Depuis la publication du décret d’application 272 du 30 mars 2001, la signature électronique a la même valeur légale que la signature manuscrite. Et “l’écrit électronique a la force probante de l’écrit sur support papier “. Les entreprises peuvent donc sécuriser tous leurs échanges sur Internet : transactions, e-mails, contrats, notes de services, etc. Selon la loi, la signature électronique doit identifier clairement le signataire, être créée et conservée dans des conditions de nature à en garantir son intégrité. Et aussi être liée de façon indéfectible à celui qui l’utilise. Idéal ? Pas encore. Si la technologie remplit toutes ces conditions, le dispositif légal, quant à lui, est encore loin d’être complet. En effet, les logiciels de signature électronique et le socle de la PKI (Public Key Infrastructure), qui permettent de gérer les technologies de sécurité dont la signature électronique, fournissent des solutions fiables. Et les fournisseurs dont RSA, Baltimore, Entrust ou encore Thales, sont chevronnés. Mais, pour que la signature entre véritablement en vigueur, il reste à attendre la publication de deux arrêtés. Annoncée pour le 11 octobre dernier, la parution de ces textes au Journal Officiel tarde encore à l’heure où nous publions. Essentiels, ces arrêtés doivent définir les règles de création et de gestion de la signature électronique et des certificats (les identités numériques des signataires). Le ministre de l’Industrie doit désigner l’autorité chargée d’accréditer les prestataires de services qui délivrent ces fameux certificats sans lesquels il est impossible de mettre en ?”uvre les signatures électroniques. Selon toute probabilité, c’est la DCSSI (Direction centrale de la sécurité des systèmes d’information), organisme placé sous l’autorité du Premier ministre et chargé de rédiger ces arrêtés, qui incarnera cette autorité. Pour l’instant, les prestataires ?” comme Certplus, CertiNomis, Cashware, Click & Trust, GlobalSign, Magicaxess, Omnikles ou encore VeriSign ?” remettent aux entreprises des certificats sans l’approbation de l’État.
Assouplir la loi et harmoniser la technologie
“Selon le décret de loi, le certificat doit être distribué par un prestataire de certification accrédité pour que la signature soit sécurisée [l’équivalent étant “signature avancée” dans la directive, Ndlr]. Et, à la différence de la directive européenne, ce décret ajoute que seule une signature sécurisée bénéficie de la présomption de fiabilité. Ce qui implique, en cas de litige, que le plaignant démontre que la signature électronique n’est pas fiable”, énonce Isabelle Renard, avocate associée chez Andersen Legal. “Le niveau des exigences légales françaises est tel que la mise sur le marché de cette technologie risque d’être retardée d’au moins trois ans”, conclut-elle. Il est à prévoir qu’un débat se crée autour la présomption de fiabilité dans la Communauté européenne. Par ailleurs, des questions subsistent quant à l’archivage et à l’horodatage des documents, et surtout quant à la responsabilité des prestataires de certificats. En effet, ces intermédiaires ont un rôle prépondérant puisqu’ils permettent à des entreprises qui ne se connaissent pas forcément d’échanger les clés publiques qui servent à vérifier la signature. En outre, un choix technologique s’impose aussi quant à la conservation des clés privées qui servent à produire les signatures. Celles-ci sont enregistrées sur le disque dur du PC, implémenté dans des cartes à puce ou des clés USB.
PGP reste la solution la plus facile pour les échanges simples
“La signature électronique ne peut pas fonctionner sans une infrastructure de type PKI. Et, si son principe est simple, sa mise en ?”uvre reste complexe. Il s’agit de dissocier l’autorité qui enregistre les utilisateurs ?” c’est-à-dire les clés et les certificats ?” de l’autorité de certification proprement dite qui crée les certificats”, résume Marc Girault, ingénieur en cryptographie du laboratoire de recherche et développement sur la sécurité des réseaux de France Télécom. Les utilisateurs n’ayant pas les moyens de déployer une telle infrastructure optent pour une solution de type PGP (Pretty Good Privacy). Inadaptée au monde de l’entreprise, elle se passe de prestataire de certification et fonctionne selon le principe : “Les amis de mes amis sont mes amis”. Dans ce type de schéma relationnel, Alice transmet le certificat de Bob qu’elle connaît, à Christophe qui ne connaît qu’Alice. Et Christophe, qui ne connaît qu’Alice, décide de faire con- fiance à Bob. À ce système artisanal, les entreprises préfèrent les certificats X.509 utilisés dans les PKI : “Depuis sa version 3, la technologie X.509 permet de stocker des données personnelles utilisées notamment pour gérer les habilitations des utilisateurs. Mais n’étant pas normalisée, elle peut être une source d’incompatibilité entre différentes PKI”, souligne Laurent Henriet, consultant pour la société de services Octo Technology.Néanmoins, la PKI est une technologie arrivée à maturité. Reste à savoir si les initiatives du gouvernement ?” comme la procédure Télétv@ qui obligera les entreprises dont le CA dépasse 15,25 millions d’euros (100 millions de francs) à déclarer et à régler leur TVA par voie électronique avant janvier 2002 ?”, suffiront à favoriser la pénétration de la signature électronique dans les entreprises.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.