Signature électronique : Dossier technique
Voir également le la
signature électronique: le grand saut
Définition de la signature électronique
dans le contexte juridique international
La CNUDCI
|
La Commission des Nations Unies pour le Droit Commercial International a élaboré, dès 1996, une loi de référence sur le commerce électronique qui a été suivie par une loi spécifique sur la signature électronique. Cette loi est encore à l’état de projet, mais devrait incessamment être adoptée. |
 |
La définition qu’elle apporte de la signature électronique est la suivante : " le terme signature électronique désigne des données, sous forme électronique, contenues dans un message de données ou jointes ou logiquement associées audit message, pouvant être utilisées pour identifier le signataire dans le cadre du message de données et indiquer qu’il approuve l’information qui y est contenue ". Cette définition attribue deux éléments fondamentaux à la signature électronique : l’identification du signataire et l’approbation de l’information contenue dans le message de données. L’approche retenue ici est donc une approche fonctionnell
La Directive européenne du 12 décembre 1999 sur la signature électronique
Elle définit la signature électronique en deux étapes.
- La première est une définition générale inscrite à l’article 2-1 de la Directive : " la signature électronique correspond à une donnée sous forme électronique, qui est jointe ou liée logiquement à d’autres données électroniques et qui sert de méthode d’authentification ".
- La seconde correspond à l’article 2-2 et concerne la signature électronique avancée qui est définie comme devant satisfaire aux exigences suivantes : " être liée uniquement au signataire ; permettre d’identifier le signataire ; être créée par des moyens que le signataire puisse garder sous son contrôle exclusif ; être liée aux données auxquelles elle se rapporte de telle sorte que toute modification ultérieure des données soit détectable ". Cette définition s’apparente plus à une démarche technique qu’à une démarche purement fonctionnelle.
Définition de la signature électronique
dans la loi française
La législation française
L’article 1316-4 du Code Civil modifié par la loi 2000-230 du 13 mars 2000 donne la définition suivante : " la signature nécessaire à la perfection d’un acte juridique identifie celui qui l’appose. Elle manifeste le consentement des parties aux obligations qui découlent de cet acte ". Cette définition se rapproche de celle qui est proposée par la CNUDCI, mais ne donne qu’une vision générale du concept de la signature. Le même article précise que : " lorsqu’elle est électronique, elle consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache ".
L’article 1-1 du décret propose une définition encore
plus précise : " signature électronique : une donnée
qui résulte de l’usage du procédé répondant
aux conditions définies à la première phrase du second
alinéa de l’article 1316-4 du code civil ".
Définition technique
La signature est un concept qui recouvre deux fonctions : identification du signataire et validation du document (intégrité par rapport à ce que le signataire a signé)..
La définition donnée par le Code Civil découle d’un certain nombre de jurisprudences et d’applications empiriques de la signature.
La signature électronique est le résultat de la mise en œuvre de différents moyens et processus et permettant de remplir les fonctions d’une signature. Cette définition s’appuie notamment sur la signature numérique, la certification et voire l’horodatage. L’objectif est de couvrir l’ensemble de la chaîne, du signataire au vérificateur.
La signature numérique
Il s’agit d’un terme repris par les ingénieurs et dont la définition peut poser un certain nombre de problèmes dans le sens où elle ne peut pas être considérée comme une signature au sens juridique.
La définition que propose ISO est la suivante : " élément rajouté à des données, ou transformation cryptographique de données, qui permet à un destinataire des données de vérifier l’origine et l’intégrité des données et protège contre leur falsification, notamment par le destinataire ".
La signature numérique s’appuie sur la cryptographie asymétrique.
Elle utilise un bi-clef constitué d’une clef privée
connue par son seul propriétaire et d’une clef publique. L’algorithme
asymétrique qui utilise ces deux clef présente la propriété
suivante : ce qui est chiffré par l’une ne peut être
déchiffré que par l’autre et inversement. Ainsi, si
l’on chiffre un fichier à l’aide d’une clef publique,
seul le propriétaire de la clef privée correspondante pourra
le déchiffrer.
Considérons un schéma simple présentant deux acteurs : Alice et Bob. Alice souhaite appliquer une signature numérique à un document à l’aide de sa clef privée. Cette procédure va chiffrer le document qui lui sera ensuite possible d’expédier par e-mail, par transfert de fichier ou par disquette. Lorsque Bob recevra le document, il devra disposer de la clef publique d’Alice pour l’ouvrir. Il va donc déchiffrer la partie chiffrée à l’aide de sa clef publique et vérifier que ce qu’il trouve correspond bien au document d’origine. Ce principe de base pose toutefois le problème de savoir si la clef publique d’Alice est bien la sienne et non pas celle d’un tiers.
Le certificat électronique
Définition
Ce procédé a pour objectif d’assurer le lien entre une clef publique et une identité. Dans la norme X509, l’ISO définit le certificat comme : " la clé publique d’un utilisateur, à laquelle est jointe d’autres données, rendue infalsifiable à l’aide du chiffrement par la clef privée de l’autorité de certification qui a généré ce certificat ". L’autorité de certification est l’entité qui doit délivrer le certificat électronique qui permettra de faire le lien entre la clef publique et un individu. La pertinence de cette autorité de certification ne repose que sur la confiance que lui porte le destinataire.
Le décret donne la définition suivante : " certificat électronique : un document sous forme électronique attestant du lien entre les données de vérification de signature électronique et un signataire".
Un certificat est délivré par une autorité de certification suivant des règles strictes : de contenu ; d’enregistrement de la personne concernée ; de génération du certificat ; de révocation et de renouvellement. Il existe d’autres éléments qui sont décrits dans l’annexe 2 de la Directive européenne.
Cycle de vie
Le cycle de vie d’un certificat commence par le tirage des deux clefs : publique et privée. Il se poursuit par la demande de certificat de la part du détenteur des clefs, puis par la validation des justificatifs apportés. Viennent ensuite les étapes d’émission du certificat et de son acceptation. La phase suivante compte chronologiquement l’utilisation proprement dite des clefs et du certificat, la validation dudit certificat et sa suspension ou sa révocation. Le cycle s’achève avec l’expiration des clefs et du certificat et recommence ensuite à la phase première.
Contenu
Le certificat doit contenir plusieurs éléments : la version ; le numéro de série ; le nom du porteur ; sa clef publique ; l’algorithme utilisé ; les dates de validité ; le nom de l’émetteur ; l’identification de la politique de certification et la signature de l’émetteur.
Il faut bien noter que l’autorité de certification n’intervient pas dans le processus de signature proprement dit. Elle intervient préalablement et postérieurement, mais ne voit pas passer le document signé et ne peut en prendre connaissance.
Exemple
Les utilisateurs d’Internet Explorer disposent de certificats. L’accès se fait via le panneau de configuration puis via les onglets Internet puis Sécurité. Les certificats préenregistrés sont divers et se réfèrent à des autorités de certification inscrites par défaut dans Windows. Les utilisateurs peuvent toutefois décider de les accepter ou d’en adopter d’autres. Les certificats permettent d’établir des sessions sécurisées lors de la connexion à certains sites. L’apparition d’un cadenas sur l’écran, lors de la connexion, prouve que l’ordinateur distant a été identifié et qu’une liaison chiffrée a pu être mise en place.
Le certificat est donc destiné à garantir l’identité d’un ordinateur distant, à assurer que le courrier électronique reçu provenait de l’expéditeur, à protéger le courrier électronique contre toute modification et à assurer que le contenu desdits courriers ne peut pas être vu par des tiers.
Le logiciel indique les périodes de validité des certificats utilisés : celles-ci sont généralement étendues. L’onglet détails permet d’obtenir certaines précisions sur le certificat utilisé : version, numéro de série, algorithme de la signature, émetteur, date de validité et nature des clefs.
Autorité de certification
Il s’agit d’un élément clef de la confiance. En effet, elle s’assure et garantit que la clef publique d’Alice lui appartient bien. Cette autorité est définie par ISO comme suit : " l’autorité de certification est une autorité qui a la confiance d’un ou plusieurs utilisateurs pour générer et assigner des certificats. En option, l’autorité de certification peut générer les clefs des utilisateurs ". Dans le cadre des travaux du groupe de normalisation européen sur la signature électronique l’EESSI (European Electronic signature Standardisation Initiative), l’ETSI apporte quelques précisions à la précédente définition : " l’autorité de certification peut faire appel à d’autres entités pour fournir certaines parties du service de certification. Cependant, l’autorité de certification conserve toujours la responsabilité globale ".
Prestataire de service de certification
L’article 1-11 du décret en donne la définition suivante : " toute personne qui délivre des certificats électroniques ou fournit d’autres services en matière de signatures électroniques ". Le prestataire de certification a donc une activité plus large que celle de l’autorité de certification. Cette définition recouvre d’autres services comme l’horodatage ou l’archivage.
L’IETF définit l’autorité d’enregistrement comme " une entité qui est responsable de l’identification et l’authentification des porteurs de certificats, mais qui ne signe ni ne génère de certificats " et l’autorité d’horodatage comme " un tiers de confiance qui génère une marque de temps afin de montrer qu’une donnée existait à un instant particulier ". Il s’agit d’un élément important car cela permet de valider qu’une signature électronique a bien été donnée à un instant donnée, notamment pendant une période de temps durant laquelle le certificat était valide. Ainsi, si un individu signe un document puis révoque sciemment son certificat, il ne pourra avancer que ledit document n’est pas valide car celui-ci aura été horodaté.
Politique de certification et déclaration des pratiques de certification
L’ISO donne la définition suivante : " politique de certification : ensemble de règles, identifié par un nom, qui précise l’applicabilité d’un certificat à une communauté particulière et/ou à une classe d’applications ayant des exigences de sécurité communes ". Cette politique (PC) définit donc l’objet du certificat ainsi que le champ et les limites de son utilisation.
L’IETF définit la déclaration des pratiques de certification (DPC) comme " une déclaration que l’autorité de certification applique pour fournir des certificats ". La DPC explique donc les pratiques et les procédures mises en œuvre.
En fonction de l’usage décrit dans la politique de certification, il est possible de définir que le certificat désigne une personne ou un rôle. Il est possible de disposer de plusieurs certificats et d’agir tantôt en tant que trésorier d’une entreprise et tantôt en tant qu’individu, par exemple. L’identité de l’identifiant peut rester la même, mais la qualification peut changer en fonction des champs préalablement décrits dans la PC.
Le décret "signature électronique"
Le décret signature électronique permet à la loi
du 13 mars 2000 sur la signature électronique de prendre corps
juridiquement.
D’autre part, il transpose la Directive européenne du 12 décembre 1999, mis à part les questions liées à la responsabilité des prestataires de services de certification (ce qui signifie que pendant une période de transition le droit commun s’appliquera notamment l’art 1382 du code civil).
Techniquement le décret fait le lien entre, d'une part, la directive européenne et, d'autre part, les spécifications techniques (sous forme de normes et standards) des procédés fiables de signature électronique.
Sachant que :
- ces textes peuvent éventuellement préciser certains des critères donnés dans la directive, mais ne peuvent pas aller au-delà, et ne peuvent notamment pas ajouter des critères supplémentaires ;
- il est aujourd'hui acquis que les travaux de spécification et de normalisation menés actuellement dans le cadre de l'initiative EESSI ("European Electronic signature Standardisation Initiative") vont permettre d'aboutir à des premiers résultats très rapidement qui traduiront les critères de la directive en spécifications techniques ;
- des textes réglementaires n'ont pas vocation à se substituer à des spécifications et normes techniques mais plutôt vocation à définir un cadre général, en termes fonctionnels, en limitant le moins possible les développements et innovations technologiques qui pourraient rentrer dans ce cadre (surtout dans ce domaine très rapidement évolutif des technologies de l'information) ;
il n'a pas semblé nécessaire que le niveau de détail des critères à définir au niveau des textes réglementaires soit supérieur à celui de la directive européenne.
Ainsi, le décret proposé, en application de l'article 4 de la loi 2000-230 du 13 mars 2000 reprend-t-il les exigences de cette directive.
Une signature est présumée fiable si elle est avancée (art. 2.2 de la directive) ou sécurisée (art. 1.2 du décret), si elle est établie grâce à un dispositif sécurisé de création de signature électronique (mise en œuvre sécurisée d'une clef privée, article 3 du décret ou annexe III de la directive) et si la vérification de cette signature repose sur l'utilisation d'un certificat électronique qualifié (art. 6 du décret ou annexes I et II de la directive).
Un deuxième niveau de présomption est instauré par le décret pour la certification de conformité des produits et services de signature électronique à ces différents critères, comme l'explique le schéma ci-après
La certification de conformité
Comment vérifier l'identité du signataire : la certification.
- En pratique, une signature manuscrite est souvent vérifiée
à l'aide d'une pièce d'identité...
- Supposons que Bernard, acheteur à Paris, et Amélie, vendeuse
à Grenoble, souhaitent signer un contrat de vente par Internet.
- Amélie pourrait copier sa clé publique dans une disquette
et lui remettre, mais elle préfère la télécommuniquer.
- Comment les deux contractants vont-ils pouvoir alors s'assurer de l'identité
réelle de leur interlocuteur sur Internet ?
- Une solution consiste à joindre à la signature l'équivalent
d'une pièce d'identité électronique, dénommée
certificat, qui garantit l'origine de la signature.
- Ce certificat est fourni par un tiers qui se porte garant de cette origine,
un prestataire de services de certification électronique. Amélie
devra donc s'enregistrer auprès d'un tel tiers.
Qu'est-ce qu'un certificat de clé publique ?
- Un lien de confiance entre :
l'identité du signataire, la clé publique utilisée
par le signataire (qui est liée de manière unique à
la clé privé de signature),
l'utilisation et sa période de validité de la clé
privée de signature.
- Ce lien est certifié par une autorité de confiance :
un prestataire de service de certification électronique.
- Des prestataires de service de certification électronique peuvent
être consultés sur Internet, et donner cette garantie en
toute sécurité.
les utilisateurs d'Internet Explorer
ont accès à des certificats.
L'accès se fait via le panneau de configuration puis via les onglets
Internet puis Sécurité.
Les certificats préenregistrés sont divers et se réfèrent
à des autorités de certification inscrites par défaut
dans Windows. Les utilisateurs peuvent toutefois décider de les
accepter ou d'en adopter d'autres. Les certificats permettent d'établir
des sessions sécurisées lors de la connexion à certains
sites. L'apparition d'un cadenas sur l'écran, lors de la
connexion, prouve que l'ordinateur distant a été identifié
et qu'une liaison chiffrée a pu être mise en place.
Le certificat est donc destiné à garantir l'identité
d'un ordinateur distant, à assurer que le courrier électronique
reçu provenait de l'expéditeur, à protéger
le courrier électronique contre toute modification et à
assurer que le contenu desdits courriers ne peut pas être vu par
des tiers.
Le logiciel indique les périodes de validité des certificats
utilisés : celles-ci sont généralement étendues.
L'onglet détails permet d'obtenir certaines précisions sur
le certificat utilisé : version, numéro de série,
algorithme de la signature, émetteur, date de validité et
nature des clefs.