- Signature numérique
-
Pour les articles homonymes, voir Signature (homonymie).
La signature numérique (parfois appelée signature électronique) est un mécanisme permettant de garantir l'intégrité d'un document électronique et d'en authentifier l'auteur, par analogie avec la signature manuscrite d'un document papier. Un mécanisme de signature numérique doit présenter les propriétés suivantes :
- Il doit permettre au lecteur d'un document d'identifier la personne ou l'organisme qui a apposé sa signature.
- Il doit garantir que le document n'a pas été altéré entre l'instant où l'auteur l'a signé et le moment où le lecteur le consulte.
Pour cela, les conditions suivantes doivent être réunies :
- Authentique : L'identité du signataire doit pouvoir être retrouvée de manière certaine.
- Infalsifiable : La signature ne peut pas être falsifiée. Quelqu'un ne peut se faire passer pour un autre.
- Non réutilisable: La signature n'est pas réutilisable. Elle fait partie du document signé et ne peut être déplacée sur un autre document.
- Inaltérable : Un document signé est inaltérable. Une fois qu'il est signé, on ne peut plus le modifier.
- Irrévocable : La personne qui a signé ne peut le nier.
La signature électronique n'est devenue possible qu'avec la cryptographie asymétrique.
Elle se différencie de la signature écrite par le fait qu'elle n'est pas visuelle, mais correspond à une suite de nombres.
Sommaire
Fonctionnement
Supposons que l'on dispose d'un algorithme de chiffrement asymétrique (consulter liste). Notons CA, la fonction de chiffrement et DA celle de déchiffrement. La fonction CA est capable de chiffrer une information "claire". La fonction DA ne peut que déchiffrer une information préalablement chiffrée par CA. CA est "fournie" par la clé privée, et n'est donc connue que du propriétaire légitime. Quant à DA, elle est "fournie" par la clé publique, et ainsi possiblement connue par tous.
Lorsque Alice souhaite signer un message M, elle utilise la procédure suivante.
- Elle utilise une fonction H de hashage (ou de condensat), comme par exemple MD5 ou SHA. Le résultat HA(M) de cette opération, hash ou condensé, permet de s'assurer de l'intégrité du document, qu'il est bien entier et sans erreur.
- Le condensé HA(M) peut être généré par n'importe qui. Afin d'assurer que c'est bien Alice qui a rédigé le message M, ce condensé est chiffré par CA.
- C'est ce condensé chiffré CA(HA(M)) qui constitue la signature S(M) du message, aux côtés du quel elle est transmise.
Bob, qui connait la clé publique de Alice, reçoit le message M ainsi que la signature S(M) associée. Afin de vérifier son authenticité, la procédure suivante est employée :
- Le condensé HB(M) du message est généré au moyen de la même fonction H (nécessité de mise en place d'un protocole de communication).
- Parallèlement, la signature S(M) est déchiffrée au moyen de la clé publique. Le condensé censé avoir été généré par Alice est ainsi retrouvé côté récepteur par DA(S(M)).
- Le condensé HB(M) est comparé avec celui déchiffré depuis la signature.
- En cas d'égalité, le message M est authentifié car seule Alice avec sa clé privée est capable de générer un condensé "compatible" avec sa clé publique et l'intégrité du message.
- Si les deux sont différents, soit le message a été altéré, soit il n'a pas été rédigé par Alice.
La clé publique est diffusée par le biais de certificat. Un certificat inclut, outre la clé publique elle-même, des informations permettant d'identifier physiquement le propriétaire légitime de cette clé.
Les certificats sont générées par des autorités de certification (CA). Ils identifient de façon unique une entité physique (tuple machine (IP avant, maintenant un UUID) - URI - personne physique ou morale) qui détient le couple clés publique, clef privée. Certains l'assimilent à une carte d'identité numérique ce qui est incorrect. En effet, la carte d'identité décrit une entité (personne) qui ne change pas fondamentalement ou pas aisément. Dans le cas d'un certificat l'identification garantit une localisation logique (URI) dans le système d'information, couplée à un composant technique le UUID et un notion juridique (personne physique ou morale).
La personne physique ou morale ne peut être altérée sans changer le certificat. L'URI ne peut être changée dans le certificat, mais on peut sans problème changer la nature du service associé à cette URI. L'IP pouvant être changée de manière arbitraire via la virtualisation d'IP, on utilise un UUID qui identifie l'OS et la machine physique, mais ces UUID ne sont pas plus fiable avec la virtualisation des OS.
Le certificat ne garantit donc uniquement qu'une URI appartient à une entité juridique précise, à la condition que le poste client vérifie bien la chaîne des CA et que l'utilisateur comprenne ce que signifie les messages de sécurité relatifs aux CA.
Déclinaisons
Historiquement, les premières signatures ont été individuelles. Ont été introduites par la suite :
- Les signatures de groupe (en) où un membre ayant sa propre clé peut signer pour le groupe, le responsable du groupe (identifié par sa propre clé) pouvant seul établir qui a émis la signature.
- Les signatures d'anneau (en), qui leur sont similaires, mais où il n'est plus possible d'identifier individuellement le signataire.
Des variantes existent comme les K parmi N, où K la signature est considérée comme valable si K membres du groupe parmi les N définis ont signé. Ce système sera utilisé par exemple lorsque l'autorisation de plusieurs services sera nécessaire pour déclencher un dispositif d'une gravité dépassant les prérogatives de chacun d'eux. Tel serait le cas par exemple pour une procédure de mise sur écoute téléphonique nécessitant les accords à la fois d'une instance autorisée de l'exécutif et d'une instance autorisée du législatif. On interdit ainsi l'usage de renseignements d'états à des fins personnelles, puisque le déblocage nécessite une coordination externe qui sera donc elle-même tracée.
Valeur légale
En France
Depuis mars 2000, la signature numérique d'un document a en France la même valeur légale qu'une signature manuscrite, conformément aux textes suivants :
- La loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique;
- Son décret d'application n° 2001-272 du 30 mars 2001.
Selon ce décret, un dispositif sécurisé de création de signature électronique doit être certifié conforme aux exigences définies plus haut :
- Soit par le Premier ministre, dans les conditions prévues par le décret n° 2002-535 du 18 avril 2002 relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information. La délivrance du certificat de conformité est rendue publique.
- Soit par un organisme désigné à cet effet par un État membre de l'Union européenne.
La transposition complète de la Directive Européenne 1999/93/CE a toutefois nécessité un processus plus long[1].
En Belgique
Le législateur belge a transposé en 2001 la Directive européenne du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques. Cette transposition en droit belge s'est faite par l'adoption de deux lois: la Loi du 20 octobre 2000 introduisant l’utilisation de moyens de télécommunication et de la signature électronique dans la procédure judiciaire et extrajudiciaire, M.B., 22 déc. 2000, p. 42698 qui modifie notamment l'article 1322 du Code civil et la Loi du 9 juillet 2001 fixant certaines règles relatives au cadre juridique pour les signatures électroniques et les services de certification, M.B., 29 septembre 2001, p. 33070. C'est cette dernière loi qui explique la question des services de certification (P.S.C), leurs rôles et responsabilités ( voy. les annexes I, II et III de la loi). Voyez à ce sujet un article intéressant: GUINOTTE L., « La signature électronique après les lois du 20 octobre 2000 et du 9 juillet 2001 », J.T., 2002, pp.556-561.
- La signature électronique fait désormais partie du droit belge et a la même valeur juridique que la signature manuscrite. Bien qu’elle ait fait couler beaucoup d’encre du côté de la doctrine, on peut considérer qu’elle fait aujourd’hui l’objet d’une réglementation claire et rationnelle. L’ère de l’Internet et de l’électronique étant arrivée au sein du domaine juridique et il était logique que la signature y trouvât sa place. L’objectif premier de la directive européenne 1999/93/CE du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques était de favoriser les échanges commerciaux au-delà des frontières, d’instaurer une certaine confiance dans ces transactions et de conférer à l’ensemble une valeur juridique équivalente à celle de la signature manuscrite. Il semble que l’on peut considérer aujourd’hui que la boucle est bouclée et que les dernières zones d’ombre qui pourraient persister seront éclaircies par une future jurisprudence( qui est, pour le moment, quasi inexistante). Cependant, à l’heure actuelle, la signature électronique est assez lente à se répandre et bien que la Commission estime que tous les objectifs de la directive aient été atteints, le marché électronique reste restreint. On peut tout de même penser que ce n’est qu’un début et qu’une foule d’applications de la signature électronique reste à venir en vue d’améliorer et d’accélérer notre quotidien.
En Suisse
Article détaillé : SuisseID.La signature numérique (appelé signature électronique dans les textes législatifs) est reconnu en Suisse depuis 2003[2]. Elle équivaut, de ce fait, à la signature écrite qu'exige la loi pour certaines formes de contrat[3].
Peu utilisé en pratique[4], le Secrétariat d’Etat à l’Economie (SECO) lança en mai 2010 la « SuisseID » pour promouvoir et faciliter l'accès à cette technologie pour les entreprises et les particuliers[5]. Censé faciliter les transactions d'affaire par voie électronique, le système vise aussi à permettre dès 2011 la commande, par internet, des documents officiels (notamment du casier judiciaire ou un extrait de l’office des poursuites) auprès des administrations publiques[6], conformément à la volonté de mise en place d'une « cyberadministration » pour faciliter l'accès à de tels documents et réduire la bureaucratie[7].
Voir aussi
- Parapheur électronique
- Signature aveugle
- Authentification
- Chiffrement
- Cryptographie asymétrique
- Key signing party
- Sécurité des données
- Fuite d'information
- Signature (internet et usenet)
- Signature électronique manuscrite
Notes
- Signature électronique, point de situation, Paris, Direction Centrale de la Sécurité des Systèmes d'Information, 2004
- Loi fédérale sur les services de certification dans le domaine de la signature électronique
- FF 2001 5424
- Le marché de la signature électronique est légalement ouvert, mais encore peu utilisé sur LeTemps.ch. Consulté le 6 novembre 2010
- La «SuisseID» authentifie les signatures numériques sur LeTemps.ch. Consulté le 6 novembre 2010
- La SuisseID et ses possibilités d’application
- Cyberadministration sur le site du secrétariat d’Etat à l’Economie
Liens externes
- (fr) Directive 1999/93/CE sur un cadre communautaire pour les signatures électroniques
- (fr) Décret n°2001-272 du 30 mars 2001, pour l'application de l'article 1316-4 du code civil et relatif à la signature électronique
- (fr) Articles de l'ANSSI sur la signature électronique
- (fr) Un module d'auto-formation à la signature électronique élaboré par le centre de formation de l'ANSSI
Wikimedia Foundation. 2010.