Zalix authentifie les échanges grâce à la signature électronique

"Sécuriser une transaction en la cryptant ou en authentifiant les interlocuteurs avec un code ou un mot de passe, ce n'est pas suffisant", affirme Laurent Saada, pdg et co-fondateur de la jeune start-up Zalix spécialisée dans la biométrie. En effet, comment garantir l'identité de la personne qui se trouve aux commandes d'un PC ? Ce problème peut être résolu aujourd'hui grâce aux techniques de biométrie. Principalement utilisée pour le contrôle d'accès aux locaux (reconnaissance faciale, forme de la main, etc.) ou encore pour la sécurité logique (accès à un poste de travail ou à des fichiers informatiques principalement par reconnaissance d'empreintes digitales), la biométrie s'étend désormais à l'authentification de signature électronique.

C'est précisément sur ce terrain que Zalix cherche à se positionner désormais (outre ses dispositifs d'accès aux locaux et sa souris biométrique). Zalix a développé pendant près d'un an avec une équipe d'environ 15 personnes une solution d'authentification de la signature électronique, Identi'sign, lors des échanges Internet, Intranet ou Extranet. La solution repose sur l'utilisation d'une tablette graphique Wacom ou d'un Palm Pilot et du logiciel PenFlow (logiciel de reconnaissance d'écriture édité par la société israelienne WonderNet). L'utilisateur devra reproduire à l'aide d'un stylet sa signature qui sera enregistrée par le logiciel et procèdera à son analyse. Plus de 100 paramètres sont pris en compte par le logiciel : pression du stylo, la rapidité d'exécution, l'inclinaison du stylo, etc.

Les utilisateurs auront au préalable enregistré le profil de leur signature (trois signatures sont requises pour l'enregistrement), qui une fois crypté, est stocké dans une base de données. Lors de la saisie dynamique de la signature sur la tablette, le logiciel envoie l'information au serveur Web hébergé chez Zalix pour authentification. Celui-ci extrait le profil de la base, le décrypte puis le compare à la signature à valider avant de renvoyer un avis favorable ou non. A noter qu'une signature à l'identique de celle stockée dans la base sera rejetée car "personne ne peut signer deux fois de la même manière."

Zalix se charge de développer les applications correspondant à l'usage de la reconnaissance de la signature (instructions concernant le type de document destinés à recevoir le signature, par exemple pour une banque il s'agira d'un contrat). "Cette technologie permet d'aller plus loin que l'authentification par empreinte digitale (restreinte à l'ouverture d'une session). Elle permet notamment de sécuriser l'échange de documents. On pourrait même imaginer ce système couplé à des dipositifs de paiement sécurisé tels que CyberComm pour authentifier la personne qui tape son code", estime Laurent Saada.

Plusieurs modes de commercialisation sont envisageables : selon le nombre de signatures authentifiées, forfait annuel ou mensuel, fourniture du code source du logiciel si le client souhaite développer son propre serveur et ses propres applications. Des acteurs de l'industrie chimique et pétrolière sont intéressés par cette technologie pour sécuriser les échanges de documents confidentiels via Intranet. "Le dispositif répond aux exigences énoncées par la loi du 29/02 (article 1316-1), portant adaptation du droit de la preuve aux technologies de l'information, et relative à la signature électronique", assure Laurent Saada. A savoir la certitude de l'identité des interlocuteurs, l'intégrité du document (pas d'altération subie en cours de transmission : message d'alerte si cela survient), l'assurance que l'émetteur ou le destinataire ne puissent pas nier l'envoi et la réception du document (grâce à la signature numérisée et le fait que le destinataire doive s'identifier pour lire le document)." [Alexandra Bissé, JD Net]