Passer au contenu

La messagerie à l’heure de la signature électronique

L’e-mail est l’application la plus utilisée sur Internet, et plus aucune entreprise ne saurait s’en passer. Pourtant, les solutions d’authentification d’un e-mail demeurent sous-utilisées.

Rien n’est plus simple à falsifier qu’un message électronique. SMTP, le protocole chargé d’acheminer les courriers électroniques à travers Internet, ne dispose d’aucun garde-fou empêchant quiconque d’envoyer n’importe quel message à n’importe qui. Cela ne posait pas de problème dans les premiers temps d’Internet, mais maintenant que le courrier électronique est l’outil quotidien de millions d’entreprises dans le monde, et qu’il est chargé de convoyer accords, contrats et autres propositions, un procédé d’authentification fort est indispensable. Son rôle est de garantir qu’un message provient bien de l’expéditeur affiché et qu’il n’a pas été modifié en route. Cela s’appelle ” signer ” un message, et il s’agit de l’un des sujets les plus brûlants de la sécurité informatique depuis qu’il a été décidé, en Europe et aux États-Unis, de donner à une signature électronique la même valeur juridique que son équivalent sur papier.

Une empreinte chiffrée pour mener le message à bon port

Quel que soit la technologie ou le produit utilisé, l’authentification d’un message passe obligatoirement par l’ajout d’une signature au corps du texte. Le message sera ainsi scindé en deux parties : l’une contiendra le contenu, l’autre la signature du contenu, étroitement liée au texte par une relation mathématique à sens unique. Nous sommes là totalement dans le cadre du chiffrement asymétrique. En signant un message, l’expéditeur ne fait en réalité que chiffrer avec sa clé privée le produit du hachage de son texte. Deux types d’algorithmes entrent alors en jeu : l’un de hachage qui calcule une empreinte numérique du texte (SHA-1, MD5), l’autre de chiffrement asymétrique (le plus souvent RSA), qui permet de chiffrer l’empreinte afin qu’elle ne soit pas modifiée durant le trajet du message.À la réception, le destinataire dispose de trois éléments : la clé publique de l’émetteur, la signature du message et le message lui-même. Il lui suffit de refaire la procédure : calcul de l’empreinte du message avec le même algorithme que celui utilisé à l’origine, puis déchiffrement de la signature originale avec la clé publique de l’expéditeur. Si la signature contenue dans le message se déchiffre correctement et se révèle identique à celle calculée par le destinataire, l’origine du message et son intégrité sont prouvées.De très nombreux produits sur le marché permettent de réaliser ces opérations de manière automatique. Le fait que la majorité des algorithmes impliqués soient simples à mettre en ?”uvre (on trouve des implémentations de MD5 dans tous les langages de programmation, et RSA est tombé dans le domaine public) permet à beaucoup de SSII de proposer des solutions de signature électronique. En l’absence de vrai standard, il est alors vital de s’interroger sur l’interopérabilité de la solution envisagée… En attendant une PKI universelle.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Jérôme Saiz