Internet citoyen
La cybersignature n’est pas pour demain
L’utilisation de la signature électronique n’a pas convaincu les Français. La loi adoptée dans l’Hexagone n’a pas permis d’élaborer les outils nécessaires à la diffusion de cette technologie.
Les pessimistes étaient les plus nombreux. Ils avaient raison. Trois ans après l’adoption de la loi du 13 mars 2000 sur la signature électronique, les Français ne s’y sont pas encore mis. Demain, la cybersignature fera certainement partie de la vie de tous les jours. Il sera possible d’acheter une maison en France depuis les Etats-Unis ou de signer en ligne sa déclaration de TVA ou ses impôts sur le revenu. Mais pour l’heure, le paraphe électronique a du mal à s’imposer. Trop complexe.
Aujourd’hui, pour signer sur le Net, il faut, en premier lieu, s’inscrire auprès d’un prestataire agréé qui délivre des procédés qui permettent de «marquer» le document. La forme la plus usuelle de signature électronique est basée sur un système qui associe deux clés complémentaires : une clé privée pour le paraphe dont le caractère secret doit être préservé, et une clé publique: un certificat associé qui comporte le nom du signataire et le nom de l’organisme de certification. VivaUp, Certinomis (l’opérateur de certification de la Poste et de Sagem), Verisign sont des prestataires déjà opérationnels. L'une ou l'autre de ces clés permet d'encoder un message afin de le rendre illisible et inaccessible. L'opération de décodage s'effectue, quant à elle, selon le principe de la complémentarité des clés. Il existe d’autres procédés pour marquer un document comme notamment les procédés d’identification biométriques liés aux empreintes digitales, à l’iris de l’œil ou à la voix.
La conversation de la signature dans le temps
Seconde étape de la procédure, il faut signer avec un logiciel. Après avoir rédigé son e-mail, il suffit de cliquer sur une icône de certification. Ce seing numérique apposé sur le message grâce au logiciel est un commencement de preuve devant un tribunal. Troisième et dernière étape: vérifier la signature. Le destinataire peut vérifier la validité de la signature en consultant le certificat public associé. Le système garantit que le message n’a pas été modifié. Pour être valide, la cybersignature doit garantir que l’information a bien été envoyée par l’émetteur et s’assurer qu’elle n’a pas été modifiée au cours de son transfert. Vaste programme.
On comprend mieux désormais pourquoi la cybersignature n’a pas encore eu son grand soir en France. La complexité des techniques y est certainement pour quelque chose. Mais il faut aussi résoudre les problèmes posés par les prestataires de services de certification (PSC). Les conditions d'accréditation ont été fixées par arrêté du ministère de l'Economie et des Finances. Mais les prestataires accrédités sont-ils des organismes impartiaux et indépendants composés de façon équilibrées d'industriels, commerçants, utilisateurs, experts et contrôlés par les services du Premier ministre et notamment la Direction centrale de la sécurité des systèmes d'information ? C’est la question que se posent bon nombre d’associations de défense des consommateurs.
Une autre interrogation concerne la durée de vie de la signature. Il est important de prendre des mesures pour garantir la fiabilité d’une signature et sa conservation dans le temps. Si aucune précaution n'est prise, comment prouver la validité de la signature 30 ans après qu’elle a été émise, ce qui est la durée de la prescription civile de droit commun. L’évolution rapide des moyens techniques obligera à transposer l’écrit électronique sur d’autres supports, afin de le préserver sous une forme compréhensible pour un usage futur. Et là se pose un autre problème: le coût élevé d’une conservation à long terme d’un document authentifiable.
Aujourd’hui, pour signer sur le Net, il faut, en premier lieu, s’inscrire auprès d’un prestataire agréé qui délivre des procédés qui permettent de «marquer» le document. La forme la plus usuelle de signature électronique est basée sur un système qui associe deux clés complémentaires : une clé privée pour le paraphe dont le caractère secret doit être préservé, et une clé publique: un certificat associé qui comporte le nom du signataire et le nom de l’organisme de certification. VivaUp, Certinomis (l’opérateur de certification de la Poste et de Sagem), Verisign sont des prestataires déjà opérationnels. L'une ou l'autre de ces clés permet d'encoder un message afin de le rendre illisible et inaccessible. L'opération de décodage s'effectue, quant à elle, selon le principe de la complémentarité des clés. Il existe d’autres procédés pour marquer un document comme notamment les procédés d’identification biométriques liés aux empreintes digitales, à l’iris de l’œil ou à la voix.
La conversation de la signature dans le temps
Seconde étape de la procédure, il faut signer avec un logiciel. Après avoir rédigé son e-mail, il suffit de cliquer sur une icône de certification. Ce seing numérique apposé sur le message grâce au logiciel est un commencement de preuve devant un tribunal. Troisième et dernière étape: vérifier la signature. Le destinataire peut vérifier la validité de la signature en consultant le certificat public associé. Le système garantit que le message n’a pas été modifié. Pour être valide, la cybersignature doit garantir que l’information a bien été envoyée par l’émetteur et s’assurer qu’elle n’a pas été modifiée au cours de son transfert. Vaste programme.
On comprend mieux désormais pourquoi la cybersignature n’a pas encore eu son grand soir en France. La complexité des techniques y est certainement pour quelque chose. Mais il faut aussi résoudre les problèmes posés par les prestataires de services de certification (PSC). Les conditions d'accréditation ont été fixées par arrêté du ministère de l'Economie et des Finances. Mais les prestataires accrédités sont-ils des organismes impartiaux et indépendants composés de façon équilibrées d'industriels, commerçants, utilisateurs, experts et contrôlés par les services du Premier ministre et notamment la Direction centrale de la sécurité des systèmes d'information ? C’est la question que se posent bon nombre d’associations de défense des consommateurs.
Une autre interrogation concerne la durée de vie de la signature. Il est important de prendre des mesures pour garantir la fiabilité d’une signature et sa conservation dans le temps. Si aucune précaution n'est prise, comment prouver la validité de la signature 30 ans après qu’elle a été émise, ce qui est la durée de la prescription civile de droit commun. L’évolution rapide des moyens techniques obligera à transposer l’écrit électronique sur d’autres supports, afin de le préserver sous une forme compréhensible pour un usage futur. Et là se pose un autre problème: le coût élevé d’une conservation à long terme d’un document authentifiable.
par Myriam Berber
Article publié le 05/06/2003
