FAQ

• Le Certificat Électronique
  • 1. Qu'est-ce qu'un certificat électronique ?
  • 2. A quoi sert un certificat électronique ?
  • 3. Qui a besoin de certificat électronique ?
  • 4. Quels sont les différents types de certificats électroniques ?
  • 5. A quels types de besoins répond le certificat électronique ?
  • 6. Qui délivre des certificats électroniques ?
• L'autorité de Certification (AC)
  • 1. Qu'est ce qu'une AC ?
  • 2. Qui peut jouer le rôle d'AC ?
  • 3. Comment s'organise une AC ?
  • 4. Que fait l'Autorité d'Enregistrement ?
  • 5. Qui peut opérer le service de certification d'une AC ?
  • 6. Quel est le rôle de KEYNECTIS vis à vis d'une AC ?
• Les Infrastructures à Clés Publiques
  • 1. Qu'est-ce qu'une Infrastructure à Clés Publiques ?
  • 2. En quoi consiste une Infrastructure à Clés Publiques ?
  • 3. N'est-il pas dangereux de sous-traiter sa sécurité, pourquoi ne pas tout gérer soi-même et rester maître de sa PKI avec une solution logicielle ?
• Protection de la clé privée
  • 1. Comment ma clé privée est-elle protégée ?
  • 2. Comment puis-je protéger ma clé privée ?
  • 3. Où mon ordinateur conserve t-il ma clé privée ?
  • 4. J'ai besoin d'utiliser mon identification numérique aussi bien à mon domicile que dans mes locaux professionnels. Puis-je, de façon sûre, copier ma clé privée et mon identification numérique d'un ordinateur à l'autre ?
  • 5. Puis-je modifier le mot de passe de ma clé privée sans avoir à changer de certificat ?
  • 6. J'ai perdu le mot de passe de ma clé privée. Quelqu'un peut-il m'aider ?
  • 7. Mon ordinateur a été volé, et j'avais choisi de ne pas protéger ma clé privée avec un mot de passe. Que dois-je faire maintenant ?
• Cryptographies symétrique et asymétrique
  • 1. Qu'est-ce que la cryptographie à clé publique, ou cryptographie asymétrique ?
  • 2. Qu'est-ce que la cryptographie à clé secrète ou cryptographie symétrique ?
  • 3. Vous avez parlé de chiffrement, mais qu'est-ce que la signature ?
  • 4. Quel est le rapport entre les clés publiques et les certificats ?
  • Signature électronique
  • 1. Qu'est-ce que la signature électronique ?
  • 2. Quels sont les points importants du décret du 30 mars 2001 ?
  • 3. Quelle est la définition juridique de la signature ?
  • 4. Qu'est-ce qu'une signature électronique sécurisée ?
  • 5. Qu'est-ce qu'un prestataire de services de certification électronique ?
  • 6. Qu'est-ce qu'un certificat "qualifié"?
  • 7. L'écrit sous forme électronique peut-il avoir valeur probante ?
  • 8. La signature électronique peut-elle avoir valeur probante ?
  • 9. Comment choisir un certificat de signature électronique ?
  • 10. La responsabilité d'une personne qui se fie à une signature correspondant à un certificat erroné peut-elle être engagée ?
  • 11. Quels sont les risques associés à l'utilisation d'une signature électronique ?
  • 12. L'horodatage sécurisé est-il indissociable de la signature électronique ?

 

Le Certificat Électronique

1. Qu'est-ce qu'un certificat électronique ?

Un certificat électronique joue le rôle de pièce d'identité (passeport électronique). Il est indissociable des fonctions de signature électronique et intervient dans l'identification de l'émetteur, l'identification du serveur, l'intégrité du message et la garantie de sa confidentialité. Le certificat électronique peut également servir pour l'authentification dans des fonctions de contrôle d'accès.

2. A quoi sert un certificat électronique ?

Le certificat électronique permet d'établir un environnement de confiance entre deux entités distantes (deux personnes physiques, une personne et un serveur web) qui ont besoin de s'identifier pour communiquer entre elles, et/ou d'échanger des informations confidentielles.

3. Qui a besoin de certificat électronique ?

Dans le monde physique, les notions de signature et de confidentialité sont omniprésentes : une lettre confidentielle est mise sous enveloppe, une signature manuscrite est apposée au bas d'un document important. La logique est la même pour les échanges électroniques et les besoins de certification électronique concernent l'ensemble des acteurs : individus devant s'identifier sur des services en ligne, collaborateurs d'une entreprise (ou d'un groupe d'entreprises partenaires) devant s'échanger des informations critiques, serveur web ou équipement de réseau devant constituer un espace de confiance avec la population qui s'y connecte (serveur marchand, réseau privé virtuel).

4. Quels sont les différents types de certificats électroniques ?

Il existe trois types de certificats :

• Certificat serveur : certificat hébergé sur un serveur (Intranet, Extranet ou Internet), permettant d'identifier un serveur et d'établir des sessions sécurisées (protocole SSL).
• Certificat personnel : certificat hébergé sur un ordinateur ou un support physique (carte à puce, clé USB) lié à une personne physique (et éventuellement lié aussi à son entreprise, à sa banque, à son ISP).
• Certificat IPSEC : certificat hébergé sur un composant de réseau (routeur, ordinateur isolé), identifiant celui-ci et permettant de chiffrer l'ensemble des flux qui transitent entre lui et un autre équipement du même réseau.

5. A quels types de besoins répond le certificat électronique ?

Le certificat électronique permet de répondre à tous les besoins suivants :

• Authentification : s'assurer qu'une personne est bien qui elle prétend être,
• Non-répudiation : s'assurer que les parties prenantes d'une transaction ne peuvent pas se rétracter,
• Confidentialité : s'assurer que les personnes non autorisées n'ont pas accès aux informations non autorisées,
• Intégrité des données : s'assurer que les données ne sont pas altérées.

6. Qui délivre des certificats électroniques ?

Un certificat électronique est une carte d'identité électronique. Qu'ils soient physiques ou électroniques, tous les types de cartes d'identité (passeport national, carte de salarié d'entreprise, carte de classement sportif) sont émis par des organisations qui disposent d'un certain "crédit" au sein de la population à laquelle s'adressent ces cartes d'identités : Ministère de l'Intérieur pour le citoyen, Direction de l'entreprise pour le salarié, Fédération Sportive pour le compétiteur. On appelle ces organisations des Autorités de Certification : elles doivent en effet faire autorité pour certifier les identités et principales caractéristiques des personnes à qui elles délivrent ces certificats électroniques.

L'autorité de Certification (AC)

1. Qu'est ce qu'une AC ?

Une Autorité de Certification est une organisation qui délivre des cartes d'identité électroniques à une population. En distribuant des cartes d'identité électroniques, l'Autorité de Certification (AC) sert de caution morale en s'engageant sur l'identité d'une personne au travers du certificat qu'elle lui délivre. Selon le crédit de l'Autorité de Certification, ce certificat aura un champ d'application plus ou moins vaste : limité aux échanges internes d'une société (comme un badge d'entreprise) ou utilisé dans les relations avec d'autres organisations et administrations (comme une carte d'identité nationale ou un passeport).

2. Qui peut jouer le rôle d'AC ?

L'Etat, les banques, les Chambres de Commerce et d'Industrie, les Experts-Comptables, les fédérations d'entreprises d'un même secteur d'activité, les entreprises elles-mêmes, peuvent agir comme Autorité de Certification et définir les conditions d'attribution et d'usage des cartes d'identité électroniques qu'ils délivrent aux citoyens, aux entreprises, aux collaborateurs d'entreprises (dirigeants, directeurs financiers, directeurs des achats, simples salariés).

3. Comment s'organise une AC ?

Le positionnement d'Autorité de Certification s'organise autour de deux fonctions fondamentalement différentes : fonction d'organisation d'une part (traitement des demandes de certificats, contrôle des informations, validation ou rejet des demandes, révocation des certificats) et fonction technique d'autre part (production des cartes d'identité électroniques, manipulation d'équipements cryptographiques, environnement sécurisé de bout en bout, maintien d'une capacité de production adaptée aux besoins de l'Autorité de Certification).

Pour offrir son service de certification, l'Autorité de Certification s'appuie sur une Autorité d'Enregistrement, qui traite les aspects organisationnels, et une unité de production (l'opérateur de services de certification), qui produit ce service de certification.

4. Que fait l'Autorité d'Enregistrement ?

Comme tout mécanisme d'émission de cartes d'identité (passeport, badge d'entreprise), une première étape consiste à effectuer les contrôles nécessaires, pour tous les demandeurs, des identités et des attributs voulus sur les certificats (comme l'adresse, la fonction). C'est l'Autorité d'Enregistrement qui a la charge des ces fonctions, auxquelles s'ajoutent d'autres fonctions organisationnelles, comme par exemple la décision de révoquer le certificat d'un salarié quittant une entreprise.

5. Qui peut opérer le service de certification d'une AC ?

La partie de production des certificats consiste en un ensemble d'opérations techniques : manipulation d'équipements informatiques et cryptographiques, personnalisation de cartes à puce, utilisation d'annuaires et de bases de données. Toutes ces tâches requièrent en particulier des expertises technologique, opérationnelle, et sécuritaire afin d'assurer à l'Autorité de Certification que les certificats émis sont bien ceux souhaités, et qu'ils sont produits dans les délais voulus. L'unité de production qui a la charge de 'fabriquer' ce service de certification doit disposer de personnel qualifié, d'équipements appropriés et d'environnements hautement sécurisés.

6. Quel est le rôle de KEYNECTIS vis à vis d'une AC ?

KEYNECTIS est un Opérateur de Service de Certification*. En effet, nous considérons que ces fonctions de production gagnent à être confiées à un Opérateur de Services de Certification*, véritable industriel se mettant au service d'une ou de plusieurs Autorités de Certification.

L'opérateur se charge de la fabrication technique du certificat, pour le compte, et sur ordre de l'Autorité de Certification. Il s'agit d'une relation de sous-traitance technique. En particulier, il n'est pas du ressort de l'opérateur de définir les procédures de vérification d'identité qui conduisent à l'émission de certificats électroniques, ou les conditions qui, par exemple, amènent à révoquer les certificats émis par une entreprise en dépôt de bilan.

KEYNECTIS opère donc les Infrastructures à Clés Publiques des Autorités de Certification qui le souhaitent, et laisse à celles-ci un contrôle total sur les modes d'attribution, de diffusion et d'administration des certificats électroniques que ces Autorités de Confiance délivrent.

* Opérateur de Services de Certification est une marque déposée de KEYNECTIS SA

Les Infrastructures à Clés Publiques

1. Qu'est-ce qu'une Infrastructure à Clés Publiques ?

Une Infrastructure à Clés Publiques (ICP) désigne l'ensemble des éléments nécessaires à une Autorité de Certification pour émettre des certificats électroniques à une population donnée (individus, équipements de réseaux, serveurs web) et permettre leur administration (révocation des certificats, renouvellement, remplacement).

2. En quoi consiste une Infrastructure à Clés Publiques ?

Une Infrastructure à Clés Publiques (ICP) est constituée :

• d'une clé d'Autorité de Certification.
• des outils nécessaires aux fonctions d'Autorité d'Enregistrement.
• d'un dispositif technique de production de certificats.

La mise en oeuvre d'une ICP nécessite par ailleurs l'établissement de procédures de délivrance de certificats, et un environnement de production fiable (expertise humaine, équipements informatiques et cryptographiques appropriés, environnement sécurisé).

Enfin, elle doit être capable d'évoluer vers des besoins connexes : au-delà de la seule délivrance de certificats électroniques, l'Autorité de Certification doit être en mesure de proposer des certificats sur carte à puce, d'horodater certains échanges électroniques, de vérifier en temps réel la validité des certificats utilisés pour lire des signatures électroniques ou lors de mécanismes d'authentification.

3. N'est-il pas dangereux de sous-traiter sa sécurité, pourquoi ne pas tout gérer soi-même et rester maître de sa PKI avec une solution logicielle ?

Le niveau de sécurité global d'une chaîne est celui du maillon le plus faible. Quel est alors votre maillon le plus faible dans le cas d'une solution logicielle ? En particulier, comment est protégée la clé centrale du système sur laquelle repose toute votre infrastructure de confiance ? Quelles sont les procédures physiques et logiques que vous comptez mettre en place pour contrôler la production des certificats ? Combien de personnes seront dédiées au contrôle du bon respect de ces procédures ?

KEYNECTIS vous propose d'héberger et d'opérer cette clé privée racine à votre place. KEYNECTIS dispose en effet de locaux hautement sécurisés, opérant des infrastructures techniques. Ce centre de production est régulièrement soumis aux audits les plus stricts, en particulier par les autorités gouvernementales et bancaires. Une entreprise conserve peu d'argent liquide dans ses locaux, car elle le confie à une banque, mieux équipée pour cela. De même, il est plus sûr pour une entreprise de déléguer une partie de sa sécurité à un industriel dont c'est le métier.

Enfin, KEYNECTIS n'a pas connaissance des clés privées des utilisateurs qui restent dans l'entreprise; KEYNECTIS ne reçoit que des informations publiques validées par l'entreprise (clés publiques notamment) et s'engage à établir dans les meilleurs conditions de sécurité les passeports électroniques infalsifiables des collaborateurs sur la base de ces seules informations.

Protection de la clé privée

1. Comment ma clé privée est-elle protégée ?

Votre clé peut être protégée de deux manières :

• Protection du lieu de stockage : votre clé privée est stockée soit sur le disque dur de votre ordinateur, soit sur une carte à puce.
• Protection par mot de passe : lorsque vous générerez votre clé privée, le logiciel que vous utilisez vous invite à utiliser un mot de passe. Celui-ci protègera l'utilisation de votre clé privée.

Une autre personne que vous peut avoir accès à votre clé privée aux seules conditions :

• D'avoir accès au dossier dans lequel elle est stockée sur votre poste de travail, ou d'avoir accès à votre carte à puce.
• D'avoir connaissance de votre mot de passe. Certains logiciels vous permettent de choisir de ne pas avoir de mot de passe pour protéger votre clé privée. Dans ce cas, vous devez vous assurer que personne, dès à présent ou à l'avenir, ne peut et ne pourra accéder à votre ordinateur ou à votre carte à puce. La protection par mot de passe offre toujours un niveau de sécurité supplémentaire; ne pas utiliser de mot de passe lorsque la clé privée est stockée sur le disque dur de votre ordinateur reviendrait à signer tous les chèques de votre chéquier en blanc, et laisser votre carnet de chèques sur votre bureau, à la portée de tous.

2. Comment puis-je protéger ma clé privée ?

L'utilisation de la carte à puce procure la meilleure sécurité pour protéger physiquement une clé privée. Lorsque cette clé privée est conservée sur le disque d'un poste de travail, il faut protéger cet ordinateur des accès non autorisés en le sécurisant physiquement : l'utilisation des produits de contrôle d'accès est fortement recommandée. Il faut en outre prendre des mesures pour protéger votre ordinateur contre les virus, un virus étant à même d'attaquer votre clé privée, comme n'importe quel fichier.

3. Où mon ordinateur conserve t-il ma clé privée ?

Si vous avez choisi de stocker votre clé privée sur votre poste de travail plutôt que sur une carte à puce, elle est conservée sous un format chiffré dans un dossier de type "Préférences", ou "Panneau de Configuration", et ne peut être déchiffrée qu'avec votre mot de passe.

4. J'ai besoin d'utiliser mon identification numérique aussi bien à mon domicile que dans mes locaux professionnels. Puis-je, de façon sûre, copier ma clé privée et mon identification numérique d'un ordinateur à l'autre ?

Lorsque vous choisissez de stocker votre clé privée sur disque dur, ceci est effectivement possible, dans la mesure où vos deux ordinateurs possèdent exactement les mêmes logiciels : vous avez alors la possibilité de copier vos fichiers d'identification numérique et votre clé privée d'un ordinateur à l'autre. Assurez-vous toutefois auprès de votre revendeur de logiciel que la version du logiciel que vous utilisez permet bien cette fonctionnalité.

Par ailleurs, lors de cette opération, il est très important que vous utilisiez un mot de passe sécurisé au moment de copier votre clé privée d'un ordinateur à l'autre.

5. Puis-je modifier le mot de passe de ma clé privée sans avoir à changer de certificat ?

Oui, le mot de passe de votre clé privée doit même être modifié chaque fois que vous pensez que quelqu'un peut en avoir eu connaissance. En vous servant du programme que vous avez utilisé pour créer votre mot de passe, vous avez aussi la possibilité de modifier ce dernier.

6. J'ai perdu le mot de passe de ma clé privée. Quelqu'un peut-il m'aider ?

Non, si vous avez perdu le mot de passe de votre clé privée, personne ne peut vous aider. Vous devrez créer une nouvelle paire de clés, et obtenir un nouveau certificat. Cela est sans conséquence pour les applications de signature que vous faites; en revanche, les messages chiffrés que vous avez reçus seront également perdus, puisque votre clé privée était nécessaire à leur lecture.

7. Mon ordinateur a été volé, et j'avais choisi de ne pas protéger ma clé privée avec un mot de passe. Que dois-je faire maintenant ?

Vous devez informer immédiatement l'Autorité de Certification (AC) qui a émis votre certificat, du vol de votre clé privée. L'AC s'occupera de la révocation de votre certificat et vous en émettra un nouveau (certifiant une nouvelle clé publique, elle-même associée à votre nouvelle clé privée).

Par ailleurs, bien que vos interlocuteurs soient toujours sensés vérifier la validité de votre certificat auprès de l'AC qui l'a émis, certains ne le font peut-être pas régulièrement; il serait alors prudent d'informer vous-même vos correspondants que votre ancienne clé privée n'est plus valide, et que votre ancien certificat a donc été révoqué.

Cryptographies symétrique et asymétrique

1. Qu'est-ce que la cryptographie à clé publique, ou cryptographie asymétrique ?

La cryptographie à clé publique est une méthode utilisée pour transmettre et échanger des messages de manière sécurisée (authentification de l'émetteur, garantie d'intégrité et de confidentialité).

Cette technique repose sur le principe de "paire de clés asymétriques", ou "bi-clé", qui sont des clés de chiffrement (le chiffrement est le nom général donné aux techniques mathématiques de codage ou de décodage des données).

Chaque individu engagé dans une transaction est muni d'une "clé privée" et d'une "clé publique". Votre clé privée ne doit être communiquée à personne, tandis que votre clé publique est transmise à tous vos interlocuteurs, sans aucune restriction.

Les principes généraux de la cryptographie à clé publique sont les suivants :

• Un message codé avec une clé privée ne peut être décodé que par la clé publique associée,
• De même, un message codé avec une clé publique ne peut être décodé que par la clé privée associée,
• Une clé publique donnée ne peut être associée qu'à une seule clé privée (plusieurs clés privées différentes ne peuvent pas avoir la même clé publique comme clé complémentaire),
• De même, une clé privée donnée ne peut être associée qu'à une seule clé publique (plusieurs clés publiques différentes ne peuvent pas avoir la même clé privée comme clé complémentaire).

2. Qu'est-ce que la cryptographie à clé secrète ou cryptographie symétrique ?

La cryptographie à clé symétrique a été très utilisée jusque dans les années 80 pour le chiffrement des messages confidentiels. Son usage a progressivement été réduit depuis l'apparition de la cryptographie à clé publique, même si ces deux techniques sont très souvent utilisées conjointement.

Dans le chiffrement à clé symétrique ou clé secrète, c'est la même clé qui sert à la fois à chiffrer et à déchiffrer un message. C'est exactement le même principe qu'une clé de porte : c'est la même qui sert à ouvrir et à fermer une serrure.

La difficulté est donc de transmettre cette clé secrète à la personne avec qui vous voulez établir des communications confidentielles. Cette méthode a de nombreux inconvénients : dès que vous avez besoin d'échanger des messages avec plusieurs personnes, vous devrez détenir autant de clés secrètes que de personnes avec qui vous voulez dialoguer et conserver de façon très sécurisée toutes ces clés secrètes. Ainsi, la gestion de toutes ces clés secrètes devient rapidement très lourde et donc source de défaillance.

3. Vous avez parlé de chiffrement, mais qu'est-ce que la signature ?

La signature est effectivement un intérêt majeur de la cryptographie à clé publique.

Elle permet d'authentifier avec certitude l'émetteur d'un message reçu et de garantir l'intégrité de ce message (message non modifié ou altéré lors de son passage sur Internet). Cela permet donc de reproduire sur Internet l'environnement de confiance des échanges physiques (courriers traditionnels en particulier), puisqu'il devient impossible de répudier un document électronique (un bon de commande, un ordre de bourse).

4. Quel est le rapport entre les clés publiques et les certificats ?

La problématique centrale de la cryptographie à clé publique (pour signer ou chiffrer un message) est la probité de la clé publique reçue de son interlocuteur ou rapatriée depuis un annuaire partagé. En effet, pour envoyer un message confidentiel à votre interlocuteur, vous devez vous servir de la clé publique de votre interlocuteur, et donc être certain qu'il s'agit bien de sa clé publique.

De même, pour vérifier que le message reçu a bien été envoyé et signé par vous, votre interlocuteur a besoin de votre clé publique.

Le certificat électronique est un document électronique qui associe le nom d'une personne (personne physique, morale, site web, routeur) à une clé publique. A l'instar d'une carte d'identité traditionnelle qui établit la correspondance entre un visage, un nom et une signature manuscrite, le certificat permet d'établir le lien d'appartenance entre une clé publique et son propriétaire (personne physique ou morale).

Pour utiliser en toute confiance la clé publique d'un interlocuteur, il faut donc qu'elle soit certifiée par une Autorité de Certification. Pour cela, avant de délivrer un certificat, une Autorité de Certification aura recours à diverses procédures d'authentification, afin de s'assurer que votre interlocuteur est bien celui qu'il prétend être et que la clé publique à certifier est bien la sienne.

Ainsi, si les utilisateurs finaux ont confiance en l'Autorité de Certification qui a émis le certificat et ont une copie de la clé publique de celle-ci (pour lire la signature, le "tampon" du certificat reçu), ils sont assurés de la légitimité du certificat et donc de sa clé publique.

Signature électronique

1. Qu'est-ce que la signature électronique ?

Internet permet aujourd'hui d'effectuer de nombreuse opérations telles que :

• l'achat et le paiement en ligne,
• la passation d'ordres de bourse,
• les télé-déclarations administratives (TVA, impôt sur le revenu, feuille de soins électronique),
• l'échange par courrier électronique de messages et de documents,
• l'échange d'informations médicales entre professionnels de santé.

Ces opérations, pour être réalisées, doivent dans la majorité des cas garantir :

• l'identité des parties,
• l'intégrité des données transmises,
• la non-répudiation (opposabilité de l'opération réalisée),
• la confidentialité de ces données.

Le rôle de la signature électronique est de réunir les conditions d'identité, d'intégrité et de non-répudiation; la technologie la plus employée actuellement et la plus à même de répondre à ces conditions est fondée sur la cryptographie asymétrique.

2. Quels sont les points importants du décret du 30 mars 2001 ?

La signature électronique a été introduite en droit français par la Loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique. Le Décret n° 2001-272 du 30 mars 2001 pris pour l'application de l'article 1316-4 du code civil et relatif à la signature électronique traduit en droit français les exigences de la Directive européenne relatives aux signatures électroniques, et notamment :

• définition des notions de signature sécurisée, de dispositif sécurisé de création de signature électronique, de certificat électronique qualifié,
• mise en place d'un schéma de qualification volontaire des prestataires délivrant des certificats électroniques qualifiés; ils bénéficient dans ce cas d'une conformité aux exigences prévues pour la délivrance de certificats qualifiés,
• mise en place d'un contrôle des prestataires délivrant des certificats électroniques qualifiés,
• conditions de présomption de fiabilité d'un procédé de signature électronique,
• conditions de reconnaissance des certificats qualifiés émis par des prestataires étrangers n'appartenant pas à la Communauté européenne.

3. Quelle est la définition juridique de la signature ?

L'article 1316-4 du Code civil introduit une définition générale de la signature, valable quelle qu'en soit sa forme, manuscrite, électronique, ou autre : "La signature nécessaire à la perfection d'un acte juridique identifie celui qui l'appose. Elle manifeste le consentement des parties aux obligations qui découlent de cet acte". Cet article précise ensuite le cas de la signature électronique : "Lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable d'identification, garantissant son lien avec l'acte auquel elle s'attache". La signature remplit donc deux fonctions juridiques principales : identification de l'auteur et manifestation de son consentement.

4. Qu'est-ce qu'une signature électronique sécurisée ?

Une signature électronique sécurisée est une signature électronique qui satisfait aux exigences suivantes :

• être propre au signataire (identité du signataire),
• être créée par des moyens que le signataire puisse garder sous son contrôle exclusif (consentement du signataire),
• garantir avec l'acte auquel elle s'attache un lien tel que toute modification ultérieure de l'acte soit détectable (intégrité de l'acte).

La réalisation d'une signature sécurisée est une des conditions à remplir pour que la fiabilité d'un procédé de signature soit présumée.

5. Qu'est-ce qu'un prestataire de services de certification électronique ?

La définition donnée par le décret français de 2001 est la suivante :

Toute personne qui délivre des certificats électroniques ou fournit d'autres services en matière de signature électronique.

Exemples (liste non exhaustive) :

• une Autorité de Certification, ses entités associées prises indépendamment ou non : Autorité d'Enregistrement, Opérateur de Certification,
• une Autorité d'Horodatage,
• un Tiers archiveur de documents signés,
• un Prestataire de Services de Publication (annuaires ou liste de révocation de certificats, liste d'autorités de certification reconnues).

6. Qu'est-ce qu'un certificat "qualifié"?

Un certificat qualifié est un certificat soumis à des exigences particulières de contenu et de délivrance, et délivré par un prestataire de certification répondant à des critères spécifiques. L'utilisation d'un certificat qualifié est une condition nécessaire mais non suffisante pour présumer la fiabilité d'un procédé de signature électronique; elle n'est en effet qu'un des trois maillons de la "chaîne de confiance" d'un procédé de signature électronique : élaboration de la signature, dispositif de signature, vérification de la signature.

Points importants :

• la signature du certificat par le fournisseur d'un certificat qualifié doit être sécurisée,
• les 16 exigences fixées pour les prestataires de certification concernent selon les cas l'Autorité de Certification, l'Autorité d'Enregistrement, l'Opérateur de Certification,
• le contrôle de l'identité de la personne à laquelle un certificat qualifié est délivré doit se faire par présentation d'un document officiel d'identité.

7. L'écrit sous forme électronique peut-il avoir valeur probante ?

L'article 1316-1 du Code civil dispose : "L'écrit sous forme électronique est admis en preuve au même titre que l'écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité".

Il faut donc 3 conditions pour qu'un écrit électronique puisse valablement servir de preuve :

• la personne dont émane l'écrit doit être identifiée,
• l'écrit doit être établi dans des conditions de nature à en garantir l'intégrité,
• l'écrit doit être conservé dans des conditions de nature à en garantir l'intégrité.

8. La signature électronique peut-elle avoir valeur probante ?

L'article 1316-4 dispose que : "la signature électronique consiste en l'usage d'un procédé fiable d'identification, garantissant son lien avec l'acte auquel elle s'attache", on peut déduire quatre conditions pour qu'une signature électronique puisse valablement servir de preuve :

• le signataire doit être identifié
• l'écrit doit être établi dans des conditions de nature à en garantir l'intégrité
• l'écrit doit être conservé dans des conditions de nature à en garantir l'intégrité
• l'écrit doit être lié de façon indissociable à la signature.

9. Comment choisir un certificat de signature électronique ?

Plus l'enjeu associé à la signature sera important, plus la fiabilité du certificat devra être élevée; cette fiabilité sera notamment assurée par la force du lien entre l'identité physique du signataire et son certificat de clé publique, établie au moment de l'enregistrement.

10. La responsabilité d'une personne qui se fie à une signature correspondant à un certificat erroné peut-elle être engagée ?

La responsabilité de cette personne pourra être engagée au moins dans les cas suivants :

• signature émise après la date d'expiration inscrite sur le certificat
• certificat révoqué avant la création de la signature
• non respect des conditions d'utilisation du certificat.

A contrario, elle ne sera sans doute pas engagée s'il est établi que le prestataire de certification n'a pas enregistré et publié à temps la révocation du certificat, ou s'il est établi qu'il n'a pas transcrit de façon exacte les informations fournies par le titulaire du certificat.

11. Quels sont les risques associés à l'utilisation d'une signature électronique ?

On peut d'ores et déjà identifier deux grandes catégories de risques liés à la spécificité de la signature électronique :

• le risque juridique : il ne sera pas toujours évident de prouver le consentement des parties
• le risque technique : la présomption de fiabilité d'un procédé de signature est soumise à de nombreuses contraintes techniques qu'il ne sera pas toujours simple de satisfaire simultanément.

12. L'horodatage sécurisé est-il indissociable de la signature électronique ?

Le décret français ne réglemente pas le service d'horodatage. Il y fait toutefois allusion lorsqu'il exige d'un prestataire de certification électronique de "veiller à ce que la date et l'heure de délivrance et de révocation d'un certificat électronique puissent être déterminées avec précision." (Art. 6 du décret).

En effet, l'horodatage apparaît indispensable puisqu'une signature électronique utilisant la cryptographie asymétrique n'est acceptable qu'en la situant par rapport à une date de révocation ou de fin de validité d'un certificat.