Depuis la publication du décret d’application 272 du 30 mars 2001, la signature électronique a la même valeur légale que la signature manuscrite et ” l’écrit électronique a la force probante de l’écrit sur support papier “. Les entreprises peuvent donc sécuriser tous leurs échanges sur Internet : transactions, e-mails, contrats, notes de services, etc. Selon la loi, la signature électronique doit identifier clairement le signataire, ainsi qu’être créée et conservée dans des conditions de nature à garantir son intégrité. Elle doit en outre être liée de façon indéfectible à qui l’utilise.
Utilisation : trois niveaux de sécurité garantis
En garantissant trois niveaux de sécurité (l’authentification, l’intégrité et la non-répudiation), la signature électronique introduit la notion de preuve légale dans les échanges dématérialisés. Elle confirme que l’entité qui s’identifie est bien ce qu’elle prétend être, que le message reçu est bien celui qui a été envoyé, qu’il n’a subi aucune altération, et empêche l’expéditeur de nier avoir envoyé le message et, symétriquement, le destinataire de l’avoir reçu. Pour accélérer l’adoption de cette technique, le ministère de l’Économie, des Finances et de l’Industrie (Minefi) a mis au point la procédure Télétv@, qui oblige les entreprises, dont le chiffre d’affaires dépasse 15,24 millions d’euros, à régler leur TVA en ligne depuis janvier 2002.
Principe de fonctionnement : un processus fondé sur une PKI
La signature électronique se fonde sur des processus définis dits de hachage et de chiffrement asymétrique. À l’inverse d’un système symétrique, elle exploite deux clés : l’une, privée, permet de signer les messages, et l’autre, publique, de vérifier l’authenticité de la signature. Les algorithmes utilisés sont censés garantir l’impossibilité de déduire la clé privée à partir de la clé publique. Si le principe est simple, sa mise en ?”uvre, en revanche, reste complexe et coûteuse. Pour ce faire, il s’agit de distinguer l’Autorité d’enregistrement des clés privées (AE) et des certificats, l’entreprise le plus souvent, et l’Autorité de certification (AC). La seconde joue un rôle prépondérant : elle délivre les certificats et permet à des entreprises d’échanger des clés publiques. La valeur probante de la signature dépend donc à la fois de l’intervention de l’AC et du dispositif technique mis en place. Déployer la signature électronique impose d’installer des logiciels spécifiques sur les postes de travail et de s’appuyer sur le socle de la PKI (Public Key Infrastructure). Cette infrastructure se compose d’un logiciel d’AE, d’un logiciel d’AC et d’un annuaire LDAP pour gérer la technologie de certificat X.509 préconisée par l’IETF (Internet Engineering Task Force). La version 3 de X.509 permet de stocker des données personnelles utilisées notamment pour gérer les habilitations des signataires. En cours de standardisation, elle promet l’interopérabilité des certificats et la validation de l’horodatage. Par ailleurs, la PKI peut être installée en interne ou hébergée par un prestataire (une autorité de certification le plus souvent). Dans ce cas, elle implique la responsabilité de l’hébergeur. Dans tous les cas, l’interfaçage de l’annuaire LDAP avec le système d’information demeure fastidieux. La conservation des clés privées impose aussi des choix technologiques. L’idéal est de stocker les clés des signataires sur des cartes à puce ou des clés USB. Moins sûre, la sécurisation des accès aux PC où sont stockés ces éléments capitaux. À noter, des zones d’ombre juridiques et techniques subsistent sur l’archivage, l’horodatage des documents signés et sur la responsabilité des autorités de certification.
Acteurs : peu de signatures en mode FAH
La signature électronique implique différents types d’acteurs, tantôt complémentaires, tantôt concurrents. Des éditeurs comme Entrust, Baltimore ou RSA Security proposent de déployer des PKI (à partir de 60 000 e ht). Ces mêmes acteurs et d’autres spécialistes comme Lexign, Safelayer, Silanis et Trustycom fournissent des logiciels de signatures à intégrer dans la messagerie électronique et les applications de bureautique. D’autres encore, comme nCipher ou Rainbow Technologies, fournissent les matériels qui conservent les clés. Les autorités de certification sont également nombreux. Les banques (BNP Paribas-Authority Entreprise, Crédit Lyonnais, Crédit Agricole, SG Trust Services…) et les spécialistes (Certplus, Chambersign et Click and Trust) figurent parmi ceux qui émettent des certificats recevables par le Minefi. Si la plupart proposent d’héberger la PKI, peu offrent de la gérer en mode FAH (fourniture d’applications hébergées). À ce jour, seuls Certplus et Certinomis délivrent des services en ligne de PKI moyennant 15 000 e ht et 10 e ht le certificat logiciel.
Alternatives : la seule technologie sérieuse
Aucune autre technologie ne donne vraiment le change à la signature électronique. Sûre, celle-ci est à usage unique. Promise à un développement considérable, elle s’appliquera aux EDI (Electronic Data Interchange) comme aux documents signés ” à la main “. Elle s’apposera aux données XML des échanges interentreprises grâce aux spécifications XML-Dsig de l’IETF et du W3C et XKMS (XML Key Management Specification) des éditeurs Verisign, Microsoft et webMethods.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
