Source ID:; App Source:

Que vaut une signature numérique?

Partage

Partager par courriel
Taille de police
Imprimer la page
Joël-Christian St-Pierre, Jacques Nantel
Technaute.ca

J'aimerais savoir ce que vous pensez du concept de signature électronique et/ou numérique qui est utilisé lors de transactions (bancaires ou autres). Comment fonctionne tout cela? Quelles sont les risques en tant que consommateur et en tant qu'entreprise? Est-ce que les aspects légaux sont clairs partout au Canada?

Vous avez raison, les deux termes, signature électronique et signature numérique sont utilisés. Comme une signature manuscrite, la signature numérique sert à identifier l'auteur / le signataire d'un courriel ou de tout autre document électronique. La signature numérique est créée, vérifiée et validée grâce à un certificat numérique. Attention il est important de ne pas confondre signature numérique et signature numérisée (signature manuscrite convertie sous forme électronique par un 'numérisateur').

Définitions

Tout d'abord, voici quelques brèves définitions utiles :

Infrastructure à clé publique (ICP): Ensemble de politiques, de procédés et de techniques servant à vérifier, rallier et certifier les utilisateurs d'une application de sécurité. Une ICP utilise la cryptographie à clé publique et les pratiques de certification des clés pour garantir la sûreté des communications.

L'ICP en fait détermine le terrain de jeu pour une application de sécurité. Il comprend une autorité de certification, des certificats numériques et une paire de clés informatiques. Par exemple, le gouvernement du Canada a son infrastructure à clé publique (ICP GC). La Chambre des notaires a son infrastructure à clés publiques développée pour l'ensemble de ses membres. Cette Infrastructure à clés publiques, enregistrée sous le nom de Centre de certification du Québec (CCQ) est un système de gestion de clés et de certificats. Le rôle du Centre de certification du Québec (CCQ) de la Chambre des notaires consiste notamment à signer et à attribuer un certificat contenant des renseignements préalablement vérifiés et confirmant l'identification du détenteur à titre de notaire. Notarius assure, entre autres, l'émission et la gestion des clés et des certificats de l'ICP notariale.

Source: https://www.notarius.com/public/assistance/faq4.html#ques2

Certificat numérique: «Un certificat numérique est une pièce d'identité sûre qui certifie l'identité du détenteur. Il est émis par une autorité de certification et contient habituellement le nom de l'utilisateur, la clé publique et de l'information connexe. Il est impossible de falsifier et de créer un certificat numérique qui est signé par la clé privée de l'autorité de certification qui l'a émis.»

Un certificat numérique est en fait l'équivalent d'un passeport, avec des données permettant d'identifier l'utilisateur :

· Le nom distinctif de l'utilisateur (un identificateur unique).

· Le nom distinctif de l'autorité de certification émettrice.

· La clé publique de l'utilisateur.

· La période de validité du certificat.

· Le numéro de série du certificat.

· La signature numérique de l'autorité de certification émettrice, qui permet de vérifier l'authenticité de l'information contenue dans le certificat numérique.

Signature numérique: Produite par un expéditeur à l'aide de sa clé pour chiffrer le condensat d'un message, la signature numérique permet au destinataire de confirmer l'identité de l'expéditeur et de s'assurer que le contenu du message n'a pas été altéré au cours des sa transmission.

Clé: Utilisée dans le contexte du chiffrement, série de nombres aléatoires utilisés par un algorithme de chiffrement pour transformer des données de texte clair en données chiffrées et vice versa. La clé peut être privée ou publique.

Clé privée: Clé de chiffrement que seul l'utilisateur connaît, utilisée au chapitre de la cryptographie à clé publique pour déchiffrer ou signer de l'information. Il s'agit de l'une des deux clés qui forment une paire de clés,

Clé publique: Il s'agit de l'autre moitié de la paire de clés. La clé publique est conservée dans un certificat numérique. Les clés publiques sont habituellement publiées dans un annuaire. Toute clé publique peut chiffrer de l'information; cependant, les données chiffrées à l'aide d'une clé publique en particulier ne peuvent être déchiffrées que par la clé privée correspondante que le propriétaire de ladite clé garde secrète. Une clé publique peut aussi servir à vérifier l'authenticité d'une signature numérique.

Ces définitions proviennent d'un glossaire très élaboré préparé par Travaux publics et Services gouvernementaux Canada: https://www.solutions.gc.ca/pki-icp/beginners/glossary/glossary_f.asp.

Avec la croissance du commerce électronique, le recours aux transactions électroniques impliquant des individus, des entreprises et des gouvernements et la hausse des tentatives de fraudes électroniques, il s'avère important d'utiliser un mécanisme de sécurité qui va au-delà du simple mot de passe.

Le rôle de la cryptographie

La cryptographie (la procédure par laquelle on transforme une information lisible en une information que seules des personnes autorisées peuvent lire) rend exécutable la création et l'utilisation de signatures numériques fiables tout en protégeant la confidentialité des parties impliquées, la confidentialité de la transaction et sa rentabilité pour les intervenants. Essentiellement, la cryptographie assure:

1. «L'authentication»: la preuve que les parties à une opération sont bel et bien les personnes qu'elles disent être.

2. La non-répudiation: la preuve qu'une opération a eu lieu, ou qu'un message a été envoyé ou reçu (ainsi, une des parties à l'opération ne peut nier que l'opération a eu lieu).

3. L'intégrité: les données ou les messages ne peuvent être modifiés sans qu'on le sache.

4. La confidentialité: seul le destinataire désigné ou l'utilisateur autorisé peut accéder aux messages et aux données, ou encore les lire.

(Source: L'économie numérique au Canada, Industrie Canada, https://www.e-com.ic.gc.ca/epic/internet/inecic-ceac.nsf/fr/gv00144f.html)

Pourquoi une signature numérique?

La sécurité des transactions à distance comporte toujours une série de risques (financiers, légaux, d'image, etc.), tant du côté de l'acheteur que du côté du vendeur. L'échange de documents confidentiels de tout genre exige une garantie que l'expéditeur et le récepteur puissent être identifiés et que la transaction entre ceux-ci soit protégée contre toute modification non-souhaitée. La gestion des mots de passe est aussi devenue de plus en plus difficile en termes de sécurité et de confidentialité.

Quelques exemples

Vous faites des transactions bancaires à distance afin d'éviter de vous présenter à votre succursale. Pour protéger vos actifs et protéger l'institution financière de recours, un certificat numérique devient nécessaire.

Votre entreprise a développé un Intranet pour que les employés puissent consulter des documents internes et confidentiels. Pour y accéder, vous pourrez vous 'authentifier' par l'entremise d'un certificat numérique.

Vous devez faire parvenir à un collègue en voyage d'affaires un fichier sur lequel vous avez travaillé durant le week-end. Pour vous assurer que le fichier sera accessible à cette personne seulement et qu'il ne sera pas modifié lors de sa transmission, votre certificat numérique vous permettra de signer votre message.

Fonctionnement d'une signature numérique

Supposons que Jacques et Guy veulent échanger un document confidentiel par courriel. En tout premier lieu, ils doivent avoir un certificat numérique. Ils l'obtiennent séparément et confidentiellement en prouvant leur identité personnelle à l'autorité de certification (faisant partie de l'ICP). Lorsque l'autorité de certification est convaincue de leur identité, chacun reçoit un certificat numérique (un passeport), comprenant entre autres choses, leur clé publique et leur clé privée respectives.

Avec ce certificat, ils peuvent maintenant communiquer de façon sécuritaire. Tout d'abord le logiciel d'ICP de Jacques retrouve la clé publique de Guy dans un annuaire. Le logiciel d'ICP utilisera cette clé pour chiffrer le message.

Jacques veut que Guy soit assuré qu'il en est l'expéditeur. Jacques y met donc sa signature électronique dans son courriel. En fait, il «signe» son document en choisissant l'option de signature numérique dans son logiciel de courrier électronique. Le logiciel d'ICP «hache» le message (par une formule mathématique) et le convertit en une série de caractères appelée condensat du message. Ce condensat est en fait l'empreinte digitale numérique du message original. Ensuite, le logiciel de Jacques chiffre le condensat à l'aide de sa clé privée afin de créer la signature numérique du message. Il transmet le message et la signature numérique à Guy.

(Si le message original est modifié en cours de transmission entre Jacques et Guy, il ne produira pas le même condensat lorsque la fonction de hachage lui est appliquée de nouveau à la réception.)

Guy utilise la clé publique de Jacques pour déchiffrer sa signature numérique et accéder ainsi au condensat. Étant donné que seulement la clé publique de Jacques permet de déchiffrer la signature numérique, Guy peut être certain que Jacques en est bien l'expéditeur.

Le processus de vérification indique également au logiciel de Guy quelle fonction de hachage a été employée pour générer le condensat du message original de Jacques. Pour vérifier que le contenu du message n'a pas été altéré, le logiciel de Guy applique la fonction de hachage au message. Les deux condensats doivent absolument être identiques pour garantir à Guy que le message n'a pas été altéré et qu'il est complet.

Toutes ces fonctions sont transparentes pour les deux partenaires impliqués dans cet échange.

Cet exemple est grandement inspiré du cas présenté dans la Foire aux Questions de Travaux publics et Services gouvernementaux Canada: (https://www.solutions.gc.ca/pki-icp/beginners/faq/faq_f.asp et https://www.solutions.gc.ca/pki-icp/beginners/whatisapki/whatisapki_f.asp) .

La signature électronique et le protocole SSL

Nous avons tous souvent vu sur notre navigateur Internet, les trois lettres SSL. C'est le service de sécurité le plus courant sur l'Internet. Le protocole SSL (couche des sockets sécurisés) assure la protection des communications sur Internet - sans risque d'interception, de modification ou de falsification.

Sans aller dans les détails, les fonctionnements du SSL et de l'ICP sont différents. Lorsqu'une communication est établie entre un serveur (d'un site Internet visité) et un visiteur (son logiciel de navigation), une clé exclusive est générée. Avec les paramètres de cette clé exclusive, un canal de communication protégée est ainsi créé. Toutes les données du visiteur sont chiffrées et expédiées par ce canal. Le serveur répond au visiteur de la même façon. Lorsque l'échange est terminé, le canal de communication est fermé et les paramètres sont effacés.

Les deux systèmes de sécurité (SSL et ICP) ont le même objectif : la sécurité de la transaction. L'ICP est plus complexe à installer et à mettre en œuvre. Mais, elle permet d'avoir un système plus performant. Le protocole SSL n'est basé que sur une seule paire de clés (pendant la communication); l'ICP utilise une paire de clés pour chaque participant à l'échange. Le SSL peut potentiellement est plus risqué. Le protocole SSL est moins souple également, car son application se limite à la protection de fichiers, de dossiers ou de courriels.

Bien entendu, l'utilisation d'un système de sécurité dépendra grandement du type de transaction à effectuer et du besoin de sécurité nécessaire à ces transactions.

(Source: FAQ : Sécurité du commerce électronique à L'ADRC, https://www.cra-arc.gc.ca/eservices/pki/faq-f.pdf).

Cadre légal de la signature électronique

Cette section est basée sur un document provenant de l'Université d'Ottawa: (https://www.uottawa.ca/academic/droitcivil/jeanfaullem/drc4531/cours6p2de6.html).

Il y a deux types de législation au Canada qui peuvent nous intéresser et valident la valeur juridique de la signature électronique :

1. Les lois qui donnent aux documents électroniques leur valeur juridique. Cela comprend entre autres la reconnaissance de la signature électronique. La Loi sur la protection des renseignements personnels et les documents électroniques et la Loi uniforme sur le commerce électronique.

«Le gouvernement du Canada estime que ce qui rend une signature électronique digne de confiance, c'est l'utilisation d'une technologie fiable comme celle de signatures numériques, de pair avec une autorité de certification fiable telle que celle de l'infrastructure à clé publique du gouvernement du Canada (ICP) et celle qui dispose d'un pouvoir de certification réciproque ou celle qui est reconnue autrement par l'ICP.»

2. Les lois qui portent sur la preuve électronique. La Loi uniforme sur la preuve électronique évalue l'intégrité d'un document électronique en considérant la preuve de la fiabilité du système de conservation des dossiers qui a produit ce document.

La loi canadienne est grandement inspirée des règles établies dans la Loi type sur le commerce électronique de la Commission des Nations Unies pour le droit commercial international (CNUDCI):

(https://www.uncitral.org/pdf/french/texts/electcom/05-89451_Ebook.pdf).

Au Québec, la Loi concernant le cadre juridique des technologies de l'information examine:

· La sécurité juridique des communications.

· Les rôles et responsabilités d'un service de certification et de répertoire.

· Les cohérences des règles de droit et leur application aux communications, notamment celles utilisant les services d'ICP.

· La valeur juridique d'un document conditionnelle au maintien de son intégrité pendant tout son cycle de vie.

· Le lien entre une personne et un document technologique.

· L'équivalence fonctionnelle des documents, peu importe leur support.

Donc on peut donc dire que les cadres juridiques canadiens et québécois encadrent bien la signature électronique, lui accorde sa valeur juridique et en établit les règles.

Bien entendu, ce texte ne constitue pas un avis juridique, mais plutôt une simple opinion.

En conclusion, on peut dire que la signature numérique ou électronique permet de réaliser des transactions électroniques de façon sécuritaire et légale. Le cadre technologique tout autant que le cadre juridique permet tant à l'individu qu'à l'organisation de mettre en place les moyens qui le protègent et qui garantissent son échange avec l'autre partie.

Avec la collaboration de Guy Champagne




la boite: 4391933:box; tpl: 300_B73_videos_playlist.tpl:file;

Les plus populaires : Techno

Tous les plus populaires de la section Techno
sur Lapresse.ca
»

Autres contenus populaires

La liste:-1:liste; la boite:219:box; tpl:html.tpl:file
image title
Fermer