Signature électronique, mode d’emploi

Rédigé par la FNTC

La signature électronique a beau reposer sur un mécanisme logique, elle est souvent mal comprise par les utilisateurs.

La Fédération Nationale des Tiers de Confiance livre ici une introduction sur le sujet, couvrant tous les aspects liés aux mécanismes de la signature électronique et les différents intervenants impliqués tout au long de cette chaîne de confiance. La signature, c’est simple et ça marche : la preuve en quelques pages.

 

1. Notions de base

Dans tous les environnements, de l’entreprise au particulier, un nombre croissant de documents sous forme électronique est produit, conservé ou échangé (factures, bons de commandes, e-mail, courriers, plans, contrats…). La majeure partie de ces documents est créée directement sur un ordinateur. Ceux-ci seront de moins en moins imprimés, que ce soit pour lecture ou conservation sous forme «papier». Dans les réseaux ouverts, comme Internet, la plupart des transactions se concluent entre des personnes physiques ou morales qui ne se connaissent pas. Le volume des échanges et l’importance de leurs enjeux génèrent des besoins nouveaux d’identification, d’intégrité et de confidentialité liés à la nature «dématérialisée» des documents et des transactions. Il convient de pouvoir identifier de façon formelle les parties impliquées dans l’échange ou lors d’une transaction et, le cas échéant, être capable de prouver ces identités. Il devient essentiel de pouvoir garantir l’existence et l’intégrité (non altération d’un document et de son contenu) des documents transmis ou conservés. Dans le même ordre d’idée, il faut pouvoir garantir l’acceptation par les parties du contenu du document. De façon plus globale, l’objectif principal est de pouvoir établir la confiance dans les relations entre plusieurs parties et ceci aussi bien dans des environnements publics que privés. Pour toutes ces raisons, la généralisation de la signature électronique et la contribution au développement actuel de l’activité par les tiers de confiance constituent un enjeu majeur.

Il est nécessaire de distinguer la signature électronique d’un document de son chiffrement à des fins de confidentialité. La signature électronique recouvre deux aspects, l’un juridique et l’autre technique tout deux participant au développement de la confiance. Apposer une signature électronique à un document permet d’identifier le signataire de ce document. Au-delà de cette identification, la signature électronique ajoute une garantie d’intégrité à l’ensemble du document signé. De cette façon, la partie recevant le document signé est avertie que ni le document, ni la signature n’ont été modifiés durant leur transfert ou leur conservation. Il convient de noter que le document est ainsi transmis en clair vers son destinataire. Il n’y a pas dans ce fonctionnement précis de notion de confidentialité. En effet, cette dernière notion correspond à un besoin différent qui ne concerne pas la majeure partie des documents ou transactions. Lorsqu’il est nécessaire d’assurer la confidentialité du document transmis ou conservé, il convient d’appliquer la fonction de chiffrement. Celle-ci nécessite le partage, avec le destinataire, d’un dispositif de sécurité tel que clé numérique, mot de passe, carte, etc. Dans des environnements ouverts, il devient indispensable d’établir une relation de confiance en ayant recours aux tiers de confiance, dont le rôle est, notamment, de garantir l’origine et l’intégrité des dispositifs électroniques, de vérifier leur validité ou d’horodater les transactions.

2. Comment ça marche ?

La signature électronique ne peut pas être directement comparée à la signature manuscrite, comme le terme «signature», commun aux deux expressions, pourrait le laisser supposer. En effet, une des caractéristiques de l’utilisation de la signature manuscrite se fonde sur la stabilité de sa forme lorsqu’elle est apposée par son auteur sur différents documents et à des moments différents. C’est la vérification de cette stabilité et l’association éventuelle d’une pièce d’identité officielle qui accrédite le fait que la personne ayant signé le document (devant témoin dans certains cas) est bien celle qu’elle prétend être, qu’elle en connaît et accepte le contenu et rendra celui-ci porteur de droits ou d’obligations pour le ou les signataires. L’intégrité du document n’est pas directement contrôlable avec la signature manuscrite. Il faut recourir à des procédés complémentaires pour atteindre cet objectif. La signature électronique est bâtie sur un principe similaire basé sur l’utilisation de clés numériques. Dans la technique dite de «cryptographie asymétrique», la plus utilisée actuellement, l’élément de stabilité est constitué par une «clé» connue par le seul signataire, appelée «clé privée». A celle-ci est associée une clé publique unique. L’ensemble de ces deux clés est appelé «biclé». La clé publique est associée à l’identité du signataire dans un certificat électronique, véritable pièce d’identité numérique d’une personne physique ou morale, d’un serveur ou d’un autre composant du réseau.

La vérification de signature électronique, qui met en œuvre le certificat électronique, permet de s’assurer de l’intégrité des données échangées, de l’identité du signataire et de son consentement au contenu du document signé.

Explications
1. L’utilisateur prend contact avec une Autorité d’Enregistrement (AE) et fournit un dossier permettant de l’identifier (nom, prénom, adresse, etc.).
2. Après vérification, l’AE valide la demande de certificat et en informe l’utilisateur, puis transmet les informations à l’Autorité de Certification (AC) qui gérera le certificat. Celle-ci génère le certificat, le signe avec sa clé privée et lui ajoute son identification en tant qu’AC.
3. L’utilisateur se connecte auprès du Tiers de Confiance. Une procédure permet de s’assurer que la délivrance du certificat sera réalisée exclusivement auprès de celui-ci.
4. Le certificat signé par l’AC est expédié à l’utilisateur.

 

Explications
1. Le titulaire du certificat rédige le message qu’il souhaite adresser.
2. Il signe son message avec sa clé privée.
3. Le message transmis au destinataire est composé à la fois du message rédigé par l’expéditeur, de la signature chiffrée de ce message et du certificat de l’expéditeur comportant sa clé publique.

Explications
4. La destinataire reçoit le message signé de l’expéditeur.
5. Son logiciel de messagerie commence la vérification de la signature.
6. La deuxième vérification consiste à contrôler que le certificat est toujours valide et n’est pas révoqué (c’est-à-dire «opposé»).

Explications
1. Pour que cette opération soit possible en toute sécurité il faut que le destinataire fasse parvenir à l’expéditeur sa clé publique associée à son certificat électronique soit directement (par courrier électronique, sur une disquette ou autre moyen), soit en utilisant un annuaire électronique commun.
2. Pour rendre confidentiel le message qu’il souhaite envoyer, l’expéditeur utilise la clé publique du destinataire pour chiffrer le message.
3. Le logiciel de messagerie de l’expéditeur vérifie la validité du certificat du destinataire.
4. L’expéditeur peut envoyer le résultat chiffré de son message au destinataire.

Explications
5. A réception, la destinataire utilise son logiciel habituel de messagerie qui déchiffre le message reçu, en requérant l’utilisation de sa clé privée.
6. La destinataire peut lire en clair le message.

Conclusion

3. Hiérarchie des services de confiance 

Les différentes classes de certificats
Le Titulaire de Certificat, est une personne physique possédant un certificat qui lui permet de signer électroniquement des documents ou des messages; ce certificat lui est strictement personnel. Il a été défini trois classes de certificat selon le degré de vérification d’identité.

En fonction de ses besoins et de ses contraintes, l’utilisateur choisira entre :

Certificat de Classe 1 - Validation en ligne d’une adresse de messagerie électronique.

Certificat de Classe 2 - Validation de l’identité par envoi d’une copie des pièces justificatives.

Certificat de Classe 3 - Validation de l’identité par la présentation des pièces (en pratique, il s’agit d’un contrôle en face en face).

On peut être utilisateur de certificat sans posséder soi-même un certificat notamment lors de la réception d’un message signé à des fins d’identification de l’émetteur.

Rôle des différentes Autorités
Les services de confiance assurés par les prestataires de service de certification (PSC), jouent un rôle incontournable dans la mise en œuvre d’un système de signature électronique à clé publique.
En effet, une infrastructure à clé publique nécessite en général au moins cinq composantes, qui peuvent être réalisées par un ou plusieurs acteurs :
- l’Autorité de Certification (AC), dont la fonction est de définir la Politique de Certification (PC), de la faire appliquer, et de garantir ainsi un certain niveau de confiance aux utilisateurs. Elle est juridiquement responsable des certificats émis.
- l’Autorité d’Enregistrement (AE), dont la fonction est de mettre en œuvre les procédures d’identification des personnes physiques conformément aux règles définies par l’Autorité de Certification. Son but est d’établir que le demandeur a bien l’identité et les attributs qui seront indiqués dans le certificat. L’Autorité d’Enregistrement est le lien entre l’Autorité de Certification et le Titulaire.
- l’Opérateur de Certification (OC), qui assure la partie technique de la fourniture et de la gestion du cycle de vie des certificats ainsi que leur archivage. Son rôle consiste à mettre en œuvre, sous la responsabilité de l’AC, une plate-forme opérationnelle, fonctionnelle, sécurisée, dans le respect des exigences énoncées dans la Politique de Certification (PC) et dont les modalités sont détaillées dans la Déclaration des Pratiques de Certification (DPC).

A ces services de base, il convient de décrire les autres rôles essentiels de «tiers de confiance» qui ne sont pas toujours perçus comme tels :

- Des services d’horodatage, dont le rôle est de délivrer une date électronique certifiée permettant entre autres de prouver qu’un document a été envoyé avant la date et l’heure limites. Il faut noter que l’horodatage, bien que n’étant pas une condition juridique de la signature électronique, n’en constitue pas moins un complément indispensable.
- Les services d’Archivage, dont le rôle est d’assurer la conservation intègre dans le temps des documents électroniques signés.
- Des services d’identification, à plusieurs niveaux, des entreprises, des marques… (Officiers Publics et Ministériels, INPI, banques…).
- Les services de «notarisation», qui, au-delà de l’archivage, vont garantir l’existence et/ou la validité du contenu des documents.
- Les services liés aux transactions financières dérivés ou non de l’EDI et des systèmes de paiement.
- Des services pouvant garantir un niveau d’interopérabilité entre plusieurs prestataires.
- Les services permettant de « retracer » les messages / documents lors des échanges.- - Des services assurant une durée de vie limitée aux messages.
- Des services permettant de garantir un «séquencement» dans le cas de signatures multiples, ou de lecture lorsqu’un message est à destination de plusieurs destinataires.

 

Autour de ces multiples services, de nouveaux «tiers de confiance» vont naître en combinant plusieurs d’entre eux. Par exemple l’envoi d’un message en «recommandé avec accusé de réception» nécessite l’utilisation de services d’horodatage, de notarisation, d’identification, voire de tracabilité.

 

Des solutions sont disponibles
Il n’existe pas à l’heure actuelle de frein juridique ou technique à l’utilisation de la signature électronique en France.
En effet, même si le dispositif réglementaire n’est pas encore complet à ce jour, le déploiement d’un grand nombre de solutions de signature électronique est néanmoins possible dans des conditions de sécurité juridique et technique suffisantes. La souplesse juridique laissée au Juge pour évaluer le niveau de sécurité (aidé, le cas échéant par un expert) et les différents niveaux de hiérarchie de la preuve permettent de répondre à 80% des besoins actuels.
On peut, de plus, s’appuyer sur une «convention de preuve» afin de garantir l’accord des parties qui désirent utiliser des moyens de signature électronique de plus faible niveau de fiabilité.
Dans tous les cas, l’utilisation de ces services, dont les coûts directs et indirects sont relativement faibles et accessibles à des PME, voire à des particuliers, permettent d’obtenir des gains de productivité et des économies directes substantielles.

Ainsi, la signature du courrier électronique, de formulaires web ou XML, l’échange sécurisé avec des machines tels que les serveurs et les routeurs, la signature de documents au format «pdf» par exemple, la réalisation de téléprocédures administratives sont aujourd’hui des réalités, bien qu’insuffisamment connues du grand public.

Des services de toutes sortes existent, tels que la signature électronique au moyen d’un téléphone portable, la lettre recommandée électronique, la vente aux enchères, l’archivage électronique sécurisé…

Des partenariats entre les différents intervenants de la chaîne de confiance de la signature électronique se montent progressivement, réunissant des éditeurs, des fournisseurs de solutions et les tierces parties de confiance précitées. 

Retour à l'article

Nom (obligatoire)

E-mail (ne sera pas publié) (obligatoire)

Site web

XHTML: Vous pouvez utiliser ces balises : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong>