Magazine Focus Emploi

Les articles de votre blog ici ? Inscrivez votre blog !


La signature électronique, pensez-y...

Publié le 19 novembre 2009 par Lionelschwartz

signature.jpgJ'ai dernièrement écrit un billet sur la dématérialisation des marchés publics. J'y évoquais notamment la nécessité, pour les entreprises souhaitant répondre à des offres dématérialisées, d'utiliser une signature électronique - ou signature numérique - afin de sécuriser leurs transactions.
Mais à quoi sert réellement cette signature électronique et comment fonctionne-t-elle ?

Une signature électronique, pour quoi faire ?

La signature électronique, qui revêt la même valeur juridique qu'une signature manuscrite, permet:

• d'authentifier l'auteur d'un document électronique, donc de se prémunir d'une usurpation d'identité
• de garantir l’intégrité du message reçu, c'est à dire de garantir que le document n'a pas subi de modification ou d'altération entre le moment où il a été signé électroniquement par son auteur et celui où il a été consulté par le destinataire
• de garantir que l'expéditeur a bien envoyé le message, donc d'empêcher ce dernier de nier avoir expédié ce message (principe de non répudiation).


Comment fonctionne t-elle ?

La signature électronique combine à la fois un dispositif de cryptage à clé publique et une fonction de hachage.

- Le cryptage à clé publique (ou chiffrement asymétrique) repose sur l'utilisation de clés fonctionnant par paire, une clé publique pour le chiffrement et une clé privée pour le déchiffrement.
Dans un tel réseau, chaque utilisateur choisit une clé qu'il est seul à connaître: sa clé privée. A partir de cette clé, chaque utilisateurs déduit automatiquement un algorithme qui représente sa clé publique. Les clés publiques sont généralement stockées sur un serveur de clés publiques ou échangées entre les membres du réseau.

Lorsqu'un membre du réseau envoie un message à un autre membre il chiffre son message avec la clé publique du destinataire, obtenue par exemple sur le serveur de clés. Lorsque le destinataire reçoit le message, il le déchiffre à l'aide de sa clé privée que lui seul connaît.
certif.jpg Les clés publiques peuvent être échangées sans protection particulière, en revanche l'expéditeur d'un message doit s'assurer qu'il possède bien la clé publique de la personne à qui il souhaite envoyer un message chiffré (d'où la présence de serveurs de clés facilitant cette gestion).

- Une fonction de hachage permet d'obtenir un haché (ou condensat) d'un texte. Le haché est une suite de caractères qui représente le texte traité.
Bien évidement, la fonction de hachage doit être suffisamment forte pour que la moindre modification du texte entraîne la modification de son haché et qu'il soit impossible de retrouver le message en clair à partir du haché. On considère que le haché représente l'empreinte digitale du texte traité.
Si l'on combine l'utilisation d'un dispositif de cryptage à clé publique à une fonction de hachage, on enverra donc le message accompagné de son haché. Puis l'expéditeur chiffre (signe) le haché à l'aide de sa clé privée. Le haché ainsi signé est appelé sceau et envoyé au destinataire. A réception, le destinataire déchiffre le sceau avec la clé publique de l'expéditeur, puis compare le haché obtenu avec le haché reçu en pièce jointe.

Le certificat électronique

Le certificat électronique est ce dont l'entreprise a besoin pour répondre aux appels d'offres de manière dématérialisée.
Un certificat est composé de deux parties: celle contenant les informations du titulaire et celle contenant la signature de l'autorité de certification. Il permet d'associer une clé publique à une entité (une personne, une machine, ...) afin d'en assurer la validité. C'est donc la "carte d'identité" de la clé publique, délivrée par une autorité de certification (CA).
Lorsqu'un utilisateur désire communiquer avec une autre personne, il lui suffit de se procurer le certificat du destinataire.
Ce certificat contient le nom du destinataire, ainsi que sa clé publique et est signé par l'autorité de certification. Il est donc possible de vérifier la validité du message en appliquant d'une part la fonction de hachage aux informations contenues dans le certificat, en déchiffrant d'autre part la signature de l'autorité de certification avec la clé publique de cette dernière et en comparant ces deux résultats.
Les entreprises peuvent profiter de certaines offres gratuites comme le Certificat Fiscal Pro, délivré gratuitement en ligne et qui permet notamment de déclarer et payer la TVA par internet.

Il existe trois classes de certificat électronique :

- Classe 1- Ne garantit pas l'identité du titulaire du certificat mais seulement l'existence de son adresse e-mail.
- Classe 2 - Garantit les informations du titulaire et de son entreprise (contrôlées par l'autorité de certification sur pièces justificatives transmises par voie postale).
- Classe 3 - Idem à la Classe 2 et assure en plus un contrôle de l’identité du titulaire.

Les certificats agrées par l'Etat sont de type 3Plus, offrant une sécurité maximale.

Voir aussi :
des informations complémentaires sur les autorités de certification
Un article intéressant sur les certificats sur achatpublic.com.
Le site de Chambersign France.
Le site de Dictao
Le site de digigreffe
Le site de CDC Fast, filiale de la Caisse des dépôts
Télécharger le memento visant à dresser le cadre juridique autour de la signature électronique et rédigé par l'ANSSI


Retour à La Une de Logo Paperblog
Signaler un abus

A propos de l’auteur


Lionelschwartz 3 partages Voir son profil
Voir son blog

l'auteur n'a pas encore renseigné son compte l'auteur n'a pas encore renseigné son compte

Magazine