C’est fait ! Tous les acteurs du marché de la signature électronique attendaient ce moment depuis de longs mois. Le suspense a pris fin le 31 mars 2001, jour où fut publié au Journal officiel le décret d’application de la loi sur la signature électronique. Elle a maintenant officiellement la même valeur que la signature manuscrite.Reste à attendre deux arrêtés pour que la loi soit complète. Le Premier ministre doit définir les règles qui permettront de vérifier la sécurité d’un système de création de signature, et le ministre de l’Industrie doit désigner l’instance qui délivrera les accréditations des prestataires de services de certification. Malgré ces deux points en suspens, la signature électronique est une révolution réussie en douceur. En effet, cette date risque bien de marquer un tournant pour les transactions électroniques sécurisées, nécessaires au développement du commerce électronique ou des échanges avec l’administration (déclaration de TVA et dossier médical). Le manque de moyen de contrôle pour s’assurer de l’identité de l’internaute et de l’intégrité du message qu’il envoie est un obstacle qui freinait le développement de ces opérations. Cette double barrière est maintenant levée en France. Il est désormais possible d’identifier formellement une personne ou une entreprise et de vérifier l’intégrité du message qu’elle a envoyé.Concrètement, la signature électronique a la même valeur juridique que la signature manuscrite. Il est, en effet, clairement spécifié que“l’écrit sur support électronique a la même force probante que l’écrit sur support papier”. Un juge ou un magistrat ne pourra pas privilégier l’une au détriment de l’autre. Une grande partie des contestations au sujet des transactions électroniques devrait donc disparaître.Toutefois, plusieurs conditions doivent être remplies afin de s’assurer que le procédé technique de la signature électronique garantit cette reconnaissance juridique. D’abord, la signature électronique doit identifier clairement le signataire. Ensuite, le destinataire doit connaître, sans ambiguïté possible, la personne qui émet le message. De plus, le procédé d’identification garantit le lien entre le signataire et le document qu’il transmet. Enfin, la signature électronique doit assurer que le message reçu n’a pas été altéré ou modifié par une personne externe.
Assurer l’intégrité du document
Pour remplir ces conditions, la signature est générée en respectant une procédure clairement établie. Il faut, dans un premier temps, utiliser une fonction de hachage. Cette fonction mathématique transforme le document initial à signer en une série de 128 bits (en utilisant la fonction Message digest 5) ou 160 bits (avec la fonction Secure hash algorithm).Ce nombre de bits est indépendant de la longueur initiale du document. Cette série est appelée un condensat. Cette fonction assure l’intégrité du document. En effet, si le moindre caractère du document d’origine est modifié, le résultat obtenu avec la fonction de hachage est différent. Reste qu’il est toujours possible de générer deux condensats identiques. Le risque n’est pas nul mais infime. Une fois cette empreinte créée, elle est ensuite chiffrée à l’aide de mécanismes de chiffrement asymétrique, communément appelés systèmes à clé privée et publique.Ce système de clé comporte plusieurs caractéristiques : la clé de chiffrement est différente de la clé de déchiffrement ; les deux clés sont créées ensemble, liées par algorithmes, et sont indissociables. De plus, il est impossible, en disposant de l’une des deux clés, de découvrir la seconde. Enfin, tout texte chiffré avec la clé privée ne peut être déchiffré qu’avec la clé publique. Le résultat du chiffrement du condensat est donc appelé signature électronique. Celle-ci est ajoutée au message juste avant qu’il ne soit envoyé. Il devient ainsi signé.Le destinataire reçoit un document accompagné de sa signature électronique. Avec la clé publique, il déchiffre la signature électronique et obtient ainsi le condensat du fichier original. Grâce à une application intégrée aux offres des éditeurs spécialisées, il calcule le condensat du fichier reçu et compare le résultat obtenu avec le condensat reçu. Si les deux sont identiques, le message n’a pas été modifié lors de son envoi. En cas de modification ou d’altération du fichier, le condensat recalculé par le destinataire est différent de celui envoyé. Le fait de déchiffrer le message avec la clé publique authentifie l’émetteur.
Contrôler l’authenticité de la clé publique
En pratique, les entreprises sont confrontées à un problème de sécurité et de confidentialité. La clé privée utilisée pour signer les documents appartient à l’émetteur. Il faut la conserver en sécurité, car c’est la pièce maîtresse du système.De nombreux acteurs se sont attaqués à ce problème, et la palette des offres est très vaste aujourd’hui. Cela va d’un enregistrement chiffré sur le disque dur de la machine à son implantation dans une carte à puce.En revanche, la clé publique, elle, doit être connue des destinataires. Elle va leur permettre de vérifier l’identité du signataire. Toutefois, dans ce mode de fonctionnement de type asymétrique, une question revient régulièrement : reçoit-on la bonne clé publique ?Pour pouvoir vérifier la signature numérique, les destinataires des documents doivent pouvoir contrôler l’authenticité de la clé publique utilisée pour le chiffrement. Sans une telle garantie, il n’est pas assuré qu’un document signé ainsi que la clé publique qui l’accompagne sont bien émis par l’expéditeur et non pas par une personne tierce qui tenterait d’usurper son identité. Pour éviter une telle mésaventure, il convient d’établir une relation d’approbation de clé publique avant l’échange des documents.Il existe deux modèles d’approbation de clé publique : l’approbation directe et l’approbation tierce. Dans le premier cas, le destinataire et l’émetteur se connaissent et approuvent directement la transaction. C’est le cas dans un Intranet d’entreprise où les interlocuteurs se connaissent et sont liés par l’appartenance à une même entité. L’échange des clés publiques s’effectue alors de façon personnelle ou de manière sécurisée. Dans le modèle d’approbation tierce, les deux entités souhaitant dialoguer ne se connaissent pas forcément. Dans ce cas, ils font tous les deux appels à des tiers de confiance, qui jouent le rôle d’intermédiaire pour échanger les clés.
Le rôle central des autorités de certification
Le modèle reposant sur des tiers fait appel à une autorité d’enregistrement et à une autorité de certification. Ces autorités sont des organismes fiables et dignes de confiance qui se portent garants de la validité et de l’intégrité des clés publiques. Il est prévu à cet effet la création d’une instance chargée ” d’accréditer ” ces organismes de certification. La confiance accordée à un certificat dépend directement du sérieux de l’organisme qui le délivre. Quelle valeur aurait, dans un autre domaine, une carte grise délivrée par une obscure officine et non par la préfecture ?Les autorités de certification garantissent les clés publiques en attribuant aux utilisateurs un certificat numérique contenant l’identité de l’utilisateur, la clé publique et la date d’expiration de la clé. Pour cela, elles mettent en place des procédures de contrôle avant de délivrer ces certificats. Toutes les informations sont recoupées pour s’assurer de leur authenticité.Actuellement, de nombreuses sociétés commerciales proposent des certificats. Il a donc fallu mettre en place une architecture de gestion de certificats globale pour délivrer, gérer et révoquer les certificats. Les autorités de certification reçoivent les demandes de création de certificats. Elles vérifient la validité de la signature des messages reçus, l’intégrité de la demande et l’authenticité des émetteurs. Elle envoie, ensuite, les certificats aux utilisateurs.Ces instances utilisent leur propre clé privée pour signer les certificats numériques qu’elles émettent. Cette clé privée doit donc être ultraconfidentielle. En effet, si un tiers prend connaissance de cette clé, il pourra générer de faux certificats. Ces autorités ont le plus souvent recours à un certificat de type X.509. Ce dernier est un standard adopté par l’UIT. Il décrit le contenu des certificats numériques.
Comment s’assurer de la validité de la signature ?
Ces documents associent la clé publique d’un algorithme de chiffrement asymétrique à des informations relatives à un sujet (nom d’une personne ou d’un serveur, adresse e-mail, par exemple). Sa vocation est de permettre l’utilisation de techniques cryptographiques qui ne présupposent pas la connaissance préalable d’un secret commun. Il résout ainsi le problème ardu de la distribution de la clé secrète d’un algorithme de chiffrement symétrique.Un certificat numérique remplace, en quelque sorte, le timbre-poste que l’on retrouve sur une enveloppe classique. La signature numérique du certificat résulte d’une fonction de hachage (Message digest), appliquée au contenu à certifier, chiffré à l’aide de la clé privée de l’autorité de certification ; sa vérification ne nécessitera donc que la connaissance de la clé publique de l’autorité de certification.Un problème subsiste toutefois : comment s’assurer de la validité de la signature apposée par l’autorité de certification ? Cette opération s’effectue en vérifiant le certificat associant la clé publique de l’autorité de certification à son nom. Ce certificat autosigné est le certificat racine (CA root certificate). Il faut le posséder afin de vérifier la validité des certificats émis par l’autorité.Cette organisation de gestion conduit à une structure arborescente dans laquelle tout repose sur l’intégrité du certificat racine. La clé privée utilisée lors de la signature du certificat racine doit absolument être conservée en milieu sécurisé (tel le coffre-fort d’une banque).
Une série de certificats intermédiaires
Les autorités de certification génèrent souvent une série de certificats intermédiaires dont les clés privées servent à signer les certificats de leurs clients. Cela permet de conserver la clé privée du certificat racine en lieu sûr (et non sur une machine en ligne, par exemple) et de révoquer les certificats intermédiaires dont les clés privées auraient été compromises sans remettre en cause toute la structure. Les certificats contenant les clés publiques des principales autorités de certification sont pré-installés dans les navigateurs courants (Netscape et Internet Explorer). Ils permettent ainsi la vérification automatique des documents portant leurs signatures. Le passage de la définition abstraite du document à un certificat numérique se fait en appliquant les règles d’encodage DER (Distinguished encoding rules), un sous-ensemble des règles BER (Basic encoding rules) décrites dans les recommandations ITU-T X.208.Toutefois, le format DER des certificats numériques se prête mal aux applications de type courrier électronique car il contient des octets qui pourraient être ” malmenés ” par certains logiciels de transfert de messages. Le format PEM (Privacy enhanced mail) y remédie en utilisant l’encodage base 64.Enfin, lorsque l’autorité de certification délivre un certificat, il contient sa date de création et une date de fin de validité. Généralement, un certificat a une durée de vie fixe par défaut.Si le possesseur de ce document est une personne ayant une mission à durée déterminée dans l’entreprise, celle-là définira la durée de vie du certificat. Toutefois, la date seule n’est pas suffisante pour invalider, dans certains cas, des certificats. En effet, une personne peut très bien changer de service, quitter l’entreprise ou se faire subtiliser son certificat. Dans ce cas, il faut l’invalider. Chaque autorité de certification publie régulièrement la liste des certificats révoqués, aussi appelée des Certificat Revocation Lists ou CRL. Son format est défini par le protocole X.509 V2 CRL (RFC 2459). Ces listes sont le plus souvent entreposées dans un annuaire LDAP, directement accessible par le Web. Afin de garantir l’intégrité et l’origine du contenu, elle est signée par l’émetteur. Quoi qu’il en soit, il est probable que la signature électronique n’entrera pas en vigueur avant plusieurs mois.En effet, les organismes d’accréditation des autorités de certification ne sont pas encore mis en place. En outre, cette application demande une délicate alchimie entre une logique juridique, une approche de services et la mise en ?”uvre de technologies complexes.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
