Compte-rendu
 

  

Signature électronique et certification
26 avril 2001
     Hôtel Amigo à Verviers

Exposé de M Philippe DAVAVRE, Ingénieur
Ministère des affaires économiques


Le cadre légal européen et belge de la signature électronique est en pleine évolution en vue d’être adapté aux Nouvelles Technologies de l’Information et de la Communication. Philippe DAGAVRE, Ingénieur à l’Administration de la Qualité et de la Sécurité, Service de la Signature électronique, au Ministère des Affaires économiques nous a exposé ces évolutions ainsi que les différents types de e-signatures et leurs applications.

 

Le cadre légal

Celui-ci se base essentiellement sur une directive européenne de décembre 1999 qui présente uniquement une approche minimale de la signature électronique. Ce cadre très large a été pensé pour permettre une plus grande souplesse face aux évolutions potentielles de la technologie. La loi du 20 octobre 2000 est un second élément primordial puisqu’elle fixe les degrés de recevabilité des différentes signatures.

 

Différentes signatures

Le terme ‘signature électronique’ est une dénomination générique désignant des éléments de niveaux de sécurité variables. Ainsi, la simple signature électronique a une définition très large qui peut par exemple s’appliquer à une signature manuscrite faxée.

Par contre, la signature électronique avancée est déjà plus restrictive et plus sécurisée. Elle doit ainsi répondre aux 4 exigences mentionnées dans la Directive, à savoir :

  • être liée uniquement au signataire ;

  • permettre l’identification de celui-ci ;

  • être créée par des moyens que le signataire puisse garder sous son contrôle exclusif ;

  • être liée aux données auxquelles elle se rapporte (garantie d’intégrité).

Les signatures électroniques avancées peuvent notamment avoir la forme de signatures numériques fondées sur la cryptographie asymétrique. Il s’agit alors de la signature à clé publique (PKI) composée de deux clés : l’une privée, détenue par le seul signataire, et l’autre publique, accessible à tous via l’annuaire du prestataire de service de certification (CA).

La signature électronique qualifiée est un autre type de signature avancée à clés mais présentant un niveau élevé de sécurité et ayant force probante (recevabilité en justice).

Si elle n’est pas qualifiée, une signature électronique ne pourra néanmoins pas être refusée (d’un point de vue juridique) au seul motif que :

  • la signature se présente sous forme électronique, ou

  • qu’elle ne repose pas sur un certificat qualifié, ou

  • que ce certificat qualifié n’est pas délivré par un prestataire accrédité de service de certification, ou

  • qu’elle n’est pas créée par un dispositif sécurisé de création de signature.

 

Fonctionnement de la signature à clés

Décrivons brièvement le processus à suivre lors de la signature d’un message électronique. Celui-ci doit d’abord être résumé 1. Ce résumé 1 est associé à la clé privée de l’émetteur (A) ; le résumé et la clé forment la signature de A. Lorsque le message, accompagné de la signature, arrive au récepteur (B), ce dernier va chercher la clé publique de A dans l’annuaire du prestataire de certification adéquat. Celle-ci lui permet de réaliser un deuxième résumé du message qu’il pourra comparer au résumé 1. Si, entre A et B, le message a été modifié (ne fut-ce que d’une virgule), les résumés seront différents.

Ce système garantit l’intégrité d’un message (c’est-à-dire le fait que celui-ci n’a pas subi d’altération) ; il n’assure en rien sa confidentialité. Pour ce faire, le message sera crypté avec la clé publique du destinataire. Ainsi, lui seul pourra décrypter le message grâce à sa clé privée. 

 

Les exigences pour une signature qualifiée

Pour être qualifiée, la signature électronique avancée doit se baser sur un certificat qualifié et être créée par un dispositif sécurisé. Elle doit aussi répondre aux exigences légales de la même manière qu’une signature manuscrite et sont recevables comme preuve en justice.

Le certificat qualifié doit, lui, comporter plusieurs indications :

  • qu’il a été délivré à titre de certificat qualifié ;

  • l’identification du prestataire de service de certification ;

  • le nom du signataire ou son pseudonyme ;

  • une qualité spécifique du signataire en fonction de l’usage auquel le certificat est destiné (par ex. avocat), si désiré ;

  • la signature électronique avancée du prestataire de service de certification qui délivre le certificat ;

  • la période de validité du certificat ;

  • le cas échéant, les limites à la valeur de transactions.

Pour délivrer de tels certificats, le prestataire de service doit lui-aussi remplir certaines exigences. À titre d’exemple, citons qu’il doit prouver sa fiabilité et celle de son système et veiller à déterminer avec précision la date et l’heure d’émission et de révocation d’un certificat ; il assurera les services d’annuaire et de révocation surs et rapides ; son personnel sera qualifié et compétent ; il ne peut ni stocker ni copier les clés privées qu’il délivre ; il a le devoir d’information envers le public ; etc.

Soulignons que, mises à part ces exigences, l’accès au marché ne requière aucune autorisation préalable. N’importe quelle société peut donc fournir des certificats mais le poids de la signature dépend en grande partie du poids du prestataire. En Belgique, à l’heure actuelle, il existe quatre CA : Belgacom, Publilink, GlobalSign et Isabel.

La Directive stipule également une série d’exigences concernant les dispositifs sécurisés de création. Elles garantissent que les clés privées ne se rencontrent qu’une seule fois ; que les données utilisées pour la création de la signature ne puissent être trouvées par déduction ; que la signature soit protégée contre toute falsification. Ce dispositif doit aussi être fiable et assurer que les données à signer ne seront pas modifiées lors du processus.

Pour avoir une signature qualifiée, des organismes compétents seront désignés pour évaluer la conformité des dispositifs sécurisés par rapport aux exigences sus mentionnées.

La Directive européenne émet ensuite plusieurs recommandations (et non des exigences cette fois) garantissant le bon fonctionnement et la sécurisation de la vérification de la signature.

 

La signature électronique et le secteur public

Le secteur public ne peut réclamer des exigences supplémentaires à celles-ci car les données doivent être objectives – transparentes – proportionnées – non discriminatoires tant au niveau belge qu’au niveau européen – ne s’appliquer qu’aux caractéristiques spécifiques de l’application concernée.

En Belgique, on prévoit l’apparition très prochaine des cyber-citoyens, notamment avec l’utilisation de la carte d’identité électronique (annoncée pour 2002). Dans ce contexte, les administrations communales pourraient jouer le rôle de Registration autorities car elles délivreront ces cartes. Les administrations pourront également accréditer les prestataires à la demande de ceux-ci.

Aujourd’hui déjà, l’e-gouvernement est en place en Belgique. Citons le système DIMONA (déclaration d’embauche) qui, maintenant, doit obligatoirement se faire par voie électronique. Et bientôt, en plus de la carte d’identité électronique (disponible pour tous les citoyens ou sur demande uniquement), la plupart des formalités administratives pourront se faire électroniquement (p. ex. la déclaration d’impôts remplie sur Internet). Dès à présent, il est possible de commander des documents officiels via le site Web de certaines communes belges. 

 

Pour conclure…

Beaucoup de progrès ont dores et déjà été réalisés dans le domaine de la signature électronique, même si des zones d’ombres restent encore à éclaircir. Dans ce contexte, il est à souligner que la Belgique marque clairement son désir de suivre de près les évolutions technologiques et de permettre leur pleine utilisation. Attention, cependant, à ne pas tomber dans l’excès en voulant sécuriser la signature électronique plus que ne l’a jamais été la signature manuscrite. 


Arrêt sur quelques mots-clés…

 

Certificat : Attestation électronique qui lie des données afférentes à la vérification (la clé publique) de signature à une personne physique ou morale et confirme l’identité de cette personne.

Certificat qualifié : Certificat qui satisfait à des exigences spécifiques et qui est fourni par un prestataire de service de certification satisfaisant lui aussi à une série d’exigences.

Prestataire de service de certification : Toute entité ou personne physique ou morale qui délivre des certificats ou fournit d’autres services (par ex. horodatage) liés aux signatures électroniques.

Signature électronique : Donnée sous forme électronique jointe ou liée logiquement à d’autres données électroniques et servant de méthode d’authentification.


 

(c) FORUM TELECOM SPI+


Rappelons qu’en marge des conférences (agenda en ligne), le FORUM TELECOM offre un service de help-desk téléphonique et publie flashs d’informations et news électroniques.  

En outre, un "Position Paper" destiné à faire valoir les requêtes de ses membres dans le domaine des télécommunications paraît en fin de chaque cycle. 

De plus amples informations (participation et/ou adhésion au FORUM TELECOM -gratuite pour les PME dont le siège social est situé dans la zone Objectif 2-) sont diffusées sur le site www.forumtelecom.org

Compte-rendus d'autres conférences du FORUM