LE CERTIFICAT ELECTRONIQUE Sources :
Le certificat d'identité numérique Enjeux majeurs depuis l Antiquité, (César décalait les lettres de l alphabet pour assurer la confidentialité de ses messages), le besoin de sécuriser les échanges est à l origine du certificat d'identité numérique actuel. En 1976, Diffie et Hellman, introduisent le principe du chiffrement à clé asymétrique. L utilisateur possède une clé publique connue de tous et une clé privée que le propriétaire est seul à connaître. Ce principe a été développé par la société RSA (Rivest, Shamir, Adelman) dès 1976. Leurs travaux sont devenus publics en septembre 2000. Le principe du chiffrement à clé asymétrique constitue la technologie de base des certificats de signatures électroniques actuels. Depuis 1996, la norme standard pour les certificats est X509 V3. Ces normes et ces principes sont repris dans la directive européenne du 13 décembre 1999 relative au cadre communautaire de la signature électronique. Aujourd hui, il existe différents vocables possibles pour le certificat de signature électronique. Les plus usités sont : Certificat numérique Certificat électronique Certificat de signature électronique Certificat d'identité numérique Certificat numérique d'identité Certificat électronique de signature
Le certificat numérique c'est quoi? Le certificat est un cachet électronique qui permet de vérifier l'authenticité d'un document et de savoir de manière formelle qui en est le signataire. Imaginé dans l'antiquité, le sceau tient lieu de signature et atteste de la véracité d'un acte. Vers la Renaissance (XVIe siècle), l'écriture s'étant vulgarisée, les signatures autographes firent peu à peu abandonner les sceaux. Aujourd'hui, le transport de documents sur des réseaux ouverts (internet) nous fait revenir aux origines, mais d'une manière électronique. Le cachet de cire est le résultat d'un procédé technique qui met en oeuvre une empreinte en métal (détenue par le signataire qui la conserve précieusement) apposée sur de la cire chaude. Une fois refroidie le cachet obtenu par ce procédé atteste du signataire et protège le document. Type Sceau Cachet Intégrité Reconnaissance du signataire Papier Morceau de métal gardé précieusement par le signataire Cire reproduisant l empreinte du morceau de métal Visuel, le cachet n est pas rompu Comparer le cachet, avec un cachet détenu par le garde des sceaux Electronique Clé privée gardée précieusement par le signataire Fichier informatique comprenant la clé publique et le condensé du document électronique signé par la clé privée. Correspondance du condensé transmis avec le condensé calculé localement Vérification de la validité du cachet auprès de l Autorité de Certification
Le certificat à quoi ça sert? Le certificat est principalement utilisé pour signer électroniquement des documents. Il fonctionne avec un outil de signature électronique. La signature électronique permet : D authentifier vos échanges sur le net. De garantir de manière fiable l'origine des documents et des informations transmises. De garantir l intégrité des informations et documents transmis. L'usage du certificat de signature électronique permet de vérifier si les informations n'ont pas été altérées. D assurer la non répudiation. Le signataire d un document ne peut nier être l auteur de la signature sensée restée sous son contrôle exclusif De garantir la confidentialité grâce au chiffrement. L'expéditeur a l'assurance que seul le destinataire pourra consulter les informations.
Le certificat numérique et le droit La signature électronique a aujourd hui la même valeur juridique que la signature manuscrite dans la mesure où elle répond à un certain nombre de conditions. Le droit européen : C est la directive européenne n 1999/93/CE du 13/12/99 sur les signatures électroniques qui a consacré la reconnaissance légale de la signature électronique. Cette directive est aujourd hui transposée en droit français. (http://admi.net/eur/loi/index.phtml?year=1999&type=l) Le droit français : La signature électronique a une valeur légale en France depuis la loi du 13 mars 2000. Cette loi a été complétée par plusieurs décrets et arrêtés qui précisent les conditions d applications, à savoir : le décret du 30 mars 2001 le décret du 18 avril 2002 l arrêté du 26 juillet 2004 (en remplacement de l arrêté du 31 mai 2002 abrogé) la loi du 21 juin 2004 pour la confiance dans l économie numérique. 1) La loi n 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l information et relative à la signature électronique Cette loi qui est venue compléter le Code Civil : apporte une définition de la signature en général reconnaît la validité juridique de la signature électronique au même titre que la signature manuscrite et instaure une présomption de fiabilité dans des conditions posées par le Code Civil : pouvoir identifier la personne dont émane l écrit électronique au moyen d un procédé fiable l écrit électronique est créé et conservé dans des conditions de nature à en garantir l intégrité utiliser un procédé fiable garantissant le lien de la signature électronique avec l acte auquel elle s attache. La démonstration de fiabilité du procédé de signature électronique est à la charge du signataire. (http://www.legifrance.gouv.fr/waspad/untextedejorf?numjo=jusx9900020l)
2) Le décret n 2001-272 du 30 mars 2001 pris pour l application de l article 1316-4 du Code Civil et relatif à la signature électronique Ce décret est un texte technique ; il distingue la signature électronique de la signature électronique sécurisée : la signature électronique est celle qui respecte les conditions posées par le Code Civil la signature électronique sécurisée est celle qui répond, en sus des conditions posées par le Code Civil, aux exigences du décret. La signature électronique sécurisée est celle présumée fiable, ce qui inverse la charge de preuve de fiabilité de la signature au moment d un litige devant le juge. Le décret définit ces exigences qui portent : sur les matériels et logiciels utilisés pour créer la signature électronique sécurisée qui devront être certifiés par l Administration (dispositif sécurisé de création de signature électronique) sur le contenu et la qualité des certificats électroniques délivrés par les prestataires de services de certification (utilisation d un certificat électronique qualifié) Ce décret précise également le cadre dans lequel s exerce l activité de ces prestataires qui pourront librement exercer leur activité. Dès lors qu ils répondent à toutes les exigences énoncées, ces prestataires peuvent demander à être reconnus comme qualifiés, ce qui vaut présomption de conformité aux exigences du décret. (http://www.legifrance.gouv.fr/waspad/untextedejorf?numjo=jusc0120141d) 3) Le décret n 2002-535 du 18 avril 2002 relatif à l évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l information Ce décret institue une procédure volontaire de l évaluation et de la certification des produits et des systèmes des technologies de l information, ce qui inclut les dispositifs de création de signature électronique. Cette procédure s appuie : sur des centres d évaluation, eux-mêmes agréés, qui effectuent des contrôles et des tests et rendent compte des résultats obtenus via un rapport d évaluation sur la Direction Centrale de la Sécurité et des Systèmes d Information (DCSSI) qui élabore un rapport de certification proposé au Premier Ministre. La certification est délivrée par le Premier Ministre. (http://www.legifrance.gouv.fr/waspad/untextedejorf?numjo=prmx0100183d)
4) Arrêté du 26 juillet 2004 relatif à la reconnaissance de la qualification des prestataires de services de certification électronique et à l accréditation des organismes qui procèdent à leur évaluation Cet arrêté complète le décret de 2002 et précise l organisme chargé d accréditer les organismes d évaluation des prestataires de services de certification, à savoir le COFRAC (Comité Français d Accréditation) ainsi que le référentiel à prendre en compte. Le COFRAC prend une décision motivée transmise au demandeur ainsi qu à la Direction Centrale de la Sécurité des Systèmes d Information (DCSSI). L accréditation est délivrée pour une durée qui ne peut excéder 5 ans. Cet arrêté précise également les conditions de demande d évaluation par les prestataires de services de certification. Lorsque l organisme accrédité reconnaît la qualification d un prestataire de services de certification, il délivre une attestation décrivant les activités du prestataire couvertes par la qualification ainsi que sa durée qui ne peut excéder trois ans. Une copie de cette attestation est transmise à la Direction Centrale de la Sécurité des Systèmes d Information (DCSSI). (http://www.legifrance.gouv.fr/waspad/untextedejorf?numjo=indi0403348a) Pour plus d'informations consulter le site légifrance : http://www.legifrance.gouv.fr