La signature électronique fait frémir le marché français de la sécurité. Depuis que l’Assemblée nationale a adopté, le 13 mars dernier, la loi sur sa reconnaissance juridique, les fournisseurs ont activement participé à une consultation publique via le site du ministère de l’Industrie. Mais Yves Le Roux, directeur avant-vente pour Entrust France, cache mal son impatience : “Une loi n’a pas d’existence réelle tant que les décrets d’application ne sont pas publiés.” Et le gouvernement donne l’impression de souffler le chaud et le froid en ce qui concerne la date précise de leur parution. Les éditeurs d’infrastructures à clés publiques (ICP) sont positionnés, bien entendu, en première ligne. Tout en restant circonspects sur les détails, ils estiment essentiel d’établir des procédures de certification transparentes. La DCSSI (Direction centrale de la sécurité des systèmes d’information) désigne les centres d’évaluation et délivre les certificats d’agrément. Ces centres peuvent être des sociétés de services comme Algoriel.
Parier sur la maturité des offres
Mais, selon Yves Le Roux, les produits ayant déjà obtenu une certification, de type Itsec (Information Technology Security Evaluation Criteria) ou EAL (Evaluation Assurance Level), dans un pays membre de l’Union devraient être reconnus de facto par les autres pays membres. La certification d’Entrust PKI v. 4. 0 et v. 5. 0 aux critères EAL 3, délivrée au Royaume-Uni par la société de services Syntegra en mars 1999, devrait ainsi être automatiquement valable en France.Les principaux concurrents d’Entrust présents en France sont Baltimore et Verisign, représenté par Certplus. Pour conquérir le marché français, ils parient sur la maturité de leurs offres. “La présence sur le marché depuis quatre ans de notre autorité de certification Unicert a permis notamment d’optimiser la gestion des clés et l’administration des autorités d’enregistrement”, souligne Michel Massain, directeur commercial pour Baltimore. En face, les plates-formes de la Sagem et de CS Communications, encore peu déployées, auront fort à faire pour rester dans la course. Dès le début 2001, Marc Milan, directeur des solutions de sécurité de CS Communications, prévoit la filialisation de l’offre CS-Sm@rtPKI au sein d’une structure dédiée. Elle sera commercialisée et déployée par des distributeurs partenaires sur les principaux marchés européens.Pour industrialiser la signature électronique, ces éditeurs ciblent les opérateurs de certification. Ces derniers ont pour rôle la commercialisation de leurs plates-formes auprès des autorités de certification, qui endossent notam- ment le risque juridique et les interactions avec les utilisateurs. L’opérateur Certplus, en particulier, prône cette approche. “En s’appuyant sur notre plate-forme, un grand constructeur aéronautique européen a considérablement accéléré la mise en place d’une infrastructure à clés publiques auprès de soixante-dix compagnies aériennes clientes”, assure ainsi Laurent Malhomme, son responsable commercial. Toutefois, les opérateurs de certification sont aussi, parfois, autorités de certification. Les décrets poseront les conditions techniques des mises en ?”uvre. Ils préciseront, entre autres, la valeur attachée à un certificat, et surtout, le mécanisme et les conditions de la signature électronique. Mais ils ne définiront vraissemblablement pas la certification des opérateurs.
Une opportunité pour les opérateurs étrangers
En France, les deux opérateurs de certification les plus en vue sont Certinomis et Certplus. Chacun s’appuie, respectivement, sur les ICP Confidence de Sagem et OnSite de Verisign. Deux nouveaux concurrents se dévoilent: Cashware et Trithème. Tous deux sont issus du groupe Thales (ex-Thomson CSF) : “Nous nous concentrerons sur l’activité d’opérateur de certification pour autrui même si, par souci de visibilité, nous démarchons le ministère des Finances pour que nos certificats soient agréés auprès de l’utilisateur final”, affirme Giles Coléou, directeur général de Trithème. Parallèlement, des opérateurs de certification étrangers fourbissent leurs armes. C’est le cas des Britanniques Chubb et Cable & Wireless, tous deux clients de Baltimore, qui, d’après Michel Massain, vont étendre leurs activités d’opérateurs de certification en France.Mais pour exister, la signature électronique a besoin d’applications. De nouvelles start up françaises naissent pour profiter de l’opportunité. Elles prônent une intégration légère sur le poste du client. Dans le cas de Magicaxess, la clé privée du signataire n’est stockée ni sur son disque dur ni sur une carte à puce. Les opérations de signatures électroniques sont déléguées au serveur de messagerie, explique le fondateur Gilles Kremer. La signature est déclenchée avec la saisie d’un code envoyé par un message SMS sur le portable GSM du signataire. Seul le téléchargement d’une applet Java est nécessaire, sa clé ” hash ” garantissant l’intégrité du document. Magicaxess, qui vise en priorité les PME, opèrera sa propre autorité de certification indépendamment des éditeurs du marché.
Conserver le contrôle exclusif de la clé
A quelques nuances près, la start up SafeLogic prône la même approche. Son application Confimail, écrite en Java, s’installe en frontal d’un serveur de messagerie SMTP et stocke les clés privées de signature des utilisateurs. Ces éléments sont téléchargés sur le poste client via une applet Java. Le chiffrement du document se fait avec la clé publique du destinataire. Confimail sera vendue sous forme de service clés en main sur un serveur préconfiguré PowerEdge de Dell. Bien qu’astucieuses, les deux approches Magicaxess et Safelogic sont en porte-à-faux avec la directive européenne sur la signature électronique. Car, si cette dernière ne stipule encore aucune approche technique particulière, elle impose en revanche que le signataire conserve le contrôle exclusif de sa clé de signature.D’autre part, le signataire doit être absolument sûr du document qu’il signe. L’application Safeguard Sign & Crypt, de l’éditeur allemand Utimaco, propose une parade élégante. “Nous avons développé une technologie de visualisateur pour figer le document et le présenter à la signature”, explique Oliver Perroquin, directeur général d’Utimaco France. Safeguard Sign & Crypt s’intègre à des logiciels de bureautique, de messagerie et de progiciel intégré. Les clés sont stockées sur le poste client ou sur une carte à puce. En amont, Sign & Crypt s’interface avec les principales plates-formes d’infrastructures à clés publiques. Déployée à plusieurs milliers d’exemplaires, au sein de plusieurs grands comptes européens, elle compte également, comme utilisateur, la Commission européenne.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.