Passer au contenu

Signature électronique : encore peu déployée

Les contraintes techniques et juridiques freinent l’adoption de la signature électronique. Et ce, en dépit de l’offre de certificats et de PKI hébergée.

Depuis la publication du décret d’application 272 du 30 mars 2001, la signature électronique a la même valeur légale que la signature manuscrite.En théorie, elle peut donc sécuriser tous les échanges sur Internet : transactions, e-mails, formulaires, etc.Sur le terrain, peu d’entreprises arrivent à surmonter les contraintes techniques et juridiques pour la mettre en ?”uvre.

Identifier le signataire

Selon la loi en vigueur, la signature électronique doit identifier clairement le signataire, être créée et conservée dans des conditions de nature à en garantir l’intégrité, mais aussi être liée de façon indéfectible à celui qui la produit.”La technologie remplit ces conditions, mais le dispositif légal est incomplet. Il manque un arrêté pour que la signature électronique ait une valeur juridique devant un tiers. En attendant sa publication, nous nous entendons avec les entreprises avec lesquelles nous échangeons des documents signés électroniquement pour leur conférer une valeur légale “, relate Thierry Champetier de Ribes, directeur des systèmes d’information de Gras Savoye.Depuis dix mois, ce courtier d’assurances a retiré près de 600 certificats auprès de Certplus et envisage un déploiement massif auprès de 2 000 salariés d’ici à 2003. La loi fixera alors les règles de création et de gestion des certificats (les identités numériques des signataires), sans lesquels il est impossible de mettre en ?”uvre la signature électronique. Et une autorité désignée par l’État remettra des accréditations aux prestataires chargés de les délivrer.Pour l’heure, ces prestataires de services de certification (PSC) tels que Certplus, Certinomis, Click & Trust, VeriSign ou encore Magicaxess créent et remettent ces identités numériques sans homologation. Tous hébergent la PKI (Public Key Infrastructure), l’architecture globale de sécurité permettant d’intégrer la signature électronique dans le système d’information.”Nous gérons les certificats et les droits des utilisateurs au sein de notre annuaire LDAP. Sa mise en place représente la plus grosse part du chantier “, précise Thierry Champetier de Ribes. Ce directeur des systèmes d’information estime le coût total de sa plate-forme de signatures à 150 000 euros et réfléchit déjà aux difficultés relatives aux processus d’horodatage et d’archivage. Gras Savoye se tourne vers la technologie de certificat X.509 préconisée par l’IETF (Internet Engineering Task Force).Toujours en cours de standardisation, cette technologie promet, entre autres, l’interopérabilité des certificats et la validation de l’horodatage.“Le coût et la complexité de la mise en ?”uvre des solutions des PSC classiques nous ont fait changer d’avis. De plus, afin de stocker les clés qui servent à produire les signatures, nous ne souhaitions ni installer de logiciels sur les PC, ni investir dans un matériel spécifique comme les lecteurs de cartes à puce ou les clés USB “, admet pour sa part Sébastien Motala, directeur technique d’Eehanko. Moyennant 40 euros par an, six utilisateurs de cette SSII spécialisée en sécurité sanitaire signent donc les e-mails envoyés aux laboratoires pharmaceutiques grâce au service en ligne de Magicaxess.

Un navigateur web peut suffire

Pour ce faire, il leur suffit de déposer leurs fichiers sur le site web du PSC, puis d’indiquer leur numéro de téléphone portable ainsi que l’adresse e-mail des destinataires. Automatiquement, le serveur génère un sceau à usage unique. Ce sceau est ensuite envoyé par SMS, via la plate-forme de l’opérateur Netsize, vers le téléphone mobile du signataire.Celui-ci n’a plus qu’à saisir le sceau sur le site de Magicaxess pour confirmer son identité et déclencher une signature électronique. De fait, Magicaxess émet les certificats et conserve les clés des utilisateurs sur sa plate-forme de PKI en salle blanche, chez Thales Secure Solutions. De même, la déclaration de TVA par Internet ne nécessite qu’un navigateur.“L’essentiel de l’opération a consisté en démarches déclaratives pour obtenir les certificats auprès de Certinomis “, résume Cyriaque Guespin, directeur technique et responsable du projet TéléTV@ de Bayer. Comme tous les grands comptes dont le chiffre d’affaires dépasse 15,25 millions d’euros, cette entreprise a réglé sa TVA en ligne et opté pour un certificat délivré par un PSC agréé par le ministère de l’Économie, des Finances et de l’Industrie. Il a suffi ainsi de suivre la procédure EFI de transmission des formulaires Internet de l’administration.”Le certificat se charge automatiquement dans le navigateur. Signer la déclaration en ligne n’a posé aucune difficulté“, rapporte Cyriaque Guespin. ” Le plus fastidieux a été de déployer une centaine de lecteurs de cartes à puce sur nos 50 sites. Car nous avons stocké les certificats de Click & Trust sur des cartes à puce pour garantir leur protection “, conclut Christophe Chevalier, trésorier France du groupe Accor.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Chrystèle Besson