Un pli urgent à envoyer à son expert-comptable ? Des plans à transférer aux ingénieurs de la filiale de Hong Kong ? Des factures à faire valider ? La tentation est grande de le faire par courrier électronique, histoire de gagner du temps. Mais il est bien connu qu’internet est un milieu ouvert et peu sécurisé. Comment garantir que le courrier reçu provient du bon interlocuteur ? Comment s’assurer qu’il n’a pas été modifié ? Tel est le rôle de la signature électronique. Actuellement, trois types de technologies permettent de certifier l’authenticité et l’intégrité d’un message en ligne. La première, qui ne nécessite pas de terminal spécifique, fait appel à un système de clés logicielles, la deuxième utilise des cartes à puce, et la troisième la biométrie.L’usage des clés privées et publiques (PKI) est la méthode la plus rapide. Il s’agit, à l’aide d’un algorithme, d’associer au document un nombre composé de 128 ou 168 bits. L’empreinte ainsi générée ?” appelée hash ou condensat ?” permet de s’assurer de l’authenticité du fichier numérique. En outre, cet algorithme permet de sécuriser ses envois, puisqu’il génère deux clés : l’une privée, grâce à laquelle l’expéditeur peut crypter le document, et l’autre, accessible à tous, utilisée par le destinataire pour le décryptage. L’usage des PKI suppose toutefois que l’on puisse associer à coup sûr la clé privée à son utilisateur. Cette opération peut être réalisée en interne ou confiée à des prestataires.En France, Certinomis (filiale de Sagem et de La Poste) et Certplus (filiale du géant américain Verisign, France Telecom, Gemplus et Aerospatiale Matra) délivreront les certificats de PKI pour que, dès le mois de mai prochain, les sociétés puissent payer leur TVA en ligne. Thawte (une autre filiale de Verisign ), l’Irlandais Baltimore Technologies et le Canadien Entrust ont aussi leurs solutions. Des start-up se lancent également sur le créneau. Magicaxess propose ainsi d’utiliser le téléphone portable (indubitablement lié à son propriétaire). Au moment de signer, l’utilisateur clique sur l’icône Magicaxess de son mobile. Un code de transaction unique s’y affiche, qui doit être saisi sur le clavier de son ordinateur. Les risques ? “Ils existeront toujours : dans ce domaine, une technologie ne reste sûre que quelques mois, quelques années tout au plus. À nous d’établir des barrières longues et difficiles à franchir“, observe Martin Lafon, l’un des fondateurs de Magicaxess. Les opérateurs de certification se sont d’ailleurs prémunis contre le risque de piratage en contractant des assurances.La carte à puce permet, de son côté, de stocker le programme de cryptage, et les informations d’identité. L’utilisateur saisit son code directement sur le terminal de lecture, puis la transaction est cryptée et traitée via internet. Le consortium Cyber-comm (banques, organismes financiers, fournisseurs de cartes à puce et industriels) diffuse des lecteurs de carte à puce sécurisés pour le paiement. Sur ce segment, Gemplus, qui a réalisé un résultat net de 99 millions d’euros (650 millions de francs) en 2000, est un acteur majeur, suivi par Xiring, développeur du porte-monnaie électronique Moneo (expérimenté à Tours en octobre 1999).La biométrie est la troisième et dernière méthode exploitée pour certifier la provenance des documents. En effet, quel meilleur moyen d’identifier une personne que de reconnaître son écriture, sa voix, ses empreintes digitales ou le dessin du réseau veineux de son ?”il ? La start-up israélienne Wondernet a mis au point un logiciel qui analyse l’écriture à partir d’une dizaine de facteurs : vitesse de calligraphie, rythme des impulsions du stylo… Chaque petite manie est ainsi analysée, cryptée, puis stockée. L’expéditeur est reconnu ?” ou rejeté ?” en signant sur une tablette graphique. Quant à la reconnaissance d’empreintes digitales, son usage n’est plus réservé à la police. De nombreuses sociétés, comme l’Australien Authentec, proposent en effet des plateformes de lecture. Compaq vient de démocratiser la méthode en intégrant un lecteur (au format PC card) à ses nouveaux modèles de portables, Armada E500 et M700. L’empreinte digitale est numérisée, convertie en image, codée, puis stockée. L’authentification se fait ensuite par simple comparaison. Et si la mise en ?”uvre de cette méthode se révèle onéreuse, comparée aux coûts des autres systèmes, le choix de la technique d’identification dépendra avant tout du niveau de sécurité recherché.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
