 Abonnez-vous aux flux RSS  |
e-signature : le garant de l'authenticité et de l'intégrité d'un message signature électronique : technique de signature pour les documents électroniques ayant la même valeur légale que la signature manuscrite. Elle assure l'authentification du signataire, l'intégrité du message et empêche la répudiation du document. Chrystèle Besson , Décision Micro, le 21/08/2002 à 08h00 Depuis la publication du décret d'application 272 du 30 mars 2001, la signature électronique a la même valeur légale que la signature manuscrite et " l'écrit électronique a la force probante de l'écrit sur support papier ". Les entreprises peuvent donc sécuriser tous leurs échanges sur Internet : transactions, e-mails, contrats, notes de services, etc. Selon la loi, la signature électronique doit identifier clairement le signataire, ainsi qu'être créée et conservée dans des conditions de nature à garantir son intégrité. Elle doit en outre être liée de façon indéfectible à qui l'utilise. Utilisation : trois niveaux de sécurité garantis En garantissant trois niveaux de sécurité (l'authentification, l'intégrité et la non-répudiation), la signature électronique introduit la notion de preuve légale dans les échanges dématérialisés. Elle confirme que l'entité qui s'identifie est bien ce qu'elle prétend être, que le message reçu est bien celui qui a été envoyé, qu'il n'a subi aucune altération, et empêche l'expéditeur de nier avoir envoyé le message et, symétriquement, le destinataire de l'avoir reçu. Pour accélérer l'adoption de cette technique, le ministère de l'Économie, des Finances et de l'Industrie (Minefi) a mis au point la procédure Télétv@, qui oblige les entreprises, dont le chiffre d'affaires dépasse 15,24 millions d'euros, à régler leur TVA en ligne depuis janvier 2002.Principe de fonctionnement : un processus fondé sur une PKI La signature électronique se fonde sur des processus définis dits de hachage et de chiffrement asymétrique. À l'inverse d'un système symétrique, elle exploite deux clés : l'une, privée, permet de signer les messages, et l'autre, publique, de vérifier l'authenticité de la signature. Les algorithmes utilisés sont censés garantir l'impossibilité de déduire la clé privée à partir de la clé publique. Si le principe est simple, sa mise en oeuvre, en revanche, reste complexe et coûteuse. Pour ce faire, il s'agit de distinguer l'Autorité d'enregistrement des clés privées (AE) et des certificats, l'entreprise le plus souvent, et l'Autorité de certification (AC). La seconde joue un rôle prépondérant : elle délivre les certificats et permet à des entreprises d'échanger des clés publiques. La valeur probante de la signature dépend donc à la fois de l'intervention de l'AC et du dispositif technique mis en place. Déployer la signature électronique impose d'installer des logiciels spécifiques sur les postes de travail et de s'appuyer sur le socle de la PKI (Public Key Infrastructure). Cette infrastructure se compose d'un logiciel d'AE, d'un logiciel d'AC et d'un annuaire LDAP pour gérer la technologie de certificat X.509 préconisée par l'IETF (Internet Engineering Task Force). La version 3 de X.509 permet de stocker des données personnelles utilisées notamment pour gérer les habilitations des signataires. En cours de standardisation, elle promet l'interopérabilité des certificats et la validation de l'horodatage. Par ailleurs, la PKI peut être installée en interne ou hébergée par un prestataire (une autorité de certification le plus souvent). Dans ce cas, elle implique la responsabilité de l'hébergeur. Dans tous les cas, l'interfaçage de l'annuaire LDAP avec le système d'information demeure fastidieux. La conservation des clés privées impose aussi des choix technologiques. L'idéal est de stocker les clés des signataires sur des cartes à puce ou des clés USB. Moins sûre, la sécurisation des accès aux PC où sont stockés ces éléments capitaux. À noter, des zones d'ombre juridiques et techniques subsistent sur l'archivage, l'horodatage des documents signés et sur la responsabilité des autorités de certification.Acteurs : peu de signatures en mode FAH La signature électronique implique différents types d'acteurs, tantôt complémentaires, tantôt concurrents. Des éditeurs comme Entrust, Baltimore ou RSA Security proposent de déployer des PKI (à partir de 60 000 e ht). Ces mêmes acteurs et d'autres spécialistes comme Lexign, Safelayer, Silanis et Trustycom fournissent des logiciels de signatures à intégrer dans la messagerie électronique et les applications de bureautique. D'autres encore, comme nCipher ou Rainbow Technologies, fournissent les matériels qui conservent les clés. Les autorités de certification sont également nombreux. Les banques (BNP Paribas-Authority Entreprise, Crédit Lyonnais, Crédit Agricole, SG Trust Services...) et les spécialistes (Certplus, Chambersign et Click and Trust) figurent parmi ceux qui émettent des certificats recevables par le Minefi. Si la plupart proposent d'héberger la PKI, peu offrent de la gérer en mode FAH (fourniture d'applications hébergées). À ce jour, seuls Certplus et Certinomis délivrent des services en ligne de PKI moyennant 15 000 e ht et 10 e ht le certificat logiciel.Alternatives : la seule technologie sérieuse Aucune autre technologie ne donne vraiment le change à la signature électronique. Sûre, celle-ci est à usage unique. Promise à un développement considérable, elle s'appliquera aux EDI (Electronic Data Interchange) comme aux documents signés " à la main ". Elle s'apposera aux données XML des échanges interentreprises grâce aux spécifications XML-Dsig de l'IETF et du W3C et XKMS (XML Key Management Specification) des éditeurs Verisign, Microsoft et webMethods.Selon le décret de loi français, le certificat doit être distribué par une autorité de certification (AC) accréditée afin que la signature soit " sécurisée " (l'équivalent étant " signature avancée " dans la directive européenne). À la différence du droit européen, ce décret ajoute que seule une signature sécurisée bénéficie de la présomption de fiabilité. Ce qui implique, en cas de litige, que le plaignant démontre que la signature n'est pas fiable. Cependant, le dispositif légal est incomplet. Annoncée pour le 11 octobre dernier, la parution de deux arrêtés au Journal officiel tarde toujours. Ces textes définiront les règles de création et de gestion de la signature électronique et des certificats. Le ministre de l'Industrie devra, de plus, désigner une autorité chargée d'accréditer les AC. Selon toute probabilité, la DCSSI (Direction centrale de la sécurité des systèmes d'information), placée sous l'autorité du Premier ministre et chargée de rédiger ces arrêtés, incarnera cette autorité. Pour l'heure, toutes les AC délivrent des certificats sans l'autorisation de l'état.
1976 : les prémices
Directive européenne du 13 décembre 1999 :
http://europa.eu.int/comm/internal_market/fr/media/ sign/99-915.htm
| |||||||||||||
|
|
|
Dossier spécial
|
|
|
Etes-vous prêts pour l'entreprise 2.0 ?
> Cet été, 01net. vous fait découvrir les avenirs possibles de votre quotidien au travail. Et vous demande votre opinion. |
 |
|
 |
|
 matériel Reportage au coeur d'un centre d'archivage gigantesque |
 système d'exploitation Plongée dans l'environnement Linux des députés |
 conversation high-tech Kiwi mail : l'archivage externalisé de la totalité de sa messagerie |
|
||||
 |
||||
 |
|
  |
Villes, départements et régions, retrouvez leurs dépenses et investissements informatiques et télécoms en partenariat avec Secteurpublic.fr Cette semaine
|
 |
Pour retrouver toute l'actualité des noms de domaine Cliquez ici
|
 |
|
|
|
 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Semaine du 9 au 15 juillet 2008
Le classement des hébergeurs sur serveur dédié reste inchangé D’une semaine sur l’autre, les cinq hébergeurs sur serveurs dédiés affichent des performances d’une stabilité impressionnante. En revanche, l’hébergement en environnement haute disponibilité connaît plus de variations... Environnement haute-disponibilité
Serveurs dédiés
01net.com, en partenariat avec  , mesure chaque semaine les performances des hébergeurs |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
 |
|
Pour retrouver tout le test des opérateurs ToIPCliquez ici
|
|
 |
 |
|
| Abonnez-vous gratuitement ! | |
|
|
|
 |
|
 |
Des détails sensibles sur la mégafaille Internet diffusés par mégarde |
 |
|
|
AMD perd un milliard de dollars et remercie son PDG |
|
|
|
La sécurité de millions de cartes à puce sans contact sérieusement remise en question |
|
|
|
La bande magnétique dépasse le téraoctet ! |
|
|
|
La direction d'IBM ne veut toujours pas d'augmentations salariales générales, selon les syndicats |
|
|
| > tout le classement |
|
 |
|
Une école de management publie gratuitement ses cours sur InternetKeyyo casse les prix de la téléphonie sur IPMarketae, un site pour noter ses fournisseurs
|
|
écrire à l'auteur
imprimer
envoyer par mail
