Signature électronique. Romain Kolb 31/10/2008



Documents pareils
I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.

LA SIGNATURE ELECTRONIQUE

Politique de Référencement Intersectorielle de Sécurité (PRIS)

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

Livre blanc. Sécuriser les échanges

Les certificats numériques

Du 03 au 07 Février 2014 Tunis (Tunisie)

Win UR Archive. Manuel de l utilisateur. Version 3.0, mars 2009

Aristote Groupe PIN. Utilisations pratiques de la cryptographie. Frédéric Pailler (CNES) 13 janvier 2009

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

Cours 14. Crypto. 2004, Marc-André Léger

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

Documentation utilisateur "OK-MARCHE" Historique des modifications. 3.0 Mise à jour complète suite à version OK-MARCHE V2.2. de marchés publics

Glossaire. Arborescence : structure hiérarchisée et logique qui permet d organiser les données dans un système informatique.

LEGALBOX SA. - Politique de Certification -

Politique de Certification Autorité de Certification Signature Gamme «Signature simple»

CONVENTION INDIVIDUELLE D HABILITATION. «société d assurance indépendante» (Convention complète)

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

CONVENTION INDIVIDUELLE D HABILITATION. «Expert en automobile indépendant» (convention complète)

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

Architectures PKI. Sébastien VARRETTE

Public Key Infrastructure (PKI)

Guide d'initiation aux. certificats SSL. Faire le bon choix parmi les options qui s'offrent à vous en matière de sécurité en ligne. Document technique

Date : 16 novembre 2011 Version : 1. 2 Nombre de pages : 13

MEMENTO Version

La sécurité dans les grilles

Introduction à la sécurité Cours 8 Infrastructure de clés publiques. Catalin Dima

Guide sur la sécurité des échanges informatisés d informations médicales

La sécurité des Réseaux Partie 7 PKI

Par KENFACK Patrick MIF30 19 Mai 2009

Conformité aux exigences de la réglementation "21 CFR Part 11" de la FDA

Les risques liés à la signature numérique. Pascal Seeger Expert en cybercriminalité

Signature électronique de la Ville de Luxembourg

Politique de certification et procédures de l autorité de certification CNRS

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

Initiation au cryptage et à la signature électronique

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

LES IMPACTS SUR VOTRE SYSTEME DE FACTURATION DE LA SIGNATURE ELECTRONIQUE COMME OUTIL DE SECURISATION DE VOS ECHANGES DEMATERIALISES

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

Cyberclasse L'interface web pas à pas

Secure de la Suva. Brochure à l intention des cadres et des responsables informatiques

IMPLANTATION D UN SYSTÈME DE GESTION ÉLECTRONIQUE :

ACCEDER A SA MESSAGERIE A DISTANCE

Espace Numérique Régional de Santé Formation sur la messagerie sécurisée. Version Auteur : Nathalie MEDA

ACCÉDER A SA MESSAGERIE A DISTANCE

PUBLIC KEY INFRASTRUCTURE. Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé

Sécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte thawte thawte thawte thawte

CONTRAT D ABONNEMENT AU SERVICE DE SIGNATURE ÉLECTRONIQUE CERTIMETIERSARTISANAT CONDITIONS PARTICULIÈRES (Version 3.1)

Concilier mobilité et sécurité pour les postes nomades

Gestion des clés cryptographiques

L identité numérique. Risques, protection

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC

- CertimétiersArtisanat

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Thunderbird et messagerie sur clé USB

Livre blanc. Signatures numériques à partir du cloud fondements et utilisation

Certificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS

SPF FIN. Patris Spécification de Use Case: 15-UC01 Obtenir de l'information patrimoniale. Version 1.1

Autorité de Certification OTU

Sermentis version 2.x.x.x

CERTIFICATS ELECTRONIQUES SUR CLÉ USB CERTIGREFFE

Devoir Surveillé de Sécurité des Réseaux

Informatique. Les réponses doivent être données en cochant les cases sur la dernière feuille du sujet, intitulée feuille de réponse

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

Ordonnance sur les services de certification électronique

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS

Sécurité des usages du WEB. Pierre DUSART Damien SAUVERON

Sage CRM. 7.2 Guide de Portail Client

Fiche de l'awt La sécurité informatique

Protocoles d authentification

Protéger les documents électroniques avec les Solutions Adobe

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

Processus 2D-Doc. Version : 1.1 Date : 16/11/2012 Pôle Convergence AGENCE NATIONALE DES TITRES SECURISÉS. Processus 2D-Doc.

Evaluation de la conformité du Système de validation Vaisala Veriteq vlog à la norme 21 CFR Part 11

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

Middleware eid v2.6 pour Windows

Serveur mail sécurisé

La citadelle électronique séminaire du 14 mars 2002

Sécurité des réseaux IPSec

Gestion des clés. Génération des clés. Espaces de clés réduits. Mauvais choix de clés. Clefs aléatoires. Phrases mots de passe

Fiche de l'awt Signature électronique

Qu est ce qu un ?

Dans la série LES TUTORIELS LIBRES présentés par le site FRAMASOFT. Premiers pas avec WinPT (cryptographie sous Win) EITIC

Sécurisation des accès au CRM avec un certificat client générique

AIDE ENTREPRISE SIS-ePP Plateforme de dématérialisation des marchés publics

Manuel de la sécurité intégrée HP ProtectTools Ordinateurs d entreprise HP modèle dx5150

Manuel Utilisateur Version 1.6 Décembre 2001

Chapitre 2 Rôles et fonctionnalités

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

Cryptographie. Master de cryptographie Architectures PKI. 23 mars Université Rennes 1

COMMUNIQUER EN CONFIANCE

[ Sécurisation des canaux de communication

ROYAUME DU MAROC Politique de certification - Autorité de Certification Externe -

LIVRET SERVICE. Portail Déclaratif Etafi.fr

Politique de Certification et Déclaration des pratiques de certifications de l autorité Tunisian Server Certificate Authority PTC BR

Définition d une ICP et de ses acteurs

Premier arrêt de la Cour de Cassation sur la preuve électronique Cour de Cassation, Civ. 2, 4 décembre 2008 (pourvoi n )

Transcription:

Romain Kolb 31/10/2008

Signature électronique Sommaire I. Introduction... 3 1. Motivations... 3 2. Définition... 3 3. La signature électronique en bref... 3 II. Fonctionnement... 4 1. Notions requises... 4 a. Cryptographie asymétrique... 4 b. Certificat et autorité de certification... 6 2. Principe... 7 a. Signature... 7 b. Vérification... 7 III. Mise en œuvre... 9 1. Valeur légale... 9 a. Directive européenne... 9 b. Application en France... 10 2. Prestataires qualifiés... 10 a. Prestataires de service de certification... 10 b. Editeurs de solutions de signature électronique... 11 3. Exemple de processus de signature électronique... 11 4. Autres utilisations possibles... 13 a. Signature d e mails... 13 b. Signature d applications... 14

I. Introduction 1. Motivations L essor Internet dans le monde, et en France en particulier, modifie de manière fondamentale les modes de communication. Ainsi, de plus en plus de documents qui étaient auparavant transmis sur papier sont maintenant échangés électroniquement. Cela présente de nombreux avantages : les communications entre une entreprise et ses clients sont beaucoup plus rapides, et la réduction de la quantité de papier nécessaire à ces communications ne peut être que bénéfique pour l environnement. Pourtant, un problème majeur se pose : comment conférer à ces documents électroniques la même valeur juridique qu à leurs prédécesseurs physiques, qui étaient authentifiés par la signature manuscrite des différentes parties impliquées? C est pour résoudre ce problème que le système de signature électronique a été conçu. 2. Définition Une signature électronique est un ensemble de données informatiques générées à partir d un document électronique qui permet d authentifier ce document. Elle peut être intégrée au document ou séparée de celui ci. Une signature électronique doit garantir deux propriétés : elle doit identifier le signataire du document, et garantir que le document n a pas été altéré depuis l apposition de la signature. Pour cela, les caractéristiques suivantes doivent être respectées : Authentique : L'identité du signataire doit pouvoir être retrouvée de manière certaine. Infalsifiable : La signature ne peut pas être falsifiée. Quelqu'un d'autre ne peut se faire passer pour un autre. Non réutilisable: La signature n'est pas réutilisable. Elle fait partie du document signé et ne peut être déplacée sur un autre document. Inaltérable : Un document signé est inaltérable. Une fois qu'il est signé, on ne peut plus le modifier. Irrévocable : La personne qui a signé ne peut le nier. 3. La signature électronique en bref Pour signer électroniquement un document le signataire utilise son certificat, qui constitue sa carte d identité numérique. Ce certificat contient des informations sur son possesseur, ainsi que deux mots de passe appelés clés : l une est gardée secrète par le possesseur du certificat, l autre peut être obtenue librement par ses interlocuteurs. La clé secrète (dite «clé privée») est utilisée pour signer le document, la clé publique est utilisée pour vérifier cette signature. Cela signifie que seul le possesseur du certificat (qui connait la clé privée) peut signer un document, mais que n importe qui est en mesure de vérifier cette signature. La signature électronique repose donc sur le principe de la cryptographie asymétrique. En France et en Europe la signature électronique est encadrée par plusieurs lois. Elles reconnaissent la validité de la signature électronique au sens juridique et définissent la manière de signer un document afin que sa signature soit reconnue légalement. Son utilisation est de plus en plus répandue. Certains formats comme le PDF ou encore les documents Office supportent la signature électronique. Signer ces documents et vérifier leurs signatures est donc simple et rapide. Il est également possible de signer un e mail. De plus, il est possible d effectuer des démarches administratives en ligne, en signant électroniquement les documents échangés.

II. Fonctionnement 1. Notions requises La signature électronique fait appel à deux concepts distincts : la cryptographie asymétrique, et le système de certificats. Avant de pouvoir entrer dans les détails du fonctionnement de la signature électronique, il nous faut définir quelques termes qui seront employés par la suite. a. Cryptographie asymétrique La cryptographie asymétrique, ou cryptographie à clé publique, est une méthode de chiffrement qui repose sur l utilisation de fonctions à sens unique : il est simple d'appliquer cette fonction à un message, mais extrêmement difficile de retrouver ce message à partir du moment où on l'a transformé. Pour inverser la fonction, il faut disposer d une information tenue secrète, appelée clé privée. Pour mettre en œuvre cette technique de cryptographie, il faut donc posséder deux clés, l une publique, qui est connue de tous, et l autre privée. La Figure 1 illustre le processus de génération de ces deux clés. Alice désire sécuriser ses communications à l aide de la cryptographie asymétrique. Elle a donc besoin d une paire de clé, qu elle va générer à l aide d un logiciel de cryptographie (PGP par exemple). Ce logiciel génère un grand nombre aléatoire, qui servira de paramètre d entrée à la fonction de génération de clés. Cette fonction varie selon l algorithme cryptographique utilisé. Alice peut alors distribuer sa clé publique à ses correspondants, sous forme de fichier ou sous forme de chaine de caractère (au sein d un e mail par exemple). Figure 1 On peut utiliser la cryptographie asymétrique de deux manières différentes : pour encrypter un message, ou pour l authentifier. Si l on désire communiquer de manière sécurisée (Figure 2), il faut que l émetteur du message encrypte celui ci avec la clé publique du destinataire, qui décodera le message avec sa clé privée. Ainsi, l émetteur est sûr que seul le destinataire voulu pourra prendre connaissance du contenu du message.

Message original Message chiffré Message original déchiffré Figure 2 Pour authentifier un message, on procède de la manière inverse (Figure 3) : l émetteur applique l algorithme de chiffrement avec sa clé privée, et le destinataire décrypte le message avec la clé publique de l émetteur. Le destinataire est donc sûr de l identité de l émetteur, car celui ci est le seul à connaître sa clé privée.

Message original Message chiffré Message original déchiffré Figure 3 Dans la pratique, on n applique pas l algorithme au message lui même, mais à son condensat, obtenu à l aide d une fonction de hachage : l émetteur calcule le condensat du message, le chiffre avec sa clé privée, et le transmet avec le message. Le destinataire décrypte le condensat, calcule le condensat du message reçu, et les compare. Si les deux condensats sont identiques, il est assuré de l identité de l émetteur. La taille du condensat étant fixe et indépendante de la taille du message lui même, cela permet de réduire la bande passante utilisée pour transmettre le message. Dans le cas de notre module de signature électronique, c est la deuxième technique que nous avons mise en œuvre. b. Certificat et autorité de certification La cryptographie asymétrique est un moyen efficace d authentifier des données numériques. Un problème reste cependant à résoudre : comment s assurer que la clé publique que notre correspondant nous a communiqué est bien celle de la personne physique ou morale qu il prétend être? Le système de certificat apporte une solution à ce problème. Un certificat est en quelque sorte une carte d identité numérique. Pour en obtenir un, il faut s adresser à une autorité de certification (Certificate Authority, ou CA), qui est habilitée par le ministère de l économie à délivrer des certificats. En émettant un certificat, le CA établit de manière officielle la correspondance entre une clé publique et une personne physique ou morale, identifiée par un nom (Distinguished Name, ou DN), une adresse email ou un enregistrement DNS. Par la suite, la personne transmet ce certificat à ses correspondants, qui s assurent de sa validité auprès du CA. Un certificat peut se présenter sous forme physique (carte à puce ou clé USB), ou sous forme logicielle (fichier). Les informations qu il contient sont séparées en deux parties : Le certificat en lui même : L identité du détenteur du certificat (DN, adresse email, ). L identité de l émetteur du certificat (le CA). Les limites de validité du certificat dans le temps. La clé publique du détenteur, ainsi que l algorithme de cryptage utilisé La signature du certificat : il s agit du condensat (hash) de la première partie du certificat, encrypté avec la clé privée de l émetteur. Pour vérifier la validité de ce certificat, il suffit de décrypter sa signature avec la clé publique du CA, et de le comparer avec le condensat de la première partie, que l on aura calculé auparavant. Un certificat a une validité limitée dans le temps. De plus, un certificat peut être volé, soit physiquement si il est placé sur une carte à puce ou une clé USB, soit au moyen d une attaque informatique.

Chaque CA possède une liste des certificats révoqués (CRL 1 ), à laquelle sont ajoutés les certificats qui ne sont plus valides, soit parce que leur période de validité a expiré, soit parce qu ils ont été compromis. Cette CRL est mise à disposition des clients, qui doivent la télécharger pour ensuite effectuer eux mêmes la validation. Cependant le système de CLR a plusieurs défauts, notamment le fait de laisser à la charge du client la récupération des mises à jour des CLR, ce que de nombreuses implémentations ne font pas, ou alors pas assez régulièrement. Le protocole OCSP 2 a donc été développé pour rendre plus sûre la vérification de validité des certificats. Les CA qui l implémentent disposent alors d un «répondeur OCSP», qui se charge lui même de la vérification des certificats, ce qui soulage le client et réduit le trafic réseau. Pour vérifier un certificat, le client doit simplement envoyer une requête OCSP au répondeur, avec le condensat du certificat. Le répondeur se charge de tout le traitement, et envoie une réponse indiquant si le certificat est valide, révoqué ou inconnu. 2. Principe Voici comment se déroule la signature d un document, et la vérification de cette signature : a. Signature Le signataire calcule le condensat du document à signer, puis il encrypte ce condensat à l aide de sa clé privée. Il crée ensuite la signature, qui peut être intégrée au document original ou enregistrée dans un fichier séparé. Cette signature est composée de l empreinte signée (le condensat encrypté) et de son certificat. b. Vérification Le destinataire calcule le condensat du document reçu (en omettant la signature, si celle ci est intégrée au document), et décrypte l empreinte signée, à l aide de la clé publique contenue dans le certificat du signataire. Il compare ces deux valeurs, si elles sont identiques, alors la signature est authentique, et l identité du signataire est bien celle qui est décrite par le certificat. En vérifiant la validité de ce certificat, le destinataire est assuré de la validité de cette signature. La figure 4 illustre le processus détaillé ci dessus : 1 Certificate Revocation List 2 Online Certificate Status Protocol, ou protocole de vérification en ligne de certificat. 7

Figure 4 8

III. Mise en œuvre 1. Valeur légale a. Directive européenne Pour permettre aux différents acteurs de l économie européenne de communiquer efficacement par Internet, le parlement européen a entrepris de donner un cadre juridique à la signature électronique. La directive européenne du 13 décembre 1999 3 est l aboutissement de ce travail. Son but est que les états membres reconnaissent à la signature électronique la "valeur juridique d'une signature manuscrite", et que ces signatures soient "admissibles comme preuves en justice de la même façon que les signatures manuscrites" (art.5.2.). Cette directive définit deux niveaux de reconnaissance juridique d une signature électronique. Une signature de «bas niveau» est définie comme étant «une donnée sous forme électronique, qui est jointe ou liée logiquement à d autre données électroniques et qui sert de méthode d authentification». Une signature de bas niveau ne pourra pas être refusée au titre de preuve en justice mais ne pourra prétendre à un niveau de reconnaissance équivalent à celui de la signature manuscrite 4. Une signature électronique de haut niveau a la même valeur légale qu une signature manuscrite. Elle doit remplir trois conditions : La mise en œuvre d une signature électronique avancée, c'est à dire une signature électronique satisfaisant les exigences suivantes : o Etre liée uniquement au signataire. o Permettre d identifier le signataire. o o Etre créée par des moyens que le signataire puisse garder sous son contrôle exclusif. Etre liée aux données auxquelles elle se rapporte, de telle sorte que toute modification ultérieure des données soit détectable. L utilisation d un dispositif sécurisé de création de signature électronique, certifié conforme aux exigences de l annexe III de la directive. L utilisation d un certificat qualifié pour vérifier la signature, c'est à dire «un certificat qui satisfait aux exigences visées à l annexe I et qui est fourni par un prestataire de service de certification satisfaisant aux exigences visées à l annexe II» de l article 2. Un certificat qualifié est défini par la directive européenne de cette façon : Tout certificat qualifié doit comporter: a) une mention indiquant que le certificat est délivré à titre de certificat qualifié; b) l'identification du prestataire de service de certification ainsi que le pays dans lequel il est établi; c) le nom du signataire ou un pseudonyme qui est identifié comme tel; d) la possibilité d'inclure, le cas échéant, une qualité spécifique du signataire, en fonction de l'usage auquel le certificat est destiné; e) des données afférentes à la vérification de signature qui correspondent aux données pour la création de signature sous le contrôle du signataire; f) l'indication du début et de la fin de la période de validité du certificat; g) le code d'identité du certificat; h) la signature électronique avancée du prestataire de service de certification qui délivre le certificat; i) les limites à l'utilisation du certificat, le cas échéant et j) les limites à la valeur des transactions pour lesquelles le certificat peut être utilisé, le cas échéant. 3 http://eur lex.europa.eu/lexuriserv/lexuriserv.do?uri=celex:31999l0093:fr:html 4 Mémento «Signature électronique Point de situation» de la DCSSI (http://www.ssi.gouv.fr/site_documents/sigelec/signature memento v0.94.pdf) 9

Un dispositif sécurisé de création de signature électronique est défini par la directive européenne de cette façon : 1. Les dispositifs sécurisés de création de signature doivent au moins garantir, par les moyens techniques et procédures appropriés, que: a) les données utilisées pour la création de la signature ne puissent, pratiquement, se rencontrer qu'une seule fois et que leur confidentialité soit raisonnablement assurée; b) l'on puisse avoir l'assurance suffisante que les données utilisées pour la création de la signature ne puissent être trouvées par déduction et que la signature soit protégée contre toute falsification par les moyens techniques actuellement disponibles; c) les données utilisées pour la création de la signature puissent être protégées de manière fiable par le signataire légitime contre leur utilisation par d'autres. 2. Les dispositifs sécurisés de création de signature ne doivent pas modifier les données à signer ni empêcher que ces données soient soumises au signataire avant le processus de signature. b. Application en France L application de cette directive en France a abouti au vote de la loi n 2000 230 5, entrée en vigueur le 30 mars 2001. Conformément à la directive européenne, cette loi indique qu en France, la signature numérique d un document a la même valeur légale qu une signature manuscrite, à la condition que le dispositif de création de signature électronique soit certifié soit par le premier ministre, soit par l organisme désigné à cet effet par un État membre de l'union européenne. La loi française laisse toute latitude concernant les technologies mises en œuvre, contrairement à la directive européenne qui introduit les notions de «certificat de signature» et de «prestataire de service de certification». En outre, le décret n 2001 272 6 du 30 mars 2001 décrit les conditions selon lesquels le procédé de signature électronique est considéré comme fiable. Ces conditions correspondent à la définition d une signature électronique de haut niveau énoncée dans la directive européenne. 2. Prestataires qualifiés a. Prestataires de service de certification Le ministère de l économie a mis en place un référentiel appelé PRIS (Politique de Référencement Intersectoriel de Sécurité) définissant les exigences de sécurité relatives aux services et produits de sécurité. Ce référentiel s applique à divers services de sécurité, comme la confidentialité et la signature électronique, mais aussi l archivage et l horodatage. Le référentiel PRIS définit les bonnes pratiques à mettre en œuvre au sein d une solution de signature électronique, et distingue trois niveaux croissants de sécurité (*, ** et ***). Il propose aussi la liste des prestataires mettant en œuvre ces bonnes pratiques au sein de leur solution 7. On y trouve la majeure partie des prestataires français, comme Chamber Sign (CCI) ou les principaux organismes bancaires. 5 http://www.legifrance.gouv.fr/affichtexte.do?cidtexte=jorftext000000399095&datetexte= 6 http://www.legifrance.gouv.fr/affichtexte.do?cidtexte=legitext000005630796&datetexte=20081023 7 http://www.telecom.gouv.fr/rubriques menu/entreprises economie numerique/certificats references prisv1/categories familles certificats references pris v 1 506.html 10

PRIS est actuellement en version 2.1 (bien que la version 1 soit encore couramment utilisée). Cette version n autorise les certificats privés que pour le niveau de sécurité le plus bas (*) ; pour les niveaux de sécurité ** et ***, il est nécessaire de disposer d un certificat sur support physique (clé ou carte à puce). Cette solution est en effet plus sûre car elle limite les risques de vol de certificat (par piratage informatique notamment) et donc d usurpation d identité. Il est par ailleurs possible d utiliser un certificat sur support physique pour toutes les téléprocédures des autorités administratives. En revanche, certaines de ces procédures n autorisent pas l utilisation de certificat logiciel. b. Editeurs de solutions de signature électronique La DCSSI 8 maintient un catalogue des produits de signature électronique qualifiés. La dernière version, datant de mars 2007, recense les produits suivants : DICTAO AdsignerWeb (plate forme de signature électronique) DICTAO Validation Server (serveur de validation de signature) FRANCE TELECOM Applatoo (plate forme de signature électronique) BULL Carte Trustway PCI (solution matérielle) En outre, les produits suivants sont en cours de validation : CAISSE DES DEPOTS ET CONSIGNATIONS FastSignature (module de signature électronique) DIGIMEDIA Scrutalys (Vote électronique) 3. Exemple de processus de signature électronique Nous allons prendre l exemple des produits Dictao pour illustrer un processus de signature électronique d un document PDF au sein d un site web. Les produits utilisés sont : Dictao Signature Server (D2S) : serveur de signature Dictao Validation Server (DVS) : serveur de vérification de signature Dictao AdSigner : Applet web permettant à un utilisateur de signer un document avec son certificat. L utilisateur demande à télécharger un contrat signé par lui même et par l organisme auquel le site web appartient. Voici comment cela se déroule : L application web envoie le document PDF à D2S qui le signe avec le certificat de l organisme, en intégrant la signature au document lui même, puisque PDF supporte cette fonctionnalité. 8 Direction centrale de la Sécurité des systèmes d'information, organisme rattaché au Premier ministre 11

En outre, D2S archive une preuve de cette signature sur un serveur d archivage, en estampillant cette preuve à l aide d un serveur d horodatage. Utilisateur Demande de contrat Pour affichage Archivage de la preuve Signature et Serveur d application web Serveur de signature Certificat de l organisme L application affiche le document, et propose à l utilisateur de le signer au moyen de l applet AdSigner. L utilisateur peut alors indiquer à l applet l emplacement de son certificat sur son disque dur. L applet demande alors à son tour la signature du document avec le certificat du client, et retourne à l application web le document signé. L application propose à l utilisateur de télécharger le document. Utilisateur Demande de signature Pour téléchargement Serveur d application web + Serveur de signature Archivage de la preuve Signature et Certificat de l utilisateur Certificat de l organisme Par la suite, si l utilisateur désire vérifier la signature de ce document, il peut se rendre sur un site de vérification de signature, ou utiliser une application dédiée. Dans les deux cas, le 12

système vérifie l intégrité de la signature et du document (pour s assurer que le document n a pas été modifié depuis la signature), puis extrait les certificats ayant servi à signer le document. Ces certificats sont vérifiés auprès de leurs émetteurs (CA). A l issue de ces vérifications, l utilisateur sait si le document est bien signé et s il n a pas été modifié depuis la signature, et il connait l identité des signataires. + Utilisateur Demande de vérification «Signature valide» Validation de la signature «Certificats valides» des certificats Validation Site de validation de signature électronique Serveur de validation de certificats Certificat de l utilisateur Certificat de l organisme 4. Autres utilisations possibles a. Signature d e mails La plupart des clients e mail modernes sont capables de signer les emails qu ils émettent et de vérifier la signature de ceux qu ils reçoivent. Pour cela le standard S/MIME 9 est utilisé. Ce standard définit la façon dont les e mails sont signés et/ou chiffrés électroniquement. Pour la signature, le client e mail doit posséder le certificat de son utilisateur. Pour chiffrer un e mail, il doit posséder le certificat du (ou des) destinataire. A la réception d un e mail signé, Outlook va par défaut enregistrer le certificat de l émetteur si il est valide, c est à dire si Windows connait le CA émetteur de ce certificat. Par la suite, on pourra chiffrer les messages à destination de cette personne grâce à ce certificat : à partir de l adresse e mail que l on a indiqué dans le champ «destinataire», Outlook va parcourir la liste de ses certificats 9 Secure / Multipurpose Internet Mail Extensions 13

et trouver celui correspondant à cette adresse e mail. Il va alors chiffrer le message à l aide de la clé publique de ce certificat, et seule la personne disposant de la clé privée pourra le déchiffrer et le lire. Le standard S/MIME présente cependant quelques inconvénients : Le client e mail du destinataire doit supporter ce standard. Dans le cas contraire, il ne pourra pas vérifier la signature et ne pourra même pas le lire si l e mail est chiffré. Les clients webmails (gmail, hotmail, ) ne supportent pas ce standard. Et même s ils le supportaient, l utilisateur ne pourrait signer et chiffrer ses messages que sur les postes connaissant son certificat et ceux de ses correspondants, ce qui limite grandement l intérêt de l utilisation d un client webmail. Si l on chiffre un message, les éventuels virus qu il contient ne pourront être détectés que sur le poste de l émetteur ou du destinataire. Si la sécurité de l organisation repose sur une détection des virus par le serveur de mail, elle sera inefficace dans ce cas là (car le serveur ne pourra pas déchiffrer le message). b. Signature d applications Il est possible d apposer une signature sur un exécutable ou un script que l on a développé. Cela permet aux utilisateurs de s assurer de l identité du développeur, mais aussi de vérifier que le programme n a pas été modifié depuis que le développeur l a signé, et donc qu aucun virus n y a été introduit. Un nombre grandissant d acteurs de l industrie supportent cette pratique : Microsoft (signature d applications et de pilotes Windows), Apple (signature d applications MacOSX), Linux (notamment les distributions basées sur Debian comme Ubuntu) Sun (applications Java) Applets Javascripts 14

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back