Logo ETI Quitter la lecture facile

Décryptage

Signature électronique : où en est-on ?

Posté le par La rédaction dans Informatique et Numérique

Commerce électronique, dématérialisation des marchés publics, facturation électronique, directive service... la signature électronique est promis à un bel avenir en Europe. Mais où en est-elle exactement ? Quels sont les principaux freins à son adoption et quels éléments pourraient évoluer ? Explications.

Le développement du commerce électronique en Europe promettait un bel avenir à la signature électronique. L’Europe a d’ailleurs très tôt légiféré pour créer un cadre légal harmonisé à sa mise en œuvre au sein des pays membres de l’Union européenne. Il s’agit de la fameuse directive n°1999/93/CE du 13 décembre 1999. Transposée en droit français par la loi n°2000-230 du 13 mars 2000 et son décret d’application (décret n°2001-272 du 30 mars 2001), elle pose le principe de la validité juridique de la signature électronique grâce à deux principes clés, l’authentification de l’émetteur et l’intégrité du document, qui permettent via un certificat d’en garantir l’authenticité. Au-delà, elle définit deux autres notions. La signature électronique qualifiée qui, pour être équivalente à une signature manuscrite, doit satisfaire aux exigences suivantes :

  • être liée uniquement au signataire ;
  • permettre d’identifier le signataire ;
  • être créée par des moyens que le signataire puisse garder sous son contrôle exclusif ;
  • être liée aux données auxquelles elle se rapporte de telle sorte que toute modification ultérieure des données soit détectable.
Le certificat qualifié qui doit être délivré par une autorité de certification qualifiée et qui doit comporter :
  • une mention indiquant que le certificat est délivré à titre de certificat qualifié ;
  • l’identification du prestataire de service de certification ;
  • le nom du signataire ;
  • la possibilité d’inclure une qualité spécifique du signataire, en fonction de l’usage auquel le certificat est destiné ;
  • des données afférentes à la vérification de la signature qui correspondent aux données pour la création de signature sous le contrôle du signataire ;
  • l’indication du début et de la fin de la période de validité du certificat;
  • le code d’identité du certificat ;
  • la signature électronique avancée du prestataire de service de certification qui délivre le certificat.
Autant de critères qui doivent permettre :
  • d’identifier l’auteur de la signature de manière sûr et certaine ;
  • de garantir que le document auquel elle se rapporte soit établi et conserver dans des conditions qui garantissent son intégrité ;
  • dans le cas de la signature électronique avancée, de garantir la non-répudiation d’un document, c’est-à-dire d’empêcher qu’une personne puisse dire que ce n’est pas elle qui a signé tel document ;
  • une reconnaissance transfrontière des signatures et des certificats dans la Communauté européenne et le développement des échanges électroniques.

Une adoption lente
Toutefois, la directive ne préconise aucune technologie en particulier. Dans la pratique, l’authentification de la signature électronique repose sur l’utilisation d’un algorithme qui garantit que le signataire est bien l’auteur et que le message est bien celui qu’il a signé.Une procédure qui apparaît très vite aux yeux des entreprises comme étant complexe et coûteuse à mettre en œuvre. Autres freins de taille : les problèmes d’interopérabilité entre pays auxquels il faut ajouter la découverte de failles liées à la fonction de hachage cryptographique via l’algorithme MD5 (celui permettant notamment l’attribution d’une signature spécifique à un seul et unique document).Résultat, le développement de la signature électronique est quelque peu freiné en Europe. En 2007, selon une étude conduite par Statec et Eurostat, seules 13 % des entreprises de 10 salariés et plus en Europe déclaraient avoir utilisé un certificat électronique comme technologie d’authentification en ligne. Un taux de pénétration pour le moins modeste.

Les prochaines évolutions
Une situation qui décidément ne laisse pas indifférente la Commission européenne. Lors de la 9ème édition de la conférence  » European Forum on Electronic Signature  » qui s’est déroulée en Pologne en juin 2009, celle-ci a demandé à ce que chaque Etat membre établisse une liste de confiance des autorités de certification d’ici le 28 décembre 2009 et à lancer une étude pour évaluer la faisabilité d’un système fédéré de validation des signatures. L’objectif de tout ceci étant, in fine, de lever le problème de l’interopérabilité entre les pays. Car certaines mesures, telles que la dématérialisation des marchés publics, la facturation électronique (dans certains pays, les factures doivent être signées), la carte d’identité électronique ou encore la directive service qui stipule dans son article 8 que les procédures et formalités relatives à l’enregistrement d’une activité de service doivent pouvoir être effectuées facilement à distance et par voie électronique (ce qui suppose une ou des signatures), ont besoin de conditions favorables pour pouvoir véritablement se déployer au niveau européen.Mais la normalisation de la signature reste très compliquée et la question du format reste entier. D’ailleurs, ce thème n’a pas encore été vraiment abordé par la Commission européenne. Aujourd’hui, les formats reconnus par l’Etsi (European telecommunications standards institute) sont :
  • le CAdES (CMS Advanced electronic signatures) ;
  • le XAdES (XML Advanced electronic signatures) ;
A cela, il faut ajouter le PADES qui est une norme ISO basée sur le format PDF. Afin de simplifier les choses et d’anticiper d’éventuels changements qui surviendront avec la norme ISO 32000-2, des travaux sont d’ailleurs actuellement en cours à l’Etsi en synergie avec l’ISO, pour combiner ces trois formats de signature. Enfin, l’Etsi a récemment émis une recommandation pour changer l’algorithme de hachage, l’algorithme SHA-1 (Secure hash algorithm) ayant été cassé. Un concours public organisé par le NIST (National Institute of Standards and Technology) est d’ailleurs en cours aux Etats-Unis pour sélectionner un nouvel algorithme constitutif du nouveau standard SHA-3 (lire l’article La compétition SHA-3 du NIST : où en est-on ?).Mais cela suffira-t-il à encourager le déploiement de la signature électronique ?  Vocabulaire et pour aller plus loinLe hachage permet de réduire un long texte en un code significatif, un peu comme une clé RIB pour un compte en banque. Pour un document volumineux, cela permet de signer uniquement le hash et cela limite les problèmes de confidentialité lors d’une certification par un tiers.Consulter la directive n°1999/93/CE du 13 décembre 1999La rédaction

Pour aller plus loin

Posté le par La rédaction


Réagissez à cet article

Commentaire sans connexion

Pour déposer un commentaire en mode invité (sans créer de compte ou sans vous connecter), c’est ici.

Captcha

Connectez-vous

Vous avez déjà un compte ? Connectez-vous et retrouvez plus tard tous vos commentaires dans votre espace personnel.

INSCRIVEZ-VOUS
AUX NEWSLETTERS GRATUITES !