Le renouveau de la signature électronique_cabinet Alain Bensoussan_29 01 2014

Signature électronique 3.0 Le futur est déjà présent

Petit-déjeuner débat du 29 janvier 2014

29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 1

Introduction

Contexte – Le déploiement

Enjeux – Les nouvelles formes de signature

Défi – La conformité


PLAN

1. Etat des lieux, par Dimitri

Mouton, Société Demaeter

2. Choisir la bonne signature …

si c’est possible

3. Déployer sans risque … sous

réserve de l’appréciation

souveraine des tribunaux


1. Etat des lieux, Dimitri Mouton, Demaeter

1. Un beau fouillis…

2. Les fondamentaux

3. Les tendances


1.1 LE FOUILLIS…


PKI

Signature électronique

Authentification

Clef privée

Clef publique

Engagement

IGC

RSA

2048 bits

RGS

Certificat

AC

Classe 3+

2 étoiles

Présomption de fiabilité

Tablette

Signature sécurisée Signature avancée

Certificat qualifié

Convention de preuve

Code PIN

Authentification forte

SMS

Usurpation d’identité

CRL

Horodatage

OCSP

X.509 V3

Autorité d’Enregistrement

PSCE

PSCO

RFC 3161

COFRAC

ANSSI

Politique de Signature Electronique

PAdES

PDF /A

XAdES

PKCS#7

PKCS#12

Loi du 13 mars 2000

Décret du 30 mars 2001

Règlement européen

CMS

Signature détachée

Applet java

Propre au signataire

Contrôle exclusif

SSCD

Révocation

SHA256

Délégation

Parapheur

A la volée

OTP

Intégrité

Non-répudiation

Garantie de provenance

Traçabilité

Prestataire qualifié

Force probante

Alice et Bob


Mais les usages sont là …


Marchés publics

Contrats B to B

Immatriculations

Déclarations sociales

Commerce en ligne

Contrats grand public en agence

Actes notariés

PV électroniques

Attestations de conformité

Diplômes Actes - Contrôle de légalité

Délibérations

Hélios - Comptabilité publique

Déclarations de travaux

Réseaux et canalisations

Banque en ligne

Démarches administratives

Réseau Privé Virtuel des Avocats

Réseau Privé Virtuel de la Justice

Tribunal de Commerce électronique

Actes authentiques

Expertise comptable Chronotachygraphe

Contrats de travail

Emargements

Feuille de soins électronique

Factures

Délégation de pouvoirs bancaires

Lettre recommandée électronique

Vote électronique


Les typologies…

Signature scannée

Signature manuscrite sur tablette

Signature électronique « à la volée »


Avec ou sans

accréditation

Avec ou sans legal opinion

Avec ou sans étoiles


Les composantes d’un service

dématérialisé

Dont la signature électronique


1.2 LES FONDAMENTAUX


La signature électronique :

Définition pratique

La signature électronique est une signature…

… Qui porte sur un document de nature électronique.

L’encre marque le papier La cryptographie garantit un lien entre le signataire et le document


A quoi sert un certificat

• Le certificat est une « carte

d’identité » délivrée par une

« Autorité de Certification »

ou « Prestataire de Services

de Certification

Électronique »

• Il peut servir à :

– s’authentifier (contrôle d’accès)

– signer (signature électronique, cachet, horodatage)

– chiffrer (confidentialité)


La PKI

• PKI (Public Key Infrastructure), aussi appelée Infrastructure à clef publique (ICP) ou Infrastructure de Gestion de Clefs (IGC) :

L’ensemble des moyens techniques et humains

mis en œuvre pour la délivrance de certificats

• Autorité de Certification (AC) : responsable de la PKI – Édicte les règles (Politique de Certification)

– Est garante de leur respect

• Autorité d’Enregistrement (AE) : procède à l’enregistrement des porteurs

• Opérateur de Certification (OC) : exploite les machines

• Autorité de Révocation, Autorité de Validation : rôles complémentaires.


Le cycle de vie du certificat


• Calcul technique :

– Empreinte du document

– Scellement par la clef privée

• Ajout d’éléments complémentaires :

– Le certificat du signataire et la chaîne de certification correspondante

– Un jeton d’horodatage

– Une preuve de validité du certificat (LCR ou OCSP)

Cinématique de la signature


Cinématique de la vérification

• Calcul technique :

– Empreinte du document

– Epreinte initialement scellée

– Comparaison des deux valeurs


Validité du certificat

Le document a bien été signé par le porteur du certificat…

Mais qui est-ce ?

• Vérifier la validité technique du certificat.

– S’il est invalide ALERTE !

• Examiner l’émetteur du certificat :

– Si je n’ai pas confiance en cette AC

ALERTE !

– Si j’ai confiance en cette AC :

• Comparer la date de la signature aux dates de validité du certificat

• Vérifier la Liste des Certificats Révoqués

• Si tout est bon : le nom contenu dans le certificat est celui du signataire.

Mais ce signataire avait-il le droit de signer ?

Le document signé est-il correct sur la forme ? Sur le fond ?

La vérification se poursuit sur le plan juridique ! 29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 18

Exemple : affichage de signature par Adobe Reader


Les formats de signatures

• AdES = Advanced Electronic Signature

• 3 formats :

– PAdES = format PDF

– CAdES = format CMS / PKCS#7

– XAdES = format XML

• Le choix est à faire en fonction des contraintes du projet

• Tous permettent d’inclure les mêmes éléments :


Les « niveaux de certificats »

• Le niveau de sécurité offert par un certificat dépend :

– Des procédures d’enregistrement

– Du « support » du certificat (matériel / logiciel)

– Des engagements de l’Autorité de Certification

• Les niveaux du RGS répondent à des réalités juridiques :

* Enregistrement à distance

Support logiciel


« simple »

** Enregistrement en face à face

Support matériel


« sécurisée »

*** Enregistrement en face à face

Support matériel sécurisé

Certificat qualifié


« présumée fiable »


Les principes de la confiance

• La confiance est un sentiment de sécurité

• Elle doit s’accompagner de la prudence !

Chaîne de confiance faible : Chaîne de confiance forte :


1.3 LES TENDANCES


La signature électronique « autonome »

• Le signataire a acheté son certificat auprès d’une AC du marché

• Il dispose sur son poste d’un outil de signature électronique

• Il réalise ses signatures sur son poste, de manière autonome


La signature électronique par applet

• Le signataire a acheté un certificat auprès d’une AC du marché

• L’outil de signature est inclus dans le service appelé

• Le signataire réalise ses signatures sur son poste, dans le cadre du service


La signature électronique à la volée

• Le signataire n’a pas

de certificat, ni d’outil

de signature

électronique

• Le serveur lui

présente le contrat et

il donne son accord


• Le serveur vérifie

l’identité du signataire

en lui envoyant un

défi par SMS




• Le serveur génère une bi-clef de signature

• Il génère un certificat au nom du signataire

• Il utilise la clef privée pour signer le document

• Puis il détruit la clef privée



• Le document est

signé sur le serveur !

• A la prochaine

signature, un

nouveau certificat

sera généré


La « carte à puce virtuelle »

• Le signataire n’a pas d’outil de signature électronique

• Son certificat est conservé sur le serveur dans un espace sécurisé (HSM)

• Le serveur lui présente le contrat et il donne son accord


• Le serveur vérifie

l’identité du

signataire en lui

envoyant un défi par

SMS




• Le document est

signé sur le serveur !

• A la prochaine

signature, le même

certificat sera utilisé


La signature sur tablette

• En agence, le client visualise le contrat

• Il appose sa signature manuscrite sur la tablette

• Une signature électronique « à la volée » est réalisée en plus de la signature manuscrite


Le cachet électronique

• Les documents sont produits dans un processus automatisé et envoyés au serveur

• Le serveur dispose d’un certificat, au nom de la personne morale

• Le cachet électronique est une « signature électronique » de personne morale

• Il peut être apposé automatiquement


La tendance des tendances… la

« rematérialisation »

Prénom Nom

Adresse

Facture de prestations

De l’entreprise Tartempion

Valant justificatif de domicile

Prestations………………123 €

« Prénom Nom Adresse Tartempion 123€ »


Prénom Nom

Adresse

Facture de prestations

De l’entreprise Tartempion

Valant justificatif de domicile

Prestations………………123 €

Exploitation du code 2D-DOC

« Prénom Nom Adresse Tartempion 123€ »

Vérification technique Vérification

visuelle


2. Quelle signature électronique choisir ?

1. Le droit de la « démat »

2. L’absence de choix

3. Le choix


2.1 LE DROIT DE LA DEMATERIALISATION


Les prérequis : Le droit de la « démat »

Le papier sauf … Le droit à

l’électronique Le papier sauf … L’obligation de

dématérialiser Le droit à la

dématérialisation

Loi du 13 mars

2000

Avant 2000 Loi du 21 juin 2004

(LCEN) Loi du 4 août

2008 de

modernisation

de l’économie

Convention de

preuve

ad

probationem

L’Etat s’oblige a

recevoir les factures

dématérialisées

ad

validitatem

Ordonnance du 8

décembre 2005

(e-administration)


Oui mais … 3 hypothèses

Le prémâché

Ex : Bull. Paie ou DPI

L’imposé – Ex : LRe

Le « libre » … pour l’instant

40 Copyright Lexing 2014 ® Confidentiel Entreprise 29/01/2014

Et même si c’est possible…

« Il n’y a pas que 1316-4 dans la vie … »

« Attendu que l'employeur fait grief à l'arrêt de dire le licenciement sans cause réelle et sérieuse,

alors, selon le moyen, que si une partie conteste l'authenticité d'un courrier électronique, il appartient

au juge de vérifier si les conditions mises par les articles 1316-1 et 1316-4 du code civil à la validité de

l'écrit ou de la signature électroniques sont satisfaites ;

qu'en affirmant que le gérant de la société AGL finances « est bien l'auteur et l'expéditeur » d'un

courrier électronique dont l'authenticité était contestée, aux motifs que l'employeur « ne rapport (ait)

pas la preuve que l'adresse de l'expéditeur mentionnée sur le courriel soit erronée ou que la boîte

d'expédition de la messagerie de l'entreprise ait été détournée » et qu'« en tout état de cause, un tel

détournement ne pourrait être imputé à Mme X... », sans vérifier, comme elle y était tenue, si ledit

courriel avait été établi et conservé dans des conditions de nature à en garantir l'intégrité et s'il

comportait une signature électronique résultant de l'usage d'un procédé fiable d'identification, la cour

d'appel a privé sa décision de base légale au regard des articles 287 du code de procédure civile,

1316-1 et 1316-4 du code civil ;

Mais attendu que les dispositions invoquées par le moyen ne sont pas applicables au courrier

électronique produit pour faire la preuve d'un fait, dont l'existence peut être établie par tous moyens de

preuve, lesquels sont appréciés souverainement par les juges du fond ; que le moyen n'est pas

fondé »

Cass Soc 25 sept 2013


Mais rappelons d’emblée que …

• Preuve d’un droit ou preuve d’un fait ?

• Preuve libre ou preuve contrainte

– La preuve contrainte = civile

– La preuve libre … +- tout le reste

• Pénal, administratif, prud'homal


La question est donc …

1. En ai-je besoin ? (gestion investissement)

2. Qui peut le plus peut le moins… (gestion de risque)


2.2 L’ABSENCE DE CHOIX …


Un exemple de « non discussion »

Pour que les procédés de signature électronique mis à la

disposition des magistrats, des agents du greffe et des

personnes habilitées en vertu de l'article R. 123-14 du code de

l'organisation judiciaire soient présumés fiables au sens

de l'article 2 du décret du 30 mars 2001 susvisé, ils doivent

respecter les exigences du référentiel général de sécurité du

niveau trois étoiles (***). En outre, la signature doit être

sécurisée et être créée par un dispositif sécurisé certifié dans

les conditions prévues à l'article 3 du décret précité.

La procédure d'inscription et d'enregistrement des données

d'identification et d'habilitation de ces personnes est à l'initiative

et sous la responsabilité du ministère de la justice.

Arrêté du 18 octobre 2013 relatif à la signature électronique des décisions de justice rendues en

matière civile par la Cour de cassation


Un autre exemple… moins « violent »

« Les actes des autorités administratives peuvent faire l'objet d'une signature électronique. Celle-ci n'est valablement apposée que par l'usage d'un procédé, conforme aux règles du référentiel général de sécurité mentionné au I de l'article 9, qui permette l'identification du signataire, garantisse le lien de la signature avec l'acte auquel elle s'attache et assure l'intégrité de cet acte. »

Ord. 2005-1516 du 8-12-2005 relative aux échanges électroniques entre les usagers et

les autorités administratives (Art 8)

« Les certificats électroniques délivrés aux autorités administratives et à leurs agents en

vue d'assurer leur identification dans le cadre d'un système d'information font l'objet d'une

validation par l'Etat dans des conditions précisées par décret. »


2.3 L’HEURE DU CHOIX !

47 29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise

Une réalité … complexe

• 4 concepts juridiques (Décret du 30 mars 2001)

– Simple

– Sécurisée + Numérique

– Présumée fiable

• des approches géographiques :

– Avancée (Dir 1999/93/CE du 13 décembre 1999) Sécurisée (Décret du 30 mars 2001)

– Digital signature / Electronic signature

• 3 réalités techniques au moins :

– RGS : une étoile (*)

– RGS : deux étoiles (**)

– RGS : trois étoiles (***)

3 DEGRÉS DE FIABILITÉ

=

3 SIGNATURES


Lorsque le choix est possible …

Clic


Signature électronique sécurisée

Signature numérique

Signature électronique présumée fiable


La méthode… de base

Création de la preuve

• Un signataire / des signataires

• Un document / une succession de documents

• Mono canal / Multicanal

• Eloignement géographique

Administration de la preuve

• Produire d’urgence (référé)

• Produire dans des conditions particulières (pénal ; entités de contrôle)

Gestion de la contestation

• La SE présumée fiable – Risque fort de remise en cause de la preuve

• Montant important et risque de sclérose du dossier

• Le montant n’est pas l’élément déterminant (risque fort de remise en cause de contrat en masse de faible montant)

• Attention aux faux espoirs - Expertise technique en perspective


Le choix d’une solution c’est aussi le choix

… d’un prestataire

Pré-requis juridiques

Engagements contractuels

Dispositions

légales cf LCEN

secteur

public/privé


Le choix d’une solution c’est aussi le choix..

d’un prestataire

Décision

Pré-requis

juridiques

& techniques

Engagements contractuels

Maintien de normes et

certifications

Couverture assurantielle


3. Sécurisation juridique

1. La pierre angulaire

2. Sécurisation amont

3. Sécurisation en aval


3.1 LA PIERRE ANGULAIRE :

LA CONVENTION DE PREUVE


Approche légale

« Lorsque la loi n'a pas fixé d'autres principes, et à

défaut de convention valable entre les parties,

le juge règle les conflits de preuve littérale en

déterminant par tous moyens le titre le plus

vraisemblable, quel qu'en soit le support. »

C. civ. art 1316-2


Gradation des « pouvoirs »

Loi

Convention

Juge


Notion de « validité »

Fond

Opposabilité

Accès

B to C

B to B

A to C


Une vraie organisation …


Politique de traçabilité

Politique d’horodatage

Politique de sécurité

Politique de certification

Politique d’archivage

Politique

XXX


Une autre question ...

Clause ?

Contrat ?


Organisation d’une convention de preuve

Préambule

Article 1 Définitions

Article 2 Portée - Opposabilité

Article 3 Durée – Prescription

Article 4 – Objet

Article 5 – Champ d’application

Article 6 - Identification

Article 7 - Authentification

Article 8 - Intégrité

Article 9 – Pérennité

Article 10 – Conservation

Article 11 - Horodatage

Article 12 – Traçabilité

Article 13 – Signature

Article 14 – Responsabilité

Article 15 …


La convention de preuve ne suffit pas, il faut

organiser la preuve et l’accès à la preuve

Dossier de preuve

Chemin de preuve


Vision mise

en situation

Justification

technique

Socle

juridique Fondement

Organisation

de la preuve

Accès à la

preuve


3.2 LE BUILD JURIDIQUE

(SÉCURISATION AMONT)


Etude de faisabilité

(possible ou non)

Etude d’impact juridique

(Go no GO)

Socle juridique

(Secteur public – Administration électronique)

Audit juridique de conformité

(legal opinion)

Politique de gestion des documents

électroniques

Conditions d’accès plate-

forme

(on line)

Information du personnel

Cnil

Assurances


Un risque de « bug juridique »

Ne pas confondre…


Convention de dématérialisation


3.3 LE RUN JURIDIQUE

(SÉCURISATION EN AVAL)


Délégation de signature

électronique

Conditions d’utilisation du

parapheur électronique

Charte du SI (adaptation)

Audit interne (piste d’audit fiable)

Gouvernance prestataire

Audit prestataires

Veille juridique

Cellule droit d’accès

Gestion de crise


4. MAIS EST-CE SUFFISANT ?


Les fonctions de sécurité de la

dématérialisation


Gestion d’identités

Certificats

Confidentialité

Archivage

Traçabilité

Horodatage


La sécurité : le rôle de chacun

• Les concepteurs d’applications doivent prendre en compte la sécurité…

• Mais une vision globale s’impose !

• Une implication et une attitude responsable de chacun des intervenants est

indispensable à l’efficacité des mesures de sécurité techniques et juridiques.


Pour en savoir plus …


Prochain petit-déjeuner débat

Elus locaux:

Comment protéger votre e-réputation

et le nom de votre collectivité

12 février 2014

animé par:

Virginie Bensoussan-Brulé & Claudine Salomon



Informations

Crédits Photos et illustrations Networking©Scott Maxwell-Fotolia.com informatique data room réunion

binary stream©Mike Kiev-Fotolia.com

Emblème France©illustrez-vous-Fotolia.com

Road to Success - Up Arrow©iQoncept-Fotolia.com

Businessman entering the labyrinth©Scanrail-Fotolia.com

Dessins tirés de Sécurité de la dématérialisation © Stéphane Torossian – http://graphiste-free-lance-sato.jimdo.com

Lexing est une marque déposée par Alain Bensoussan Selas

Demaeter est une marque déposée par Demaeter Sarl

Me Eric Barbry

Directeur du Pôle Droit du numérique

Tel 06 13 28 91 28

[email protected]

Me Polyanna Bigle

Directeur du Département SSI & Dématérialisation

Tel 06 42 32 16 09

[email protected]

M. Dimitri Mouton – Demaeter

Consultant expert en dématérialisation & sécurité

Tel 06 59 10 99 37

[email protected] – www.demaeter.fr
