Fiche de l'awt Signature électronique

Transcription

1 Fiche de l'awt Signature électronique La reconnaissance juridique de la signature électronique constitue la pierre angulaire pour assurer la sécurité et la fiabilité des échanges en ligne. Présentation des aspects techniques et juridiques Créée le 24/04/01 Modifiée le 19/07/01

2 1. Présentation de la fiche La reconnaissance juridique de la signature électronique constitue la pierre angulaire pour assurer la sécurité et la fiabilité des échanges en ligne. Présentation des aspects techniques et juridiques Les réseaux informatiques ouverts tels que l'internet ont été techniquement optimisés pour assurer le transport de données. Dans cette optique les aspects liés à la sécurité n'étaient pas une une priorité essentielle. Or, Internet ayant vocation a devenir la plateforme universelle d'échange de produits et de services, la sécurité devient primordiale. Dans cette perspective, il est indispensable d'organiser les échanges électroniques par la mise en place de garanties spécifiques à la fois sur le plan technique et sur le plan juridique, ces deux aspects étant indissociablement liés. La reconnaissance juridique de la signature électronique constitue la pierre angulaire pour assurer la sécurité et la fiabilité des échanges en ligne. Cette fiche présente à la fois les aspects techniques et juridiques de la signature électronique Fichiers à télécharger Directive "signature électronique" (format.pdf) Directive 1999/93/CE du Parlement européen et du Conseil du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques Loi belge sur la signature électronique (format.pdf) Loi fixant certaines règles relatives au cadre juridique pour les signatures électroniques et les services de certification (9 juillet 2001) 1.2. Sites Web en rapport avec cette fiche Centre de Recherche Informatique et Droit (CRID) Le CRID se donne pour objectif de faire progresser la réflexion, tant fondamentale qu'appliquée, dans le domaine du droit et de l'économie des technologies de l'information. Ses principaux axes de recherches sont les suivants: commerce électronique, propriété intellectuelle, convergence droit technologie, télécoms, vie privée Droit et technologie Portail créé et mis à jour par une équipe de juristes et d'ingénieurs, il présente et analyse l'actualité du droit des TIC en Belgique et à l'étranger (actualités, dossiers, textes législatifs, etc.) Juriscom Revue juridique spécialisée dans le droit des technologies de l'information qui publie régulièrement les contributions (articles, mémoires, débats...) de nombreux juristes, universitaires ou professionnels, etc. Signature électronique.be Avec la croissance des échanges électroniques et de l'e-business, la sécurité devient de plus en plus cruciale. C'est ainsi qu'est née la signature électronique, le pendant électronique de la signature manuscrite. Ce mode d'identification repose sur un certificat numérique facile à installer sur votre pc et qui est en quelque sorte comparable à une carte d'identité. Ce site web éducatif traite en détail de la façon d'utiliser ces signatures électroniques et de leurs applications eeurope 2005 Le plan d'action eeurope 2005 a été lancé lors du sommet européen de Séville en juin 2002 et confirmé par la résolution eeurope du conseil des ministres de janvier Son objectif

3 est de favoriser le développement de services publics modernes et d'un environnement dynamique pour l'e-business, grâce à un accès pour tous à la large bande et à des infrastructures de transfert de l'information sécurisées elaw.be elaw.be se veur un site utile et complet sur la loi Internet et belge. Le site est ouvert à tous les étudiants et praticiens travaillant dans le domaine de l'e-loi en Belgique Autres fiches à consulter La sécurité informatique La sécurité informatique est essentielle pour l'entreprise, particulièrement dans le contexte de l'e-business: définition, dangers, coûts, outils disponibles création le 15/04/00 dernière modification le 15/04/00 Plate-formes d'intermédiation Présentation de solutions techniques mises en oeuvre dans le cadre des plate-formes d'intermédiation, notamment sur base du standard XML création le 14/05/01 dernière modification le 14/05/01 Cadre juridique des relations inter-entreprises Du point de vue juridique, les stratégies e-business inter-entreprises (B2B) s'organisent en un ensemble de contrats tenant lieu de loi entre les parties création le 02/05/01 dernière modification le 02/05/01

4 2. Cryptologie et signature électronique : enjeux et concepts Enjeux de la signature électronique. Qu'est-ce que la cryptologie? Qu'est-ce que la signature électronique? 2.1. Enjeux de la signature électronique Concrètement, lors de la réalisation d'un échange dématérialisé les garanties de sécurité suivantes doivent pouvoir être apportées: identification du terminal à l'origine de la requête, authentification de l'auteur de l'acte, intégrité du message: il ne doit pas avoir été altéré pendant son transport, confidentialité du message: il ne doit être compréhensible que par son destinataire ou les personnes dûment autorisées, non répudiation de l'acte afin d'éviter une remise en cause du contenu du message par son destinataire. Certains services supplémentaires peuvent être également proposés par des tiers de confiance, comme les services d'horodatation (certification de la date et de l'heure de réception du message) qui garantit avec exactitude et certitude le moment où l'acte est réalisé Qu'est-ce que la cryptologie? L'objectif de confidentialité constitue de plus en plus un impératif essentiel pour les utilisateurs de services en ligne. Historiquement, cette fonction était assurée et contrôlée par la puissance publique. Si l'exigence du contrôle demeure une priorité pour les Etats, notamment en vue de lutter efficacement contre la criminalité, la prestation de services de cryptologie peut être exercée par des prestataires privés. La cryptologie est une science qui s'appuie sur l'utilisation d'un ensemble de moyens tant logiciels que matériels pour rendre une information non compréhensible pour les tiers, mais accessible et restituable dans son état d'origine pour son auteur et son destinataire. La cryptologie a essentiellement 2 objectifs: assurer l'identification de l'auteur de l'acte, garantir l'intégrité et la confidentialité des données transmises Qu'est ce qu'une signature électronique? Plusieurs systèmes permettent d'assurer à la fois la fonction de confidentialité et d'identification: signature manuscrite numérisée, carte à puce, procédés biométriques, cryptage à l'aide de clés mathématiques. Ce dernier système est aujourd'hui considéré comme offrant les meilleures garanties de sécurité.

5 2 procédés de clés mathématiques à de fins de chiffrement sont envisageables: le système à clé secrète permet de chiffrer et de déchiffrer le contenu d'un message à l'aide d'une clé unique. L'inconvénient majeur de ce système réside dans sa vulnérabilité aux tentatives d'interception lors de la transmission de la clé. le système à clé publique repose sur la cryptographie asymétrique et l'utilisation de deux clés mathématiques complémentaires: une clé privée qui a vocation à demeurer secrète et une clé publique dont la circulation est libre.

6 3. Cryptographie asymétrique et utilisation des clés Séquence de codage et décodage à l'aide de clés privée et publique et fonction de hashing (déroulement et schéma explicatif) 3.1. Séquence de codage et décodage à l'aide de clés privée et publique 1. tirage des deux clés : publique et privée, 2. la clé privée permet de chiffrer le condensé du message, 3. certification de la clé publique avant envoi, 4. le destinataire décode le message et identifie l'émetteur avec la clé publique de l'expéditeur. Le maillon faible du dispositif se situe au niveau de la clé publique. En effet, un tiers non autorisé pourrait tenter de s'interposer entre l'expéditeur et le destinataire en utilisant une clé publique falsifiée. Pour cette raison, il est donc indispensable de pouvoir valider l'identité des propriétaires des clés publiques échangées. Cette validation repose sur la combinaison des techniques de chiffrement et du recours à des tiers de confiance. Ceux-ci devront sécuriser le processus en délivrant un certificat électronique attestant de la paternité des clés publiques échangées lors de chaque session. Un dispositif logiciel ou matériel de création de signature va générer la signature électronique. La première étape consistera donc pour ce système à examiner le contenu du texte en clair afin de le compacter à l'aide d'une fonction de hashing La fonction de hashing Pour compresser un message, on utilise un algorithme de hashing. Celui-ci produit un condensé d'information assimilable à une empreinte digitale permettant de détecter les éventuelles contrefaçons. Le hashing se déroule en plusieurs phases: 1. le texte (en clair) d'un message est converti en chiffres binaires, 2. la suite de caractères qui en résulte est découpée en blocs de taille fixe. Chacun des blocs sert alors de clé dans le système de codage, 3. le condensé du message d'origine correspond à une sorte d'empreinte digitale rendant impossible une opération de falsification, 4. le condensé est ensuite protégé par un algorithme utilisant la cryptographie asymétrique. C'est à ce moment que les clés publique et privée sont générées, 5. la clé privée sert à chiffrer le condensé du message. La signature électronique est ainsi constituée, 6. le destinataire décode le message et identifie l'émetteur avec la clé publique de l'expéditeur.

7

8 4. Certification: signature électronique et tiers de confiance Certification de la clé publique et délivrance du certificat. Signature électronique et tiers de confiance. Qu'est-ce qu'un certificat électronique? Qu'est-ce qu'une infrastructure à clé publique? 4.1. Certification de la clé publique et délivrance du certificat Pour renforcer la sécurité technique et juridique du processus, l'expéditeur du message peut faire certifier sa clé publique par un tiers de confiance avant une transmission de celle-ci au destinataire. A cette fin, l'expéditeur joint sa clé publique à une demande de certificat. Le tiers certificateur délivre le certificat après vérification d'une concordance entre la clé publique et l'identité de son détenteur Signature électronique et tiers de confiance Ces prestataires appelés prestataires de services de certification sont des organismes privés ou publics qui, dans les dispositifs de signature électronique, ont pour rôle de vérifier que la clé publique correspond bien à la personne désignée. A cette fin, le tiers certificateur émet une trace tangible de cette vérification qui prend la forme d'un certificat électronique Qu'est-ce qu'un certificat électronique? Un certificat électronique est en fait une attestation informatique qui permet de lier de façon certaine l'identité d'une personne physique ou morale à certaines caractéristiques de cette personne (identité, capacités, qualifications professionnelles,etc.) Qu'est-ce qu'une infrastructure à clé publique? L'infrastructure d'échange de clé publique s'appelle Infrastructure à Clé Publique (ICP - Public Key Infrastructure PKI). Elle spécifie un jeu de services de sécurité pour permettre la réalisation d'échanges électroniques fiables. L'ICP est constituée de plusieurs éléments organisés de façon hiérarchique afin de garantir un niveau élevé de sécurité. On parle d'infrastructure tripolaire: une autorité d'enregistrement (registration authority): elle vérifie l'identité et la qualité des utilisateurs avant que l'autorité de certification n'émette le certificat. C'est à elle que l'utilisateur s'adresse en premier lieu pour demander son certificat. C'est également elle qui sera chargée in fine de la distribution du certificat. La nature et l'étendue du contrôle détermine le niveau de confiance pouvant être accordé au certificat (classes de certificats); une autorité de certification (Certification authority - CA): elle est chargée d'émettre les certificats numériques. Dans le système hiérarchique de l'icp, il s'agit en quelque sorte d'une autorité suprême; un système de distribution des clés: celui-ci est généralement centralisé via un service d'annuaire où les clés publiques sont accessibles à tous. Ce service d'annuaire est indispensable au bon fonctionnement de l'icp notamment pour assurer l'effectivité de la révocation des certificats. Ainsi, les utilisateurs pourront interroger l'annuaire pour contrôler la validité du certificat qui leur est soumis.

9 Au sein de l'icp, l'utilisation du chiffrement des clés publiques et des certificats va faire l'objet d'une politique d'administration spécifique. Cette ensemble est également appelé politique de sécurité. Les ICP présentent l'avantage de pouvoir être évolutives et interopérables: évolutives: les ICP mises en place doivent pouvoir suivre la croissance du nombre d'utilisateurs; interopérables: les ICP doivent pouvoir supporter l'ajout de nouveaux modules, c'est-à-dire de nouvelles autorités de certification. Il doit être également possible de mettre en place des mécanismes de certification croisée entre plusieurs autorités. Le coût de la mise en place d'une ICP est généralement compris entre 30 et 160 euros par utilisateur en fonction de la solution retenue et du dispositif matériel mis en place (cartes à puces, clés USB, etc.).

10 5. Certificat numérique Fonctionnement général (schéma explicatif), obtention, contenu et utilisation, cycle de vie 5.1. Comment fonctionne un certificat numérique? Le schéma ci-dessous présente les différentes étapes de fonctionnement d'un certificat, dans le cadre d'une infrastructure à clé publique Comment obtenir un certificat numérique? Il convient de s'adresser à une autorité d'enregistrement. Cette autorité est chargée de vérifier notamment l'identité du demandeur. En Belgique, une réflexion gouvernementale est actuellement en cours pour permettre aux communes de devenir autorité d'enregistrement. L'activité d'autorité de certification relèvera quant à elle de l'initiative privée. Il existe différents types de certificats : les classes de certificats, chaque classe correspondant à un niveau plus élevé de sécurité: certificats de classe 1: Ces certificats ne requièrent qu'une adresse du demandeur. certificats de classe 2: Le demandeur doit nécessairement fournir à distance une preuve de son identité (exemple: photocopie de carte d'identité). certificats de classe 3: Ces certificats ne peuvent être délivrés que dans le cadre d'une présentation physique du demandeur.

11 5.3. Contenu d'un certificat numérique On parle de format de certificat. Un certificat contient plusieurs champs attestant de l'identité de l'expéditeur du message et de la correspondance de celle-ci avec sa clé publique. numéro de série, identification de l'algorithme de signature, désignation de l'autorité émettrice du certificat, période de validité, nom distinctif du titulaire de la clé publique, identification de l'algorithme de chiffrement et de la valeur de la clé publique, informations complémentaires optionnelles, identification de l'algorithme de signature et valeur de la signature. Le certificat est signé par l'autorité de certification avec sa propre clé privée qui atteste de la validité des informations contenues dans le certificat Comment accéder aux informations contenues dans le certificat? Pour accepter le certificat, le destinataire devra obligatoirement télécharger préalablement le certificat racine de l'autorité de certification pour l'intégrer dans son browser Internet, sauf si celui-ci le supporte déjà par défaut. Une fois cette étape préalable accomplie, le destinataire du message pourra déchiffrer celui-ci et identifier son auteur. Pour cela, il mettra en œuvre un dispositif logiciel ou matériel lui permettant de comparer deux condensés du message d'origine: le condensé calculé (en fonction d'une méthode de hashing), le condensé attendu (extrait directement de la signature) Cycle de vie d'un certificat Pour d'évidentes raisons de sécurité, un certificat est toujours accordé pour une durée limitée. Nonobstant cette limite, un certificat peut être remis en question en cours de validité pour plusieurs raisons: soit par la volonté de la personne à laquelle il est attaché, soit par parce que la situation de son détenteur s'est modifiée, soit par la volonté du prestataire de certification, soit pour des raisons de sécurité. En fonction des circonstances, le certificat peut alors être: suspendu: cette suspension est publiée dans une liste spécifique aisément accessible en ligne sous la forme d'un annuaire, révoqué: cette révocation doit s'effectuer dans les meilleurs délais à l'initiative de la partie qui la demande. Elle fait l'objet d'une publication sur une liste de révocation horodatée prenant la forme d'un annuaire accessible en ligne.

12 6. Aspects juridiques de la signature électronique Directive européenne du 13 décembre 1999 et loi belge du 20 octobre 2000 Le premier texte ayant introduit la validité de la signature électronique dans notre droit est l'arrêté royal du 16 octobre 1998 portant dispositions relatives à la signature électronique dans le secteur de la sécurité sociale. Par ailleurs, l'usage du recommandé électronique est juridiquement reconnu en Belgique depuis un Arrêté Royal du 09 juin 1999 (Moniteur Belge du 18 août 1999). Face à la multiplication d'initiatives nationales divergentes en matière de signature électronique, il convenait de légiférer au niveau européen. C'est dans cette perspective qu'a été adoptée la directive européenne n 1999/93/CE du 13 décembre 1999 (JOCE n L 13 du 19/01/2000) sur un cadre communautaire pour les signatures électroniques La directive européenne du 13 décembre 1999 La directive européenne met en place un cadre juridique harmonisé en matière de signature électronique qui s'articule autour de 2 objectifs: la reconnaissance juridique des signatures électroniques, l'établissement d'un cadre juridique pour l'activité des prestataires de services de certification. La directive européenne privilégie une approche fonctionnelle et neutre du point de vue technologique. A cette fin elle met en place deux types de signatures électroniques: une signature électronique ordinaire: une donnée sous forme électronique jointe ou liée logiquement à d'autres données électroniques et servant de méthode d'authentification. une signature électronique avancée, qui doit obligatoirement: o être liée uniquement au signataire, o permettre d'identifier le signataire, o être créée par des moyens que le signataire puisse garder sous son contrôle exclusif, o être liée aux données auxquelles elle se rapporte de telle sorte que toute modification ultérieure des données soit détectable. La signature électronique avancée apparaît donc comme la seule permettant d'assurer une pleine sécurité juridique, notamment du point du vue des fonctions d'identification du destinataire et d'intégrité du contenu du message.

13 Afin d'assurer un plein effet juridique à la signature électronique, la directive européenne a prévu deux principes: la clause d'assimilation: elle permet une totale équivalence de traitement entre une signature électronique et une signature manuscrite lorsque certaines conditions sont effectivement remplies: o la signature électronique doit être avancée, o la signature électronique doit reposer sur un certificat qualifié, o la signature électronique doit avoir été créée par un dispositif sécurisé de création de signature; la clause de non-discrimination, qui a vocation à s'appliquer lorsque les conditions prévues ci-dessus ne sont pas réunies. Toutefois, en l'absence de ces éléments, il appartiendra toujours à celui qui se prévaut de la clause de non-discrimination de convaincre le juge de sa valeur probante. La Directive européenne exclut de son champ d'application les signatures électroniques utilisées exclusivement à l'intérieur de systèmes résultant d'accords volontaires de droit privé conclus entre un nombre défini de partenaires (réseaux fermés d'entreprises) Belgique: la loi du 20 octobre 2000 Cependant, c'est véritablement la loi du 20 octobre 2000 (Moniteur Belge du 22 décembre 2000) introduisant l'utilisation de moyens de télécommunication et de la signature électronique dans la procédure judiciaire et extrajudiciaire, qui est venue conférer, aux documents signés électroniquement, une valeur équivalente à l'écrit. Pour ce faire, le texte est venu modifier plusieurs dispositions essentielles du Code civil et du Code judiciaire. Les conditions de la reconnaissance juridique de la signature électronique. La loi du 20 octobre 2000 se caractérise par une approche fonctionnelle de la signature électronique. Ainsi, le nouvel article 1322 du Code civil précise qu'une signature électronique peut être constituée d'un ensemble de données électroniques pouvant être imputées à une personne déterminée et établissant le maintien de l'intégrité du contenu de l'acte. On garantit ainsi qu'un document signé électroniquement ne peut être refusé par un juge comme moyen de preuve au seul motif que le document en question n'est pas revêtu d'une signature manuscrite. Il s'agit là de reconnaître une équivalence probatoire entre la signature manuscrite et la signature électronique.

14 7. Les conditions de validité de la signature électronique Principe de libre fourniture des services de certification, responsabilités et obligations des prestataires de certification (présentation du cadre juridique belge) 7.1. Le principe de libre fourniture de services de certification Le principe posé par la directive européenne est celui de la liberté de fourniture des services de certification. Les états membres ne peuvent donc soumettre l'exercice de cette activité à aucune autorisation préalable ou limiter le nombre de prestataires. Cependant, deux restrictions viennent affaiblir ce principe: 1. les états membres, tout en respectant le principe de la liberté d'exercice de l'activité de certification, peuvent instaurer ou maintenir des régimes volontaires d'accréditation visant à améliorer le niveau de service fourni. Les critères d'accréditation doivent être: o objectifs, o proportionnés, o non-discriminatoires; 2. les états membres doivent veiller à contrôler les prestataires de certification établis sur leur territoire délivrant des certificats qualifiés Responsabilités des prestataires de certification La directive met en place un régime spécifique de responsabilité pour les prestataires de services de certification afin d'assurer un niveau de confiance suffisant aux yeux des utilisateurs. Ce régime spécifique de responsabilité ne concerne cependant que les prestataires qui délivrent au public des certificats qualifiés ou qui garantissent publiquement de tels certificats. Les prestataires qui émettent des certificats ordinaires tombent sous le coup du régime du droit commun de la responsabilité. Les obligations à la charge des prestataires de services de certification émettant des certificats qualifiés ou qui garantissent publiquement de tels certificats peuvent être classés en 2 catégories: 1. les obligations concernant l'objet de l'activité. Trois types d'obligations spécifique peuvent être ici identifiées: o l'exactitude des informations fournies dans le certificat à la date de sa délivrance (pas d'obligation de contrôle permanent des obligations contenues dans le certificat), o la vérification de la détention et de la complémentarité des données afférentes à la création de signature, o la révocation des certificats, notamment du point de vue de la mise à disposition des utilisateurs d'un service de révocation sûr et immédiat en veillant à ce que la date et l'heure du certificat puissent être déterminées avec précision; 2. les obligations tenant au fonctionnement du mécanisme de certification: elles prennent la forme de garanties que doit obligatoirement présenter le tiers certificateur. Elles concernent notamment les aspects suivants: o sécurité et fiabilité, o information, o garanties financières, o interopérabilité, o protection des données personnelles.

15 La loi du 9 juillet 2001 "fixant certaines règles relatives au cadre juridique pour les signatures électroniques et les services de certification" transpose ainsi pleinement les obligations nées de la directive européenne nâ 1999/93/CE du 13 décembre 1999 (JOCE nâ L 13 du 19/01/2000) sur un cadre communautaire pour les signatures électroniques. Ce second volet du dispositif législatif belge de transposition de la directive européenne en matière de signature électronique, ne concerne plus la reconnaissance légale de la signature électronique, mais bien le cadre d'activité des prestataires de services de certification, notamment du point de vue de leurs responsabilités. Ce texte a été publié au Moniteur le 29 septembre Ce texte constitue une étape essentielle car celui-ci ouvre de larges perspectives pour le développement des échanges électroniques entre les particuliers et les entreprises (B to C) mais également pour les relations entre les citoyens et l'administration (Téléprocédures). Agence Wallonne des Télécommunications Avenue de Stassart 16 à 5000 Namur - Belgium - info@awt.be