Embed Size (px)
DESCRIPTION
Comment savoir choisir la bonne solution de signature électronique.
Citation preview
SSL Europa - 8 chemin des escargots - 18200 Orval - France T: +33 (0)9 88 99 54 09
Livre Blanc
La signature électronique
Date : mercredi 22 janvier 2014
Indice : V01
2
Table des matières
1. De nouveaux enjeux ....................................................................................................................... 3
2. Coder des messages ........................................................................................................................ 3
3. En détail la cryptographie asymétrique ......................................................................................... 3
4. La signature électronique ............................................................................................................... 4
5. Que dit la loi ? ................................................................................................................................. 5
6. Emetteur de signature électronique .............................................................................................. 5
7. Une utilisation simple ..................................................................................................................... 5
8. Quelques exemples d’utilisations .................................................................................................. 7
Signature sur plateforme Appel d’Offres marché publics ................................................................. 7
Signature de contrats ......................................................................................................................... 7
Signature de propositions commerciales pour des clients ............................................................... 7
Signature d’emails .............................................................................................................................. 7
3
1. De nouveaux enjeux
Toutes les règles de confiance sont bouleversées par le monde numérique. A travers l’histoire nous avons établi des relations de confiance, signé des contrats, apposé des sceaux, fait appel à des tiers de confiance tels que des notaires, à des témoins, délivrer des documents officiels, mis en place des processus de délivrance, instauré la poignée de main et la rencontre face à face, utilisé des documents confidentiels cachetés, etc. De nouvelles règles se sont établies dans l’univers digital. Des risques majeurs demeurent. Des opportunités également majeures apparaissent.
2. Coder des messages
Depuis l’antiquité les hommes ont encodé des messages envoyés afin que ceux-ci ne puissent être interceptés. La littérature et le cinéma sont remplis d’histoires militaires, d’espionnages, ou amoureuses sur des messages codés (Note : dans le jargon actuel l’on dit chiffrés, et l’on parle de chiffrement). Le code le plus connus demeure le code César. Le principe dit cryptographique (du grec : Crypto, caché et Graphos, dessin) consiste à appliquer une combinaison à un texte afin que personne ne puisse le lire, puis à la personne qui reçoit ce texte à appliquer la combinaison « inverse » afin de le décoder. Les Castor Junior avaient de nombreuses techniques de chiffrement avec des jeux associés. César lui utilisait cette technique pour communiquer avec les différentes entités de son armée sur les champs de bataille.
3. En détail la cryptographie asymétrique
En 1975, M. Diffie et M. Hellman mirent au point un algorithme mathématique pour lequel l’algorithme pour chiffrer un document et celui pour le déchiffrer pouvaient être différents. Il y avait ainsi une clé permettant de chiffrer, et une autre différente permettant de déchiffrer le document. En quelque sorte une clé permet de fermer le coffre-fort et une autre de l’ouvrir. Cette technique fût nommée la cryptographie asymétrique par opposition à la cryptographie symétrique ou la clé pour chiffrer et celle pour déchiffrer étaient les mêmes ; cryptographie pour laquelle le mécanisme de déchiffrement était « l’inverse » du mécanisme de chiffrement.
Avec la cryptographie symétrique il était possible à partir du mécanisme de chiffrement de déduire le déchiffrement et inversement ; pas avec la cryptographie asymétrique. Cette découverte eu un impact considérable.
4
La cryptographie symétrique comportait des problèmes majeurs. Il fallait échanger la combinaison de chiffrement, la clé dite de chiffrement avec la personne qui devait déchiffrer. Il fallait une clé de chiffrement différente pour communiquer avec chaque interlocuteur de façon confidentielle. Ces clés risquaient être divulguées. Il fallait maintenir une liste parfois importante de clés. Il est apparu très vite que cette technique ne convenait pas au monde numérique. La cryptographie asymétrique ouvrait elle de nouveaux horizons. Chaque personne possède sa clé dite privée que personne d’autre ne connait plus sa clé publique que tout le monde connait et qui est identifiée par tous comme lui appartenant et que l’on peut échanger librement.
Si l’on chiffre un message avec la clé publique, seule la personne possédant la clé privée correspondante peut déchiffrer le message. Il n’est alors plus nécessaire pour chaque personne de garder confidentiellement un ensemble de clés symétrique pour chaque interlocuteur avec qui l’on souhaite communiquer de façon chiffrée.
4. La signature électronique
Cette technologie permettait aussi une nouvelle application! Si une personne m’envoie un document chiffré avec sa clé privée et que la clé publique correspondante réussie à déchiffrer alors c’est que le message provient bien de la personne ayant chiffré le document. En effet seule la clé publique correspondant à la clé privée permet de décoder le document. La signature électronique était née avec ses très nombreuses applications et usages.
5
5. Que dit la loi ?
La loi no 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique dit :
« Art. 1316. - La preuve littérale, ou preuve par écrit, résulte d'une suite de lettres, de caractères, de chiffres ou de tous autres signes ou symboles dotés d'une signification intelligible, quels que soient leur support et leurs modalités de transmission.
« Art. 1316-1. - L'écrit sous forme électronique est admis en preuve au même titre que l'écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité.
« Art. 1316-2. - Lorsque la loi n'a pas fixé d'autres principes, et à défaut de convention valable entre les parties, le juge règle les conflits de preuve littérale en déterminant par tous moyens le titre le plus vraisemblable, quel qu'en soit le support. »
6. Emetteur de signature électronique
La signature électronique doit être émise par un Tiers de Confiance, fournir sur un support clé USB Cryptographique. Le Tiers de Confiance est une organisation habilitée par le gouvernement à délivrer des certificats électroniques après un Audit poussé (ANSSI, KPMG, LSTI). Le Tiers de Confiance a également développé des accords avec les éditeurs de logiciels tels que Microsoft ou Adobe afin que leurs certificats soient reconnus de confiance dans leurs outils.
Le Tiers de Confiance vérifiera votre identité en vous demandant une pièce d'identité, vous trouvera dans les pages jaunes et vous appellera par téléphone pour vérifier que c'est bien vous, etc. Il vous remettra alors cette clé USB cryptographique ainsi qu'un code PIN secret, comme pour une carte bleue.
7. Une utilisation simple
Pour signer vos document et vos emails, il vous suffit d’insérerez votre clé cryptographique dans l’ordinateur, signerez à partir du menu de votre éditeur de document ou d'emails, devrez saisir votre code PIN, et vos documents ou emails seront signés. Cela garantira à vos destinataires que vous êtes bien l'émetteur du document et que ce document n'a pas été modifié. Un horodatage en utilisant via l'Internet un serveur d'horodatage attachera au document l'heure et la date à laquelle a été effectuée cette signature. Les informations relatives à la signature seront archivées.
6
Plusieurs signatures peuvent être apposées par différentes personnes à un document électronique. Vous pouvez choisir de rendre la signature visible via une image, ou pas. En cliquant sur cette image vous visualiserez les informations relatives à la signature. Adobe Acrobat est un exemple d’outil permettant de signer des documents. Il en existe d’autres, Lex Persona, ComSignTrust.
IMPORTANTE NOTE: Un document PDF est contrairement à ce que l'on croit modifiable avec un éditeur de texte adapté tel qu’Adobe Acrobat. Seul un document PDF signé électroniquement ne peut pas être modifié sans perdre sa signature.
Signature PDF
Signature électronique messagerie Outlook
7
8. Quelques exemples d’utilisations
Signature sur plateforme Appel d’Offres marché publics Une entreprise de travaux est amener à vouloir travailler avec les mairies et collectivités locales et bien maintenant il faut être prémunis d’une clé de signature RGS** pour répondre aux appels d’offres des marchés dématérialisés en France. 100% gain de temps, ne pas avoir à se déplacer pour porter le dossier.
Signature de contrats Une société travaille avec des entreprises étrangères et utilise la signature électronique pour signer des contrats. Les contrats ainsi signés par les deux parties ne peuvent plus être modifiés. 15 jours sont gagnés sur chaque réalisation de contrat.
Signature de propositions commerciales pour des clients Une banque envoie des propositions commerciales pour de nouveaux services à tous ses clients. Ces documents sont signés électroniquement avec un outil automatique de signature. Ils peuvent être lus avec l’Acrobat Reader qui est un logiciel gratuit. Les clients sont rassurés quant à la provenance du document. 20% des propositions commerciales en plus sont prises en compte.
Signature d’emails Les emails circulent en clair sur l’Internet. Il est facile de créer un email apparaissant comme provenant d’une autre personne. Un bureau d’étude utilise par exemple des clés USB cryptographiques pour signer et chiffrer ses documents et ses emails. La provenance est garantie. Ni l’email ni les documents joints également signés n’ont pu être altérés. Personne n’a pu intercepter les informations échangées. Le risque est réduit de 99,99%.
L’usage de la signature électronique répond à un réel besoin dans le monde numérique et dans les nouveaux procédés au sein des organismes, des entreprises, cette technologie aujourd’hui se généralisera dans beaucoup de métiers et à un avenir prometteur.
SSL Europa 8 chemin des Escargots 18200 Orval France www.ssl-europa.com
