Le renouveau de la signature électronique_cabinet Alain Bensoussan_29 01 2014

Diapositive 1

Signature lectronique 3.0 Le futur est dj prsent

Petit-djeuner dbat du 29 janvier 2014

29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 1

Introduction

Contexte Le dploiement

Enjeux Les nouvelles formes de signature

Dfi La conformit

1. Etat des lieux, par Dimitri

Mouton, Socit Demaeter

2. Choisir la bonne signature si cest possible

3. Dployer sans risque sous rserve de lapprciation souveraine des tribunaux

1. Etat des lieux, Dimitri Mouton, Demaeter

1. Un beau fouillis

2. Les fondamentaux

3. Les tendances

1.1 LE FOUILLIS

Signature lectronique

Authentification

Clef prive

Clef publique

Engagement

2048 bits

Certificat

Classe 3+

2 toiles

Prsomption de fiabilit

Tablette

Signature scurise Signature avance

Certificat qualifi

Convention de preuve

Code PIN

Authentification forte

Usurpation didentit

Horodatage

X.509 V3

Autorit dEnregistrement

RFC 3161

COFRAC

Politique de Signature Electronique

PDF /A

PKCS#7

PKCS#12

Loi du 13 mars 2000

Dcret du 30 mars 2001

Rglement europen

Signature dtache

Applet java

Propre au signataire

Contrle exclusif

Rvocation

SHA256

Dlgation

Parapheur

A la vole

Intgrit

Non-rpudiation

Garantie de provenance

Traabilit

Prestataire qualifi

Force probante

Alice et Bob

Mais les usages sont l

Marchs publics

Contrats B to B

Immatriculations

Dclarations sociales

Commerce en ligne

Contrats grand public en agence

Actes notaris

PV lectroniques

Attestations de conformit

Diplmes Actes - Contrle de lgalit

Dlibrations

Hlios - Comptabilit publique

Dclarations de travaux

Rseaux et canalisations

Banque en ligne

Dmarches administratives

Rseau Priv Virtuel des Avocats

Rseau Priv Virtuel de la Justice

Tribunal de Commerce lectronique

Actes authentiques

Expertise comptable Chronotachygraphe

Contrats de travail

Emargements

Feuille de soins lectronique

Factures

Dlgation de pouvoirs bancaires

Lettre recommande lectronique

Vote lectronique

Les typologies

Signature scanne

Signature manuscrite sur tablette

Signature lectronique la vole

Avec ou sans

accrditation

Avec ou sans legal opinion

Avec ou sans toiles

Les composantes dun service dmatrialis

Dont la signature lectronique

1.2 LES FONDAMENTAUX

La signature lectronique :

Dfinition pratique

La signature lectronique est une signature

Qui porte sur un document de nature lectronique.

Lencre marque le papier La cryptographie garantit un lien entre le signataire et le document

A quoi sert un certificat

Le certificat est une carte

didentit dlivre par une

Autorit de Certification

ou Prestataire de Services

de Certification

lectronique

Il peut servir :

sauthentifier (contrle daccs)

signer (signature lectronique, cachet, horodatage)

chiffrer (confidentialit)

La PKI

PKI (Public Key Infrastructure), aussi appele Infrastructure clef publique (ICP) ou Infrastructure de Gestion de Clefs (IGC) :

Lensemble des moyens techniques et humains mis en uvre pour la dlivrance de certificats

Autorit de Certification (AC) : responsable de la PKI dicte les rgles (Politique de Certification) Est garante de leur respect

Autorit dEnregistrement (AE) : procde lenregistrement des porteurs

Oprateur de Certification (OC) : exploite les machines

Autorit de Rvocation, Autorit de Validation : rles complmentaires.

Le cycle de vie du certificat

Calcul technique :

Empreinte du document

Scellement par la clef prive

Ajout dlments complmentaires :

Le certificat du signataire et la chane de certification correspondante

Un jeton dhorodatage

Une preuve de validit du certificat (LCR ou OCSP)

Cinmatique de la signature

Cinmatique de la vrification

Calcul technique :

Empreinte du document

Epreinte initialement scelle

Comparaison des deux valeurs

Validit du certificat

Le document a bien t sign par le porteur du certificat

Mais qui est-ce ?

Vrifier la validit technique du certificat.

Sil est invalide ALERTE !

Examiner lmetteur du certificat :

Si je nai pas confiance en cette AC

ALERTE !

Si jai confiance en cette AC :

Comparer la date de la signature aux dates de validit du certificat

Vrifier la Liste des Certificats Rvoqus

Si tout est bon : le nom contenu dans le certificat est celui du signataire.

Mais ce signataire avait-il le droit de signer ?

Le document sign est-il correct sur la forme ? Sur le fond ?

La vrification se poursuit sur le plan juridique ! 29/01/2014 Copyright Lexing 2014 Confidentiel Entreprise 18

Exemple : affichage de signature par Adobe Reader

Les formats de signatures

AdES = Advanced Electronic Signature

3 formats : PAdES = format PDF

CAdES = format CMS / PKCS#7

XAdES = format XML

Le choix est faire en fonction des contraintes du projet

Tous permettent dinclure les mmes lments :

Les niveaux de certificats

Le niveau de scurit offert par un certificat dpend :

Des procdures denregistrement

Du support du certificat (matriel / logiciel)

Des engagements de lAutorit de Certification

Les niveaux du RGS rpondent des ralits juridiques :

* Enregistrement distance

Support logiciel

simple

** Enregistrement en face face

Support matriel

scurise

*** Enregistrement en face face

Support matriel scuris

Certificat qualifi

prsume fiable

Les principes de la confiance

La confiance est un sentiment de scurit

Elle doit saccompagner de la prudence !

Chane de confiance faible : Chane de confiance forte :

1.3 LES TENDANCES

La signature lectronique autonome

Le signataire a achet son certificat auprs dune AC du march

Il dispose sur son poste dun outil de signature lectronique

Il ralise ses signatures sur son poste, de manire autonome

La signature lectronique par applet

Le signataire a achet un certificat auprs dune AC du march

Loutil de signature est inclus dans le service appel

Le signataire ralise ses signatures sur son poste, dans le cadre du service

La signature lectronique la vole

Le signataire na pas de certificat, ni doutil de signature

lectronique

Le serveur lui prsente le contrat et

il donne son accord

Le serveur vrifie lidentit du signataire en lui envoyant un

dfi par SMS

Le serveur gnre une bi-clef de signature

Il gnre un certificat au nom du signataire

Il utilise la clef prive pour signer le document

Puis il dtruit la clef prive

Le document est sign sur le serveur !

A la prochaine signature, un

nouveau certificat

sera gnr

La carte puce virtuelle

Le signataire na pas doutil de signature lectronique

Son certificat est conserv sur le serveur dans un espace scuris (HSM)

Le serveur lui prsente le contrat et il donne son accord

Le serveur vrifie lidentit du signataire en lui

envoyant un dfi par

Le document est sign sur le serveur !

A la prochaine signature, le mme

certificat sera utilis

La signature sur tablette

En agence, le client visualise le contrat

Il appose sa signature manuscrite sur la tablette

Une signature lectronique la vole est ralise en plus de la signature manuscrite

Le cachet lectronique

Les documents sont produits dans un processus automatis et envoys au serveur

Le serveur dispose dun certificat, au nom de la personne morale

Le cachet lectronique est une signature lectronique de personne morale

Il peut tre appos automatiquement

La tendance des tendances la rematrialisation

Prnom Nom

Adresse

Facture de prestations

De lentreprise Tartempion

Valant justificatif de domicile

Prestations123

Prnom Nom Adresse Tartempion 123

Prnom Nom

Adresse

Facture de prestations

De lentreprise Tartempion

Valant justificatif de domicile

Prestations123

Exploitation du code 2D-DOC

Prnom Nom Adresse Tartempion 123

Vrification technique Vrification

visuelle

2. Quelle signature lectronique choisir ?

1. Le droit de la dmat

2. Labsence de choix

3. Le choix

2.1 LE DROIT DE LA DEMATERIALISATION

Les prrequis : Le droit de la dmat

Le papier sauf Le droit llectronique

Le papier sauf Lobligation de dmatrialiser

Le droit la

dmatrialisation

Loi du 13 mars

Avant 2000 Loi du 21 juin 2004

(LCEN) Loi du 4 aot

2008 de

modernisation

de lconomie

Convention de

preuve

probationem

LEtat soblige a recevoir les factures

dmatrialises

validitatem

Ordonnance du 8

dcembre 2005

(e-administration)

Oui mais 3 hypothses

Le prmch

Ex : Bull. Paie ou DPI

Limpos Ex : LRe

Le libre pour linstant

40 Copyright Lexing 2014 Confidentiel Entreprise 29/01/2014

Et mme si cest possible Il ny a pas que 1316-4 dans la vie

Attendu que l'employeur fait grief l'arrt de dire le licenciement sans cause relle et srieuse,

alors, selon le moyen, que si une partie conteste l'authenticit d'un courrier lectronique, il appartient

au juge de vrifier si les conditions mises par les articles 1316-1 et 1316-4 du code civil la validit de

l'crit ou de la signature lectroniques sont satisfaites ;

qu'en affirmant que le grant de la socit AGL finances est bien l'auteur et l'expditeur d'un

courrier lectronique dont l'authenticit tait conteste, aux motifs que l'employeur ne rapport (ait)

pas la preuve que l'adresse de l'expditeur mentionne sur le courriel soit errone ou que la bote

d'expdition de la messagerie de l'entreprise ait t dtourne et qu' en tout tat de cause, un tel

dtournement ne pourrait tre imput Mme X... , sans vrifier, comme elle y tait tenue, si ledit

courriel avait t tabli et conserv dans des conditions de nature en garantir l'intgrit et s'il

comportait une signature lectronique rsultant de l'usage d'un procd fiable d'identification, la cour

d'appel a priv sa dcision de base lgale au regard des articles 287 du code de procdure civile,

1316-1 et 1316-4 du code civil ;

Mais attendu que les dispositions invoques par le moyen ne sont pas applicables au courrier

lectronique produit pour faire la preuve d'un fait, dont l'existence peut tre tablie par tous moyens de

preuve, lesquels sont apprcis souverainement par les juges du fond ; que le moyen n'est pas

Cass Soc 25 sept 2013

Mais rappelons demble que

Preuve dun droit ou preuve dun fait ?

Preuve libre ou preuve contrainte

La preuve contrainte = civile

La preuve libre +- tout le reste

Pnal, administratif, prud'homal

La question est donc

1. En ai-je besoin ? (gestion investissement)

2. Qui peut le plus peut le moins (gestion de risque)

2.2 LABSENCE DE CHOIX

Un exemple de non discussion

Pour que les procds de signature lectronique mis la

disposition des magistrats, des agents du greffe et des

personnes habilites en vertu de l'article R. 123-14 du code de

l'organisation judiciaire soient prsums fiables au sens

de l'article 2 du dcret du 30 mars 2001 susvis, ils doivent

respecter les exigences du rfrentiel gnral de scurit du

niveau trois toiles (***). En outre, la signature doit tre

scurise et tre cre par un dispositif scuris cer...