Sécuriser les signatures électroniques : quelques conseils

L'usage de la signature électronique continue de se développer très fortement et ce, aussi bien en B2B qu'en B2C, et dans tous les secteurs d'activités (banque, assurance, immobilier...).

 Si, grâce à l'évolution des technologies faciles à mettre en oeuvre et à l'apparition d'une législation Européenne commune, l'utilisation de la signature électronique s'est largement simplifiée, il restait néanmoins deux zones d'ombre susceptibles d'avoir des conséquences fâcheuses en cas de mauvaise gestion.
Rappelons que selon la législation européenne, pour être recevables juridiquement, en cas de contrôle de l’Administration ou de contentieux judiciaire, les documents électroniques doivent impérativement être archivés dans des conditions de nature à garantir leur intégrité. Une grande partie des documents d’une organisation (contrats, bons de commande, PV de recette/réception de chantier etc…) étant susceptibles de constituer des preuves en cas de contentieux, il convient donc de s’assurer qu’ils ne puissent pas être altérés (volontairement ou non) pendant toute la durée des obligations de conservation. Sans compter que l’organisation doit pouvoir en disposer à tout moment et les utiliser jusqu’à leur date de prescription.  La signature électronique et son dossier de preuve. En cas de contentieux impliquant un document (notamment contractuel) ayant fait l’objet d’une signature électronique, il conviendra également de fournir le dossier de preuve et de traçabilité démontrant :

. Les processus mis en place 

. Le lien entre le document et la personne dont il émane

. Le consentement donné par le signataire

. Les contrôles d’intégrité effectués (modalités, periodicité etc.)

. L’algorithme utilisé pour cette gestion de l’intégrité

. La validité de la signature électronique (et du certificat associé) au moment de son apposition sur le document 

. La non-compromission de l’algorithme de signature utilisé. 

Ainsi, en cas de litige, l’expert nommé par le tribunal pourra réaliser des contrôles techniques (vérification de l’empreinte du document, comparaison avec l’empreinte dans la signature, verification du rapport de validation de la signature etc.) et fournir au juge les éléments lui permettant de décider s’il peut (ou non) admettre ces documents électroniques comme preuves. 

Avez-vous vérifié la validité des certificats de vos signatures électroniques ? En effet, la signature électronique est associée à l’utilisation d’un certificat dont la durée de validité est, en général, de 2 ou 3 ans. Si, au moment de la signature, on sait pertinemment que le certificat utilisé pour signer est valide (non échu et non révoqué par son propriétaire) et s’il est aisé de le vérifier pendant sa durée de vie, il n’est cependant plus possible de le faire au-delà de ces 2 à 3 ans. Ce qui peut s’avérer préjudiciable en cas de contentieux. Aussi est-il très important de « valider » cette signature dès son apposition sur le document. 

Les étapes de la vérification/validation  
Pour apporter une réponse au marché et rassurer les utilisateurs, le règlement Européen eIDAS, entré en vigueur le 1er juillet 2016, a introduit plusieurs services de confiance spécifiques. L’un d’entre eux est justement dédié à la validation des signatures électroniques qualifiées et est assuré par des Prestataires de Services de Confiance Qualifiés eIDAS (PSCQ) dont la liste est disponible ici. En proposant ce service, ce fameux PSCQ va :

. s’assurer de la présence de la signature et de l’intégrité du document transmis, 
. vérifier que le certificat utilisé était valide au moment de la signature,
. identifier le signataire,
. interroger les services externes nécessaires (Trusted-List Européenne, jetons OCSP, Listes des certificats révoqués). 

Le précieux rapport de validation

Une fois ces vérifications faites, un rapport de validation est généré au format XAdES (XML signé) et ajouté aux éléments de l’enveloppe d’archive, au même titre que l’Objet d’Archive (le document signé et archivé) et le fichier de métadonnées. Ce rapport est intégré dans le scellement de l’archive. Ce qui permettra d’apporter ultérieurement la preuve de la validité de la signature au moment du versement du document à archiver et de consolider le dossier de preuve. In fine, lorsqu’une organisation voudra consulter son document, elle pourra aussi consulter le rapport de validation et disposer de tous les éléments nécessaires. 

Signatures qualifiées et avancées

Si ce service de validation concerne initialement les signatures électroniques « qualifiées », il peut aussi être utilisé dans le cas de signatures électroniques de type « avancées » ou « simples ». En effet, dans ces deux derniers cas, lorsque la signature est contestée par le signataire (s’il estime qu’il n’a pas donné son consentement explicite ou que son identité ne peut pas être prouvée), celui qui lui a proposé d’utiliser la signature électronique doit apporter la preuve la plus complète possible du consentement et de son rattachement au document ainsi signé. C’est à lui que revient la charge de la preuve (et par ricochet à son fournisseur de service/logiciel de signature électronique). Il convient donc qu’il dispose un dossier de preuve contenant le maximum d’éléments afin d’emporter la conviction du juge. La signature électronique « qualifiée » est quant à elle recevable de fait (l’Article 25 du Règlement Européen n° 910/2014 appelé « eIDAS » stipule que «l’effet juridique d’une signature électronique qualifiée est équivalent à celui d’une signature manuscrite »).

C’est d’ailleurs l’un de ses principaux avantages. La charge de la preuve appartient dans ce cas au signataire qui conteste. Faire appel à un PSCQ eIDAS permet de garantir la validation de tous les types de signatures électroniques (qualifiées et avancées). Ce dernier dispose en effet de qualifications reconnues pour fournir à un juge toutes les preuves nécessaires. Une bonne façon de se préserver en cas de contestation de la part d’un client. 

 Après la validation, la préservation


L’autre sujet sensible concernant la conservation à long terme de documents dotés d’une signature électronique est lié au fait que cette signature électronique est associée à l’utilisation d’algorithmes cryptographiques. Or, ceux-ci sont susceptibles d’évoluer en fonction des risques de piratage ou d’obsolescence technologique. Pour y voir plus clair, le règlement eIDAS a donc également introduit un service de confiance dédié à la préservation des signatures électroniques. Ainsi, en cas d’alerte par les autorités en charge de la Sécurité des Systèmes d’Information (en France, l’ANSSI) liée à une éventuelle compromission de l’algorithme utilisé, ce service de préservation effectuera une sur-signature du document avec un nouvel algorithme plus récent et plus robuste. Ce qui empêchera toute modification de l’algorithme de signature et potentiellement toute « appropriation » de la signature par une personne/organisation « malfaisante ».

 

Protection renforcée

Cette protection permet aux organisations utilisant un service d’archivage électronique à valeur probatoire pour la conservation de documents dotés d’une signature électronique, de disposer de documents recevables juridiquement en cas de contentieux, mais aussi de se protéger d’éventuelles cyberattaques, d’éviter le vol de données et de se prémunir contre l’obsolescence technologique ou la compromission des algorithmes utilisés pour la signature. 

 

Sachez enfin que ces deux services sont utilisables dans toute l’Union Européenne et qu’ils n’ont d’autre vocation que de renforcer la confiance des organisations dans la signature électronique.