s'attache.

C'est par un décret d'application de la loi du 13 mars que ces conditions seront précisées. Pour l'heure, seul a été rendu public un projet de décret qui prévoit que la fiabilité de la signature est présumée lorsqu'elle a été créée au moyen d'un dispositif respectant des exigences précises, et lorsqu'elle utilise un certificat électronique.

Ce dispositif doit permettre que la signature soit liée uniquement au signataire, ne puisse être créée que par lui, et lie l'acte auquel elle s'attache pour garantir son intégrité (3). Les solutions qui seront proposées par les différentes entreprises spécialisées dans ce domaine seront étudiées et devront pour être exploitables faire l'objet d'une certification (4) par les services du Premier Ministre chargés de la sécurité des systèmes d'information (la DCSSI).

Il reviendra au signataire le soin de garder sous son "contrôle exclusif" le dispositif de création de sa signature électronique, au risque de voir sa responsabilité engagée. La question pourra alors être rapprochée de celle du code secret lié à l'utilisation d'une carte bancaire, le signataire étant responsable de toute divulgation de sa clé privée ou de tout code remplissant cette même fonction d'authentification. De même, la question de la responsabilité du signataire en cas d'intrusion et de piratage de son système informatique pourra être rapprochée de celle concernant le vol de carte bancaire

L'emploi de certificats
Il demeure cependant une faille dans la chaîne de sécurité de la signature électronique (5) : comment être certain qu'une personne ne peut s'attribuer abusivement la signature électronique d'un tiers ? Seule la présence physique du signataire lors de l'attribution d'une signature électronique permet une sécurité optimale par l'établissement d'un lien entre la signature et la personne désignée par cette signature. C'est la raison pour laquelle est intégré à la signature un certificat électronique, délivré par un prestataire de services de certification (PSC) dont le rôle est précisément de s'assurer et d'attester de ce lien. Le projet de décret vise sous le terme "prestataires de services de certification" (6) les personnes physiques ou morales qui délivrent des certificats électroniques ou fournissent d'autres services liés aux signatures électroniques (7). Toutefois, les PSC regroupent, sous une même appellation, différentes activités : la fourniture d'une technologie, la mise en place et la gestion d'un processus d'identification et de certification des utilisateurs et enfin la gestion des annuaires de certificats.

Le certificat établit donc une correspondance fiable entre une personne, une identité et une clé publique (8), et permet ainsi de savoir si l'on utilise la bonne clé publique lorsque l'on s'adresse à une personne déterminée. Le prestataire de service de certification électronique devra pour ce faire assurer "le fonctionnement d'un service d'annuaire rapide et sûr et d'un service de révocation sûr et immédiat" (9) des certificats, tout en veillant à ce que leur date et heure d'émission et de révocation puissent être déterminés avec précision. Ce service est particulièrement indispensable pour vérifier la probité de la clé publique envoyée par un correspondant employant une signature électronique.

Une utilisation massive et obligatoire de la signature et des certificats électroniques

Le projet de décret prévoit des exigences relatives à la forme de ce certificat (10) (il doit notamment être fait mention de l'identité du certificateur, de sa signature électronique, du nom du signataire, de sa clé publique (11), de la période de validité du certificat, du numéro de série du certificat, des limites à l'utilisation de celui-ci, etc.) et à l'exercice de l'activité de cet intermédiaire.

La loi de finances rectificative pour 2000 va permettre une utilisation massive et obligatoire de la signature et des certificats électroniques. En effet, dans un premier temps, les entreprises dont le chiffre d'affaires hors taxes est supérieur à 100 millions de francs devront déclarer et payer leur TVA sous forme électronique à partir de mai 2001. Viendront ensuite les déclarations et le paiement des impôts sur les sociétés. Pour cela, le Ministère de l'Economie, des Finances et de l'Industrie (MINEFI) a prononcé le référencement des certificats produits par deux société commerciales.

Le cadre de l'activité des autorités de certification
L'activité de prestataire de service de certification ne nécessite pas d'autorisation préalable, mais est assujettie à un certain nombre de contraintes. Il doit notamment démontrer sa fiabilité, recourir à du personnel très qualifié, utiliser des systèmes et produits fiables assurant une sécurité technique et cryptographique, et disposer d'un système fiable de stockage des certificats. La Directive européenne précise sur ce point (12) que ces services de certification peuvent être fournis soit par une entité publique, soit par une personne morale ou physique, établie conformément au droit national.

Les PSC pourront par ailleurs solliciter une accréditation (13) non obligatoire, délivrée par les organismes agréés (14) et valable pour une durée de quatre ans, renouvelable à l'issue d'une nouvelle évaluation. En réalité, cette accréditation sera fondamentale pour l'image et la crédibilité du PSC, car elle établira la conformité effective aux exigences particulières de qualité prévues par arrêté du ministre de l'Economie, des finances et de l'industrie.

Il sera possible pour les services du Premier ministre de contrôler les PSC, avec l'obligation de faire connaître les résultats de ces investigations, aucune sanction pénale n'étant pour l'instant envisagée. Il est prévu néanmoins que toute défaillance grave d'un PSC fasse notamment l'objet d'une mention sur un site web créé à cet effet. En l'état actuel, le projet ne comporte pas de dispositions se rapportant à la responsabilité de ces PSC, se bornant à imposer l'information par écrit des signataires sur les "procédures de réclamation et de règlement des litiges" (15). La France est ainsi, sur ce point précis, en contradiction avec les exigences de la Directive qui donne un cadre à la responsabilité des autorités de certification. Il conviendra donc de définir précisément la responsabilité des PSC, en distinguant de surcroît selon que la défaillance provient de la solution logicielle, du processus de certification ou de la gestion des certificats.

En conclusion, rappelons que la signature électronique repose sur une présomption simple : elle peut donc être remise en cause. Cette réserve s'explique par le fait que le cadre juridique est ici fortement dépendant de la technologie, entendue au sens large et non au sens d'une technologie particulière. Une préoccupation majeure demeure donc au plan technique, et les contributions émises lors de la consultation publique sur le projet de décret qui s'est déroulée du 25 juillet au 15 septembre 2000 font globalement apparaître le souci de préserver une exigence de sécurité élevée, et ce d'un bout à l'autre du processus de la signature électronique. Les acteurs professionnels rappellent néanmoins qu'une limite de coût doit être respectée pour assurer la viabilité de cette solution.

par Sylvain Staub, Avocat à la Cour, Salans, Hertzfeld et Heilbronn [sstaub@salans.com]

1: Le signataire créé une signature électronique à l'aide d'un " dispositif de création de signature électronique " (article 3 du projet de décret d'application de la loi du 13 mars 2001). Retour
2: Cette empreinte du document est calculée au moyen d'un algorithme (" hash function ") et se présente sous la forme d'un fichier de taille fixe, quelle que soit l'importance du document. Retour
3 : Article 3 du projet de décret
Retour
4: Les articles 4 et 5 du projet de décret précisent que cette certification intervient après une évaluation réalisée par des organismes agréés par la DCSSI, sur la base de règles ou normes précisées par arrêté du Premier ministre. Cet arrêté fixe les conditions d'agrément et la composition d'un " comité directeur de la certification ", en charge du contrôle des processus d'évaluation et de certification, ainsi que des conditions d'examen des demandes de certification.
Retour
5 : La résistance d'une chaîne étant égale, selon l'adage, à celle du maillon le plus faible la composant.
Retour
6 : Article 2, al.8 du projet de décret.
Retour
7 : Ces services comprennent, au sens du considérant 9 de la Directive du 13 décembre 1999, " tout autre service et produit utilisant des signatures électroniques ou connexe à celles-ci, tels les services d'enregistrement, les services horodateurs, les services d'annuaires […]"
Retour
8 : On parle plus généralement d'infrastructure à clés publiques (ICP ou PKI pour Public Key Infrastructure) qui désigne l'ensemble des éléments nécessaires à cette autorité pour émettre et gérer des certificats.
Retour
9 : Article 6 du projet de décret.
Retour
10 : Article 6 du projet de décret.
Retour
11 : Il s'agit, selon la définition qu'en donne l'article 2 du projet de décret, des "données de vérification de signature" dont le tiers certificateur sera dépositaire.
Retour
12 : Considérant n°12 de la Directive du 13 décembre 1999.
Retour
13 : Article 8 du projet de décret.
Retour
14 : L'agrément est quant à lui délivré par une instance désignée par arrêté du ministre de l'Economie, des finances et de l'industrie.
Retour
15 : Article 6 du projet de décret.
Retour

 
 
Rédaction JDN
 
Accueil | Haut de page
 
 

  Nouvelles offres d'emploi   sur Emploi Center
Chaine Parlementaire Public Sénat | Michael Page Interim | 1000MERCIS | Mediabrands | Michael Page International