Une
signature électronique résulte de l'association de trois éléments
essentiels : un document, un cryptage et un certificat. Le cryptage
et le certificat sont indispensables à l'identification de l'individu
qui émet la signature et à l'authentification du document qui
en est l'objet. Leur fonctionnement repose sur l'utilisation
d'infrastructures dites "à clé publique".
Ces infrastructures, également
désignées sous le terme de PKI, pour Public Key Infrastructure,
sont basées sur le principe de la combinaison de deux clés
de cryptage : une clé dite "privée" que l'on ne doit pas divulguer,
et une clé "publique", qui peut être diffusée librement, notamment
dans des annuaires, et qui est également disponible auprès
du tiers certificateur.
La création d'une signature (1)
consiste en un cryptage par le signataire de l'empreinte
de celui-ci (2) au moyen de
sa clé privée. Le destinataire déchiffre le message codé à l'aide
de la clé publique. S'il y parvient, l'identité du signataire
est vérifiée. Pour ensuite s'assurer de l'intégrité du message
ou du document, il en calcule une empreinte à l'aide de la même
fonction et la compare avec celle qu'il a déchiffrée. Si elles
sont identiques, cela signifie que le contenu du document n'a
pas été altéré. Compte tenu de la puissance des logiciels de
PKI, cette opération se fait rapidement et de façon très assistée.
Ce système
correspond à la définition légale de la signature électronique,
qui "consiste en l'usage d'un procédé fiable d'identification
garantissant son lien avec l'acte auquel elle s'attache" (article
1316-4 c.civ.). Ce caractère fiable n'est que présumé, c'est-à-dire
qu'il est possible, sous réserve de rapporter la preuve contraire,
de démontrer qu'une signature électronique n'est pas valable
au regard des exigences légales de garantie de l'identité
du signataire et de l'intégrité de l'acte auquel elle s'attache.
C'est par un décret d'application
de la loi du 13 mars que ces conditions seront précisées.
Pour l'heure, seul a été rendu public un projet de décret
qui prévoit que la fiabilité de la signature est présumée
lorsqu'elle a été créée au moyen d'un dispositif respectant
des exigences précises, et lorsqu'elle utilise un certificat
électronique.
Ce dispositif
doit permettre que la signature soit liée uniquement au signataire,
ne puisse être créée que par lui, et lie l'acte auquel elle
s'attache pour garantir son intégrité (3).
Les solutions qui seront proposées par les différentes entreprises
spécialisées dans ce domaine seront étudiées et devront pour
être exploitables faire l'objet d'une certification (4)
par les services du Premier Ministre chargés
de la sécurité des systèmes d'information (la DCSSI).
Il reviendra
au signataire le soin de garder sous son "contrôle exclusif"
le dispositif de création de sa signature électronique, au
risque de voir sa responsabilité engagée. La question pourra
alors être rapprochée de celle du code secret lié à l'utilisation
d'une carte bancaire, le signataire étant responsable de toute
divulgation de sa clé privée ou de tout code remplissant cette
même fonction d'authentification. De même, la question de
la responsabilité du signataire en cas d'intrusion et de piratage
de son système informatique pourra être rapprochée de celle
concernant le vol de carte bancaire
L'emploi
de certificats
Il demeure cependant une faille dans la chaîne
de sécurité de la signature électronique (5)
: comment être certain qu'une personne ne
peut s'attribuer abusivement la signature électronique d'un
tiers ? Seule la présence physique du signataire lors de l'attribution
d'une signature électronique permet une sécurité optimale
par l'établissement d'un lien entre la signature et la personne
désignée par cette signature. C'est la raison pour laquelle
est intégré à la signature un certificat électronique, délivré
par un prestataire de services de certification (PSC) dont
le rôle est précisément de s'assurer et d'attester de ce lien.
Le projet de décret vise sous le terme "prestataires de services
de certification" (6) les
personnes physiques ou morales qui délivrent des certificats
électroniques ou fournissent d'autres services liés aux signatures
électroniques (7). Toutefois,
les PSC regroupent, sous une même appellation, différentes
activités : la fourniture d'une technologie, la mise en place
et la gestion d'un processus d'identification et de certification
des utilisateurs et enfin la gestion des annuaires de certificats.
Le certificat établit donc une
correspondance fiable entre une personne, une identité et
une clé publique (8), et
permet ainsi de savoir si l'on utilise la bonne clé publique
lorsque l'on s'adresse à une personne déterminée. Le prestataire
de service de certification électronique devra pour ce faire
assurer "le fonctionnement d'un service d'annuaire rapide
et sûr et d'un service de révocation sûr et immédiat" (9)
des certificats, tout en veillant à ce que
leur date et heure d'émission et de révocation puissent être
déterminés avec précision. Ce service est particulièrement
indispensable pour vérifier la probité de la clé publique
envoyée par un correspondant employant une signature électronique.
Une
utilisation massive et obligatoire de la signature et
des certificats électroniques |
Le projet
de décret prévoit des exigences relatives à la forme de ce
certificat (10) (il doit
notamment être fait mention de l'identité du certificateur,
de sa signature électronique, du nom du signataire, de sa
clé publique (11), de
la période de validité du certificat, du numéro de série du
certificat, des limites à l'utilisation de celui-ci, etc.)
et à l'exercice de l'activité de cet intermédiaire.
La loi
de finances rectificative pour 2000 va permettre une utilisation
massive et obligatoire de la signature et des certificats
électroniques. En effet, dans un premier temps, les entreprises
dont le chiffre d'affaires hors taxes est supérieur à 100
millions de francs devront déclarer et payer leur TVA sous
forme électronique à partir de mai 2001. Viendront ensuite
les déclarations et le paiement des impôts sur les sociétés.
Pour cela, le Ministère de l'Economie, des Finances et de
l'Industrie (MINEFI) a prononcé le référencement des certificats
produits par deux société commerciales.
Le cadre
de l'activité des autorités de certification
L'activité
de prestataire de service de certification ne nécessite pas
d'autorisation préalable, mais est assujettie à un certain
nombre de contraintes. Il doit notamment démontrer sa fiabilité,
recourir à du personnel très qualifié, utiliser des systèmes
et produits fiables assurant une sécurité technique et cryptographique,
et disposer d'un système fiable de stockage des certificats.
La Directive européenne précise sur ce point (12)
que ces services de certification peuvent
être fournis soit par une entité publique, soit par une personne
morale ou physique, établie conformément au droit national.
Les PSC
pourront par ailleurs solliciter une accréditation (13)
non obligatoire, délivrée par les organismes
agréés (14) et valable
pour une durée de quatre ans, renouvelable à l'issue d'une
nouvelle évaluation. En réalité, cette accréditation sera
fondamentale pour l'image et la crédibilité du PSC, car elle
établira la conformité effective aux exigences particulières
de qualité prévues par arrêté du ministre de l'Economie, des
finances et de l'industrie.
Il sera
possible pour les services du Premier ministre de contrôler
les PSC, avec l'obligation de faire connaître les résultats
de ces investigations, aucune sanction pénale n'étant pour
l'instant envisagée. Il est prévu néanmoins que toute défaillance
grave d'un PSC fasse notamment l'objet d'une mention sur un
site web créé à cet effet. En l'état actuel, le projet ne
comporte pas de dispositions se rapportant à la responsabilité
de ces PSC, se bornant à imposer l'information par écrit des
signataires sur les "procédures de réclamation et de règlement
des litiges" (15). La
France est ainsi, sur ce point précis, en contradiction avec
les exigences de la Directive qui donne un cadre à la responsabilité
des autorités de certification. Il conviendra donc de définir
précisément la responsabilité des PSC, en distinguant de surcroît
selon que la défaillance provient de la solution logicielle,
du processus de certification ou de la gestion des certificats.
En conclusion,
rappelons que la signature électronique repose sur une présomption
simple : elle peut donc être remise en cause. Cette réserve
s'explique par le fait que le cadre juridique est ici fortement
dépendant de la technologie, entendue au sens large et non
au sens d'une technologie particulière. Une préoccupation
majeure demeure donc au plan technique, et les contributions
émises lors de la consultation publique sur le projet de décret
qui s'est déroulée du 25 juillet au 15 septembre 2000 font
globalement apparaître le souci de préserver une exigence
de sécurité élevée, et ce d'un bout à l'autre du processus
de la signature électronique. Les acteurs professionnels rappellent
néanmoins qu'une limite de coût doit être respectée pour assurer
la viabilité de cette solution.
par Sylvain Staub, Avocat à la
Cour, Salans, Hertzfeld et Heilbronn [sstaub@salans.com]
1:
Le signataire créé une signature électronique à l'aide d'un
" dispositif de création de signature électronique " (article
3 du projet de décret d'application de la loi du 13 mars 2001).
Retour
2:
Cette empreinte du document est calculée au moyen d'un algorithme
(" hash function ") et se présente sous la forme d'un fichier
de taille fixe, quelle que soit l'importance du document.
Retour
3 : Article 3 du projet de décret Retour
4: Les articles 4 et 5 du projet de décret
précisent que cette certification intervient après une évaluation
réalisée par des organismes agréés par la DCSSI, sur la base
de règles ou normes précisées par arrêté du Premier ministre.
Cet arrêté fixe les conditions d'agrément et la composition
d'un " comité directeur de la certification ", en charge du
contrôle des processus d'évaluation et de certification, ainsi
que des conditions d'examen des demandes de certification.
Retour
5 : La résistance d'une chaîne étant égale,
selon l'adage, à celle du maillon le plus faible la composant.
Retour
6 : Article 2, al.8 du projet de décret. Retour
7 : Ces services comprennent, au sens du considérant
9 de la Directive du 13 décembre 1999, " tout autre service
et produit utilisant des signatures électroniques ou connexe
à celles-ci, tels les services d'enregistrement, les services
horodateurs, les services d'annuaires [
]" Retour
8 : On parle plus généralement d'infrastructure
à clés publiques (ICP ou PKI pour Public Key Infrastructure)
qui désigne l'ensemble des éléments nécessaires à cette autorité
pour émettre et gérer des certificats. Retour
9 : Article 6 du projet de décret. Retour
10 : Article 6 du projet de décret. Retour
11 : Il s'agit, selon la définition qu'en
donne l'article 2 du projet de décret, des "données de vérification
de signature" dont le tiers certificateur sera dépositaire.
Retour
12 : Considérant n°12 de la Directive du
13 décembre 1999. Retour
13 : Article 8 du projet de décret. Retour
14 : L'agrément est quant à lui délivré par
une instance désignée par arrêté du ministre de l'Economie,
des finances et de l'industrie. Retour
15 : Article 6 du projet de décret. Retour
|