La signature électronique

Le code civil, dans son article 1316 du code civil défini la signature comme étant « La preuve littérale, ou preuve par écrit, résulte d'une suite de lettres, de caractères, de chiffres ou de tous autres signes ou symboles dotés d'une signification intelligible, quels que soient leur support et leurs modalités de transmission ».

 

La signature électronique quant à elle est l’équivalent numérique de la signature manuscrite.  Elle repose sur un système de chiffrement à clé publique et clé privée permettant d'authentifier l'émetteur d'un document. La clé privée sert à signer, la clé publique sert à vérifier cette signature.

Ce procédé permet de garantir l’intégrité d’un document électronique en authentifiant l’auteur.

  

1.    La législation sur la signature électronique

 

La directive européenne du 13 décembre 1999 est considérée comme étant le texte fondateur en matière de signature électronique.

 

Elle énonce dans son article 5 que «  les Etats membres veillent à ce que les signatures électroniques avancées basées sur un certificat qualifié et créées par un dispositif sécurisé de création de signature répondent aux exigences légales d’une signature à l’égard de données électroniques de la même manière qu’une signature manuscrite répond à ces exigences   à l’égard de données manuscrites ou imprimées sur papier et soient recevables comme preuves en justice ».

 

Cet article marque donc l’importance d’un dispositif sécurisé de création de signature électronique mais également d’utiliser une certification qualifié.

La transposition de cette directive en droit français a fait l’objet de plusieurs textes de loi.

Le plus important étant celui du 13 mars 2000 (loi 2000-230), il a été introduite dans le code civil dans l’article 1316-4 alinéa 2.

Cet article a une très grande importance, puisqu’elle confère à la signature électronique  la même valeur légale que la manuscrite.

 

Article 1316-4 alinéa 2 du Code civil

 

(loi du 13 mars 2000,  portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique)

[…]

Lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache. La fiabilité de ce procédé est présumée, jusqu'à preuve contraire, lorsque la signature électronique est créée, l'identité du signataire assurée et l'intégrité de l'acte garantie, dans des conditions fixées par décret en Conseil d'Etat.

 

Un mécanisme de signature numérique doit présenter les conditions suivantes :

 

  •  Authentification : Il doit permettre au lecteur d'un document d'identifier la personne ou l'organisme qui a apposé sa signature.

 

 

  • Intégrité : Il doit garantir que le document n'a pas été altéré entre l'instant où l'auteur l'a signé et le moment où le lecteur le consulte.

 

La signature électronique n'est devenue possible qu'avec la cryptographie asymétrique. Elle se différencie de la signature écrite par le fait qu'elle n'est pas visuelle, mais correspond à une suite de nombres. Elle permet de dématérialiser les procédés contractuels.

 

En terme de preuve, elle est admise en justice lorsque le procédé permet d’identifier le signataire et la garantie du lien avec l’acte signé.

En cas de contestation, il est nécessaire de prouver la fiabilité du procédé de signature électronique utilisé.

 

Le législateur a voulu intensifier la législation en vigueur, il a créé par le décret n°2009-834 du 7 juillet 2009 l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), élaboré le Référentiel Général de Sécurité (RGS) suite à l’ordonnance n°2005-1516 du 8 décembre 2005.  Pour aller encore plus loin il a renforcé la légalisation avec le décret n°2010-112 du 2 février 2010.

 

Vous pouvez consulter le Référentiel Général de Sécurité (RGS) sur le site de l’ANSSI.

 

Actuellement,  son utilisation est obligatoire pour toute passation d’un marché public. Afin de déposer un appel d’offre les candidats ont l’obligation de passer par ce procédé (arrêté du 15 juin 2012 relatif à la signature électronique dans les marchés publics) .

« Lorsque leur signature est requise, les documents du marché transmis par voie électronique ou sur support physique électronique sont signés électroniquement selon les modalités prévues au présent arrêté (article 1) ».

 

 2.    Le mécanisme de la signature électronique

  

Techniquement, la signature numérique est basée sur la cryptographie asymétrique. Elle permet de prouver que le document n'a pas été altéré (intégrité) et que la personne qui a signé le document est celui qui détient la clé privée associée à la clé publique qui permet de vérifier la signature (authentification).

En fait, la signature numérique est basé sur deux algorithmes : le condensat (souvent appelé hachage par anglicisme) et le chiffrement (généralement appelé à tort « cryptage »).

 

  • Une fonction de condesat permet pour une donnée fournie en entrée d'associer une empreinte quasi-unique. Cette opération n'est pas réversible : il n'est pas possible de déduire la donnée originale à partir de l'empreinte. Les algorithmes les plus connus de condensat sont md5 et sha.
  • Le chiffrement asymétrique permet quant à lui de coder une donnée avec une clé privée de façon à ce que le détenteur de la clé publique associée puisse le décoder.

 

Le principe de la signature est le suivant :

 

On extrait une empreinte du document source, que l'on chiffre avec la clé privée. Cela donne la signature électronique qu'on adjoint au document.

Pour vérifier la signature, il suffit d'extraire à nouveau l'empreinte du document, de déchiffrer la signature avec la clé publique puis de comparer le résultat à l'empreinte.

La confiance dans la signature numérique est donc basée sur :

  • la confiance dans les algorithmes le condensat et de chiffrement asymétrique. Si un algorithme est avéré défaillant, par exemple une fonction de condensat qui produit trop de collisions, ou un algorithme de chiffrement asymétrique qui pourrait chiffrer des documents déchiffrable par la clé publique sans recours à la clé privée, tout le système de signature numérique deviendrait caduque.
  • la confiance dans la clé, ou plus exactement la confiance dans le fait que seul le signataire est bien la seule personne à disposer de la clé privée.

 

Concernant les algorithmes de condensat et de chiffrement, des évolutions voient continuellement le jour. C'est pour cela qu'on conseille maintenant de signer des documents avec des algorithmes récents (SHA pour l'empreinte et RSA ou IDEA pour le chiffrement), et une longueur de clé suffisante (on utilise actuellement des clés RSA de 2048 bits).

 

Concernant la confiance dans la clé, il existe (comme souvent) deux méthodes :

-        une méthode déconcentrée (GPG/PGP)

-         une méthode centralisée (PKI).

Les deux méthodes utilisent un certificat, qui contient entre autre le nom du détenteur, la clé publique et quelques informations complémentaires.

 

La méthode déconcentrée est basée sur le principe de transitivité de la confiance (les amis de mes amis sont mes amis). On fait confiance dans un certain nombre de personnes (ou plus exactement de certificats) qui vont faire confiance eux aussi dans d'autres certificats.

 Pour prouver sa confiance dans un certificat, on signe simplement le certificat avec sa clé privée. Bien entendu, ce fonctionnement est récursif et les clés privées associées aux certificats ainsi signées peuvent à nouveau être utilisées pour signer d'autres certificats. L'avantage de ce système est qu'il ne repose sur aucun point central. Les certificats sont déposés dans des dépôts (le plus connu étant http://pgp.mit.edu/) mais ces dépôts n'ont pas d’influence directe sur le système de confiance. L’inconvénient de ce système repose dans le fait que seul le détenteur de la clé privée associée à un certificat peut révoquer ce certificat. La gestion de la fin de vie des certificats est donc peu fiable. D'autre part, cette méthode donne vie à des « signing parties », des moments où des personnes se rencontrent uniquement pour vérifier les certificats des autres personnes et les signer pour prouver au monde leur valeur.

La méthode centralisée est basée sur des autorités de certification. Ces autorités peuvent signer des certificats et les révoquer. Ils gèrent pour cela des listes de révocations qui sont alors publiées. La fin de vie des certificats est ainsi beaucoup mieux gérée. Par contre, cela implique que tout le monde fasse confiance dans certaines autorités de certification (ceux généralement pré-configurés dans les logiciels de courriers électroniques) qui ont ainsi un pouvoir immense dans le système de confiance.

 

 

 

Vers le haut