Pascal Colin (Keynectis) : "Le niveau de sécurité d'un certificat est plus élevé quand on utilise un support de stockage externe"

Pourriez-vous expliquer en quoi consiste concrètement un certificat électronique ?

Un certificat électronique est l'équivalent d'une carte d'identité sur Internet. Il associe le nom d'une personne, une clé secrète et le domaine d'application de cette identité. Il permet entre autres de faire de la signature électronique de tous types de documents.

Quelles applications du certificat existent en France ?

L'application la plus répandue en termes de nombre d'utilisateurs est la télédéclaration des impôts sur le revenu. Egalement la télédéclaration de la TVA pour les entreprises. Les applications de e-banking font de plus en plus appel à l'usage du certificat, notamment pour la signature de contrats tels que souscription ou le crédit à la consommation.

La réponse est oui. Actuellement, le certificat n'est pas encore utilisé pour des applications de paiement en ligne. Ce sera probablement le cas bientôt pour renforcer le niveau de sécurité des applications actuelles. La plupart des sites de e-commerce utilisent déjà un certificat de type SSL qui équipe le serveur du site, pour créer un tunnel VPN. Par contre, à ce jour, le certificat de l'internaute n'est pas utilisé, soit pour signer, soit pour chiffrer les données circulant sur le VPN.

Qu'est-ce qui empêche un individu d'usurper une identité grâce au certificat d'un autre ?

Tout d'abord, la délivrance d'un certificat doit suivre le même process que la délivrance d'une pièce d'identité, c'est ce qui donnera le niveau de confiance que l'on accordera à ce certificat. L'utilisateur a la responsabilité de l'usage de cette identité au même titre qu'une carte d'identité ou d'une carte bancaire. Notons qu'un certificat est toujours protégé par un mot de passe. A l'utilisateur de conserver pour lui son certificat et son mot de passe comme il garde sa carte bancaire et son code.

L'utilisation d'un certificat électronique depuis un téléphone mobile est-il envisageable ? Existe-t-il déjà des applications ?

Oui. D'ailleurs certains mobiles sont déjà équipés de certificats. Il y a peu d'applications en France pour le moment, mais dans certains pays, il est courant de s'authentifier ou de signer un document depuis son téléphone mobile grâce à son certificat.

Le lieu d'enregistrement du certificat sur son ordinateur est volontairement flou. En cas de formatage - par exemple - on peut facilement l'écraser. Je trouve que cette procédure, qui évite certes de manipuler ce fichier, n'est pas très sécuritaire. Une autre procédure est-elle envisagée ?

Le certificat peut être installé soit sur son PC, soit sur un support extérieur tel qu'une clé USB ou une carte à puce. Le niveau de sécurité est plus élevé quand on utilise un support extérieur. Quant au stockage du certificat sur le PC, il y a effectivement plusieurs méthodes pour le stocker.

Quelle est la valeur légale d'un certificat ? Est-il possible d'être plusieurs personnes à utiliser le même ?

Le certificat a une valeur légale lorsqu'il est utilisé pour une signature électronique. Selon son niveau de sécurité (exemple : support carte à puce), la signature peut avoir une valeur probante égale ou supérieure (certificat qualifié) à celle d'un document papier. Dans tous les cas, une signature électronique en France comme en Europe a une valeur légale. Dans le cas d'une signature de personne morale (exemple : un service financier), plusieurs personnes peuvent faire usage du même certificat si elles sont habilitées.

Quelle est la procédure pour recevoir un certificat électronique ?

Il y a différentes procédures en fonction des applications. Par exemple, dans le cas de la télédéclaration des impôts sur le revenu, la Direction Générale des Impôts enregistre le certificat sur la base des informations du citoyen qu'elle détient déjà (nom, adresse etc..). Dans le cas de la télédéclaration de la TVA pour les entreprises, l'identité du porteur de certificat doit être garantie par une autorité de certification (les banques, les chambres de commerce....) qui procédera de la même façon que pour la délivrance d'une carte d'identité.

Quelle est la "durée de vie" d'un certificat ? Faut-il légalement le renouveler ? Si oui tous les combiens ?

Un certificat a en général une durée de vie de 1,2 ou 3 ans selon les usages. Plus l'usage est sensible, moins la durée de vie est longue. Un certificat non renouvelé expire automatiquement et n'est plus utilisable.

Si des documents sont dématérialisés après signature électronique, cela veut-il dire que l'entreprise reste dépendante du fournisseur de son certificat si elle veut rester indéfiniment propriétaire de ses données ?

Les données du document signé restent toujours la propriété de l'utilisateur. Le fournisseur du certificat n'a aucun droit quant à la propriété des données. Un document signé reste en clair, il n'est pas chiffré. Il n'y a donc aucune dépendance vis-à-vis du fournisseur du certificat.

Quel est le niveau de sécurité des certificats actuels. L'explosion des puissances de calculs disponibles, poussera-t-elle à moyen terme à l'augmentation de la taille des clés ?

En effet, la taille des clefs est de plus en plus importante. Dans des usages courants, elle est aujourd'hui de 128 bits. Pour des usages sensibles (application de défense ou étatique), on utilise aujourd'hui des clefs de 4096 bits.

J'ai perdu mon mot de passe de révocation, est-ce que je peux néanmoins encore révoquer mon certificat ?

Oui, on peut toujours faire révoquer son certificat en se mettant en contact avec son fournisseur de certificat.

Hormis le paiement des impôts, quels autres usages voyez-vous pour les procédures administratives ? Des projets en cours ?

Dans certains pays européens, aujourd'hui, toutes les procédures administratives peuvent être réalisées sur Internet. A chaque fois qu'une signature ou une authentification forte est requise, il y a usage du certificat. Exemple : on peut retirer sa carte grise par Internet, on pourra obtenir son permis de construire...

Pensez-vous que dans des secteurs comme le droit, le certificat et la signature électroniques puissent trouver leur place ?

Oui. C'est déjà le cas, pas encore pour toutes les procédures. Le gouvernement a récemment annoncé des réformes allant dans ce sens. Exemple : une lettre électronique signée avec accusé de réception est légalement reconnue.

Le certificat électronique est-il une extension de la carte d'identité biométrique ?

Le certificat électronique est un des composants de la carte d'identité biométrique.

Le certificat, clef de la dématérialisation en entreprise ?

Oui, dès qu'il y a signature, il y a certificat. Il permet d'utiliser par exemple l'Intranet pour communiquer des informations très confidentielles (chiffrées), équivalentes au pli sécurisé. Autre exemple : la facture électronique qui permet de dématérialiser tout le système de facturation ou de prise de commande. Le certificat permet également l'horodatage (preuve de temps) et l'archivage à valeur probante (on peut apporter la preuve de l'originalité du document dans le temps).

Pourrait-on utiliser les certificats pour certifier les serveurs ? Par exemple suis-je bien connecté sur un site légal ?

Oui, c'est déjà le cas avec le certificat SSL. C'est aujourd'hui largement utilisé sur Internet et dans certaines industries comme l'aéronautique. Les serveurs s'identifient entre eux grâce aux certificats.

En quoi consiste le rôle de tiers de confiance ?

Le tiers de confiance a un rôle de neutralité dans l'échange entre deux parties. Il a des obligations de procédure, de sécurité et de traçabilité. Il est un peu comme un notaire lors d'une signature entre deux parties.

Pourrait-on envisager de disposer de certificats utilisables pour plusieurs applications ? Par exemple pour signer une lettre recommandée, pour signer un contrat de location de voiture, …

Oui si la politique de certification de l'autorité qui a délivré le certificat le permet, plusieurs usages peuvent être faits pour un même certificat.

A combien revient un certificat électronique ?

Tout dépend de son niveau de sécurité, s'il est sur un support, la manière dont il est délivré..... Cela va de quelques cents à quelques dizaines d'Euros.

Les professions réglementées (notaires par exemple) sont-elle intéressées par l'utilisation de certificats ?

Oui, d'ailleurs les notaires en France ont leur propre autorité de certification.

En plus de la délivrance de certificat, proposez-vous des services associés ?

Oui. Keynectis propose également des services d'horodatage, de gestion de preuves, d'archivage. Nous proposons aussi des services de signature de contrats en ligne entre des sites de e-commerce et des internautes. Nous avons signé un partenariat avec Adobe qui permet de signer des PDF qui peuvent être authentifiés par toute personne équipée de Acrobat Reader 6 (gratuit) et sans aucune autre installation.

On parle de certificats gratuits (impôts, TéléTva, …) et il y a par ailleurs une offre payante, pouvez- vous nous donner votre avis sur ce point, les certificats doivent-ils être payants ? Quelle est la valeur ajoutée dans ce cas ?

Tout d'abord, le certificat gratuit de la DGI est en fait payé par la DGI. Les autorités de certification qui délivrent des certificats partout en France s'appuient sur leurs réseaux d'agences pour identifier les porteurs de certificats, ce qui garantit un niveau de sécurité plus élevé. Il va sans dire que cette procédure a un coût, donc un prix.

Les certificats ont-ils une valeur dans plusieurs pays ?

Pour qu'un certificat ait une valeur dans plusieurs pays, il faut avoir établi une reconnaissance croisée entre ces pays. Ceci se décide au niveau étatique. La France et tous les pays européens sont en train de mettre ces reconnaissances en place. C'est un travail purement juridique car les standards techniques existent déjà.

Et votre déclaration d'impôts, vous la faite sur Internet ?

Oui bien sûr et cela marche.

Au revoir et merci pour vos questions.