Techno

Que vaut une signature numérique?

J'aimerais savoir ce que vous pensez du concept de signature électronique et/ou numérique qui est utilisé lors de transactions (bancaires ou autres). Comment fonctionne tout cela? Quelles sont les risques en tant que consommateur et en tant qu'entreprise? Est-ce que les aspects légaux sont clairs partout au Canada?

Publié le 9 janv. 2007

Joël-Christian St-Pierre|||Jacques Nantel TECHNAUTE.CA

Vous avez raison, les deux termes, signature électronique et signature numérique sont utilisés. Comme une signature manuscrite, la signature numérique sert à identifier l'auteur / le signataire d'un courriel ou de tout autre document électronique. La signature numérique est créée, vérifiée et validée grâce à un certificat numérique. Attention il est important de ne pas confondre signature numérique et signature numérisée (signature manuscrite convertie sous forme électronique par un 'numérisateur').

Définitions

Tout d'abord, voici quelques brèves définitions utiles :

Infrastructure à clé publique (ICP): Ensemble de politiques, de procédés et de techniques servant à vérifier, rallier et certifier les utilisateurs d'une application de sécurité. Une ICP utilise la cryptographie à clé publique et les pratiques de certification des clés pour garantir la sûreté des communications.

L'ICP en fait détermine le terrain de jeu pour une application de sécurité. Il comprend une autorité de certification, des certificats numériques et une paire de clés informatiques. Par exemple, le gouvernement du Canada a son infrastructure à clé publique (ICP GC). La Chambre des notaires a son infrastructure à clés publiques développée pour l'ensemble de ses membres. Cette Infrastructure à clés publiques, enregistrée sous le nom de Centre de certification du Québec (CCQ) est un système de gestion de clés et de certificats. Le rôle du Centre de certification du Québec (CCQ) de la Chambre des notaires consiste notamment à signer et à attribuer un certificat contenant des renseignements préalablement vérifiés et confirmant l'identification du détenteur à titre de notaire. Notarius assure, entre autres, l'émission et la gestion des clés et des certificats de l'ICP notariale.

Source: https://www.notarius.com/public/assistance/faq4.html#ques2

Certificat numérique: «Un certificat numérique est une pièce d'identité sûre qui certifie l'identité du détenteur. Il est émis par une autorité de certification et contient habituellement le nom de l'utilisateur, la clé publique et de l'information connexe. Il est impossible de falsifier et de créer un certificat numérique qui est signé par la clé privée de l'autorité de certification qui l'a émis.»

Un certificat numérique est en fait l'équivalent d'un passeport, avec des données permettant d'identifier l'utilisateur :

· Le nom distinctif de l'utilisateur (un identificateur unique).

· Le nom distinctif de l'autorité de certification émettrice.

· La clé publique de l'utilisateur.

· La période de validité du certificat.

· Le numéro de série du certificat.

· La signature numérique de l'autorité de certification émettrice, qui permet de vérifier l'authenticité de l'information contenue dans le certificat numérique.

Signature numérique: Produite par un expéditeur à l'aide de sa clé pour chiffrer le condensat d'un message, la signature numérique permet au destinataire de confirmer l'identité de l'expéditeur et de s'assurer que le contenu du message n'a pas été altéré au cours des sa transmission.

Clé: Utilisée dans le contexte du chiffrement, série de nombres aléatoires utilisés par un algorithme de chiffrement pour transformer des données de texte clair en données chiffrées et vice versa. La clé peut être privée ou publique.

Clé privée: Clé de chiffrement que seul l'utilisateur connaît, utilisée au chapitre de la cryptographie à clé publique pour déchiffrer ou signer de l'information. Il s'agit de l'une des deux clés qui forment une paire de clés,

Clé publique: Il s'agit de l'autre moitié de la paire de clés. La clé publique est conservée dans un certificat numérique. Les clés publiques sont habituellement publiées dans un annuaire. Toute clé publique peut chiffrer de l'information; cependant, les données chiffrées à l'aide d'une clé publique en particulier ne peuvent être déchiffrées que par la clé privée correspondante que le propriétaire de ladite clé garde secrète. Une clé publique peut aussi servir à vérifier l'authenticité d'une signature numérique.

Ces définitions proviennent d'un glossaire très élaboré préparé par Travaux publics et Services gouvernementaux Canada: https://www.solutions.gc.ca/pki-icp/beginners/glossary/glossary_f.asp.

Avec la croissance du commerce électronique, le recours aux transactions électroniques impliquant des individus, des entreprises et des gouvernements et la hausse des tentatives de fraudes électroniques, il s'avère important d'utiliser un mécanisme de sécurité qui va au-delà du simple mot de passe.

Le rôle de la cryptographie

La cryptographie (la procédure par laquelle on transforme une information lisible en une information que seules des personnes autorisées peuvent lire) rend exécutable la création et l'utilisation de signatures numériques fiables tout en protégeant la confidentialité des parties impliquées, la confidentialité de la transaction et sa rentabilité pour les intervenants. Essentiellement, la cryptographie assure:

1. «L'authentication»: la preuve que les parties à une opération sont bel et bien les personnes qu'elles disent être.

2. La non-répudiation: la preuve qu'une opération a eu lieu, ou qu'un message a été envoyé ou reçu (ainsi, une des parties à l'opération ne peut nier que l'opération a eu lieu).

3. L'intégrité: les données ou les messages ne peuvent être modifiés sans qu'on le sache.

4. La confidentialité: seul le destinataire désigné ou l'utilisateur autorisé peut accéder aux messages et aux données, ou encore les lire.

(Source: L'économie numérique au Canada, Industrie Canada, https://www.e-com.ic.gc.ca/epic/internet/inecic-ceac.nsf/fr/gv00144f.html)

Pourquoi une signature numérique?

La sécurité des transactions à distance comporte toujours une série de risques (financiers, légaux, d'image, etc.), tant du côté de l'acheteur que du côté du vendeur. L'échange de documents confidentiels de tout genre exige une garantie que l'expéditeur et le récepteur puissent être identifiés et que la transaction entre ceux-ci soit protégée contre toute modification non-souhaitée. La gestion des mots de passe est aussi devenue de plus en plus difficile en termes de sécurité et de confidentialité.

Quelques exemples

Vous faites des transactions bancaires à distance afin d'éviter de vous présenter à votre succursale. Pour protéger vos actifs et protéger l'institution financière de recours, un certificat numérique devient nécessaire.

Votre entreprise a développé un Intranet pour que les employés puissent consulter des documents internes et confidentiels. Pour y accéder, vous pourrez vous 'authentifier' par l'entremise d'un certificat numérique.

Vous devez faire parvenir à un collègue en voyage d'affaires un fichier sur lequel vous avez travaillé durant le week-end. Pour vous assurer que le fichier sera accessible à cette personne seulement et qu'il ne sera pas modifié lors de sa transmission, votre certificat numérique vous permettra de signer votre message.

Fonctionnement d'une signature numérique

Supposons que Jacques et Guy veulent échanger un document confidentiel par courriel. En tout premier lieu, ils doivent avoir un certificat numérique. Ils l'obtiennent séparément et confidentiellement en prouvant leur identité personnelle à l'autorité de certification (faisant partie de l'ICP). Lorsque l'autorité de certification est convaincue de leur identité, chacun reçoit un certificat numérique (un passeport), comprenant entre autres choses, leur clé publique et leur clé privée respectives.

Avec ce certificat, ils peuvent maintenant communiquer de façon sécuritaire. Tout d'abord le logiciel d'ICP de Jacques retrouve la clé publique de Guy dans un annuaire. Le logiciel d'ICP utilisera cette clé pour chiffrer le message.

Jacques veut que Guy soit assuré qu'il en est l'expéditeur. Jacques y met donc sa signature électronique dans son courriel. En fait, il «signe» son document en choisissant l'option de signature numérique dans son logiciel de courrier électronique. Le logiciel d'ICP «hache» le message (par une formule mathématique) et le convertit en une série de caractères appelée condensat du message. Ce condensat est en fait l'empreinte digitale numérique du message original. Ensuite, le logiciel de Jacques chiffre le condensat à l'aide de sa clé privée afin de créer la signature numérique du message. Il transmet le message et la signature numérique à Guy.

(Si le message original est modifié en cours de transmission entre Jacques et Guy, il ne produira pas le même condensat lorsque la fonction de hachage lui est appliquée de nouveau à la réception.)

Guy utilise la clé publique de Jacques pour déchiffrer sa signature numérique et accéder ainsi au condensat. Étant donné que seulement la clé publique de Jacques permet de déchiffrer la signature numérique, Guy peut être certain que Jacques en est bien l'expéditeur.

Le processus de vérification indique également au logiciel de Guy quelle fonction de hachage a été employée pour générer le condensat du message original de Jacques. Pour vérifier que le contenu du message n'a pas été altéré, le logiciel de Guy applique la fonction de hachage au message. Les deux condensats doivent absolument être identiques pour garantir à Guy que le message n'a pas été altéré et qu'il est complet.

Toutes ces fonctions sont transparentes pour les deux partenaires impliqués dans cet échange.

Cet exemple est grandement inspiré du cas présenté dans la Foire aux Questions de Travaux publics et Services gouvernementaux Canada: (https://www.solutions.gc.ca/pki-icp/beginners/faq/faq_f.asp et https://www.solutions.gc.ca/pki-icp/beginners/whatisapki/whatisapki_f.asp) .

La signature électronique et le protocole SSL

Nous avons tous souvent vu sur notre navigateur Internet, les trois lettres SSL. C'est le service de sécurité le plus courant sur l'Internet. Le protocole SSL (couche des sockets sécurisés) assure la protection des communications sur Internet - sans risque d'interception, de modification ou de falsification.

Sans aller dans les détails, les fonctionnements du SSL et de l'ICP sont différents. Lorsqu'une communication est établie entre un serveur (d'un site Internet visité) et un visiteur (son logiciel de navigation), une clé exclusive est générée. Avec les paramètres de cette clé exclusive, un canal de communication protégée est ainsi créé. Toutes les données du visiteur sont chiffrées et expédiées par ce canal. Le serveur répond au visiteur de la même façon. Lorsque l'échange est terminé, le canal de communication est fermé et les paramètres sont effacés.

Les deux systèmes de sécurité (SSL et ICP) ont le même objectif : la sécurité de la transaction. L'ICP est plus complexe à installer et à mettre en œuvre. Mais, elle permet d'avoir un système plus performant. Le protocole SSL n'est basé que sur une seule paire de clés (pendant la communication); l'ICP utilise une paire de clés pour chaque participant à l'échange. Le SSL peut potentiellement est plus risqué. Le protocole SSL est moins souple également, car son application se limite à la protection de fichiers, de dossiers ou de courriels.

Bien entendu, l'utilisation d'un système de sécurité dépendra grandement du type de transaction à effectuer et du besoin de sécurité nécessaire à ces transactions.

(Source: FAQ : Sécurité du commerce électronique à L'ADRC, https://www.cra-arc.gc.ca/eservices/pki/faq-f.pdf).

Cadre légal de la signature électronique

Cette section est basée sur un document provenant de l'Université d'Ottawa: (https://www.uottawa.ca/academic/droitcivil/jeanfaullem/drc4531/cours6p2de6.html).

Il y a deux types de législation au Canada qui peuvent nous intéresser et valident la valeur juridique de la signature électronique :

1. Les lois qui donnent aux documents électroniques leur valeur juridique. Cela comprend entre autres la reconnaissance de la signature électronique. La Loi sur la protection des renseignements personnels et les documents électroniques et la Loi uniforme sur le commerce électronique.

«Le gouvernement du Canada estime que ce qui rend une signature électronique digne de confiance, c'est l'utilisation d'une technologie fiable comme celle de signatures numériques, de pair avec une autorité de certification fiable telle que celle de l'infrastructure à clé publique du gouvernement du Canada (ICP) et celle qui dispose d'un pouvoir de certification réciproque ou celle qui est reconnue autrement par l'ICP.»

2. Les lois qui portent sur la preuve électronique. La Loi uniforme sur la preuve électronique évalue l'intégrité d'un document électronique en considérant la preuve de la fiabilité du système de conservation des dossiers qui a produit ce document.

La loi canadienne est grandement inspirée des règles établies dans la Loi type sur le commerce électronique de la Commission des Nations Unies pour le droit commercial international (CNUDCI):

(https://www.uncitral.org/pdf/french/texts/electcom/05-89451_Ebook.pdf).

Au Québec, la Loi concernant le cadre juridique des technologies de l'information examine:

· La sécurité juridique des communications.

· Les rôles et responsabilités d'un service de certification et de répertoire.

· Les cohérences des règles de droit et leur application aux communications, notamment celles utilisant les services d'ICP.

· La valeur juridique d'un document conditionnelle au maintien de son intégrité pendant tout son cycle de vie.

· Le lien entre une personne et un document technologique.

· L'équivalence fonctionnelle des documents, peu importe leur support.

Donc on peut donc dire que les cadres juridiques canadiens et québécois encadrent bien la signature électronique, lui accorde sa valeur juridique et en établit les règles.

Bien entendu, ce texte ne constitue pas un avis juridique, mais plutôt une simple opinion.

En conclusion, on peut dire que la signature numérique ou électronique permet de réaliser des transactions électroniques de façon sécuritaire et légale. Le cadre technologique tout autant que le cadre juridique permet tant à l'individu qu'à l'organisation de mettre en place les moyens qui le protègent et qui garantissent son échange avec l'autre partie.

Avec la collaboration de Guy Champagne

Techno En continu

Techno

Meta met le turbo dans l’intelligence artificielle générative avec Llama 3

(San Francisco) Meta (Facebook, Instagram) assure que Meta AI, son assistant d’intelligence artificielle (IA) générative, est désormais plus performant grâce à la nouvelle version de son modèle de langage Llama 3, dévoilé jeudi pour faire concurrence aux autres géants de la technologie.

Mis à jour hier à 21h37
Techno

Les créateurs devraient divulguer l’usage de l’IA, affirme la sœur de Mark Zuckerberg

(Toronto) Randi Zuckerberg dit croire que les créateurs devraient commencer à révéler s’ils ont utilisé l’intelligence artificielle pour produire des œuvres, car il est « de plus en plus difficile de dire ce qui est réel ».

Mis à jour hier à 15h26
Techno

Les modèles actuels d’IA ne sont « pas parfaits », admet le DG de Google News

(Pérouse) Shailesh Prakash, directeur général de Google News, a reconnu jeudi que les modèles actuels d’intelligence artificielle « ne sont pas parfaits du tout » mais « progressent rapidement », quelques semaines après la suspension d’un outil par le groupe américain pour cause d’inexactitudes historiques.

Publié hier à 14h26
Techno

Telegram revendique près de 900 millions d’utilisateurs

(Dubaï) La messagerie Telegram compte près de 900 millions d’utilisateurs et devrait franchir la barre du milliard d’ici un an, a affirmé son patron dans une interview publiée mercredi.

Publié le 17 avril
Techno

Jeux vidéo La série Fallout stimule les ventes des jeux vidéo qui l’ont inspirée

(Paris) Le succès de la série américaine Fallout, sortie jeudi sur Prime Video et adaptée d’une franchise vidéoludique très populaire, donne un coup de fouet aux ventes des jeux de la saga plusieurs années après leurs sorties.

Publié le 16 avril
Techno

Les nouveaux utilisateurs de X devront payer pour publier des messages, selon Musk

(Paris) Les nouveaux utilisateurs de X devront payer de « petits frais » pour publier sur la plateforme pendant une durée de trois mois, a suggéré lundi soir le patron du réseau social, Elon Musk, dans un message.

Publié le 16 avril
Techno

L’IA, une nouvelle frontière semée d’embûches pour le Japon

(Tokyo) Le Japon, aidé par la méfiance grandissante des Occidentaux envers la Chine, cherche à revenir à la pointe de la course technologique mondiale, y compris dans l’intelligence artificielle (IA). Mais de sérieux obstacles se présentent, comme sa culture d’entreprise dépassée.

Publié le 12 avril
Techno

iPhone Apple va corriger un bogue associant le drapeau palestinien à Jérusalem

(San Francisco) Apple a indiqué jeudi être au courant d’un bogue informatique sur les iPhone signalé par des utilisateurs : quand ils cherchent un émoticône pour illustrer un message, l’entrée « Jérusalem » donne comme résultat le drapeau palestinien.

Publié le 11 avril
Techno

Instagram veut mieux protéger les mineurs du chantage aux photos intimes

(Paris) Alors que les réseaux sociaux sont régulièrement accusés de ne pas suffisamment protéger les mineurs en ligne, Meta a annoncé jeudi de nouvelles mesures sur Instagram pour protéger les jeunes du chantage aux photos de nu.

Publié le 11 avril
Techno

Vie numérique Google restreint son forum de discussion interne

(San Francisco) Depuis près de 14 ans, un forum de discussion en ligne appelé Memegen sert de « soupape virtuelle » aux employés de Google. Un lieu où les employés ont pu critiquer sans ménagement leurs patrons ou faire de l’humour grinçant sur les suppressions d’emplois, mais cette liberté a fait monter un peu trop la température pour la direction.

Mis à jour le 10 avril
Techno

Vie numérique Clins d’œil

Quelques bits de l’actualité numérique

Mis à jour le 10 avril
01:04

Techno

Jeux vidéo World of Warcraft et Overwatch vont retrouver la Chine

(Shanghai) World of Warcraft et d’autres jeux vidéo à succès comme Overwatch 2 vont revenir en Chine dès cet été, ont annoncé mercredi leur développeur américain et son partenaire local, plus d’un an après leur retrait en raison d’un différend.

Mis à jour le 10 avril
Techno

Symposium Métavers et santé La techno dans la peau

Que va faire Meta des milliards de données récoltées lors d’échanges en télémédecine ? Un étudiant formé avec un casque de réalité virtuelle sera-t-il aussi compétent ? Et quels sont les effets sur la santé mentale des jeunes des réseaux sociaux et des jeux vidéo ?

Mis à jour le 10 avril
Techno

Microsoft va investir près de 3 milliards dans l’intelligence artificielle au Japon

(Washington) Microsoft a annoncé mardi qu’il allait investir 2,9 milliards de dollars au cours des deux prochaines années au Japon afin de soutenir l’avancée du pays dans l’intelligence artificielle (IA).

Publié le 9 avril
Techno

Le jeu très attendu Star Wars Outlaws d’Ubisoft sortira le 30 août

(Paris) Le très attendu Star Wars Outlaws, jeu vidéo dérivé de la saga créée George Lucas, sortira le 30 août, a annoncé mardi Ubisoft en dévoilant une bande-annonce.

Publié le 9 avril
Techno

BlackBerry et AMD vont collaborer sur une technologie de systèmes robotiques

(Toronto) BlackBerry collaborera avec le fabricant américain de microprocesseurs AMD sur une nouvelle technologie de systèmes robotiques.

Publié le 9 avril