Cette rubrique a pour objectif d’apporter un éclairage particulier sur un thème tiré de l’actualité du droit des nouvelles technologies.
Octobre 2002
Sécurité et signature électronique La sécurité est plus que jamais un thème d’actualité. Nous allons explorer ce thème sous l’angle de la sécurité de la signature électronique.
Petit retour en arrière. La révolution juridique de l’année 2000 en matière de nouvelles technologies a certainement été la publication de la loi du 13 mars 2000 qui a consacré la valeur probante de l’écrit sous forme électronique, et a introduit la signature électronique dans notre droit. On nous l’a répété à l’envi, la signature électronique est désormais valable.
Cependant, tous les procédés de signature électronique n’ont pas la même valeur juridique. La fiabilité d’un procédé de signature électronique est présumée jusqu’à preuve contraire lorsque ce procédé met en ?uvre une signature électronique sécurisée, laquelle doit remplir deux conditions :
| – Etre établie grâce à un dispositif sécurisé de création de signature électronique ; – La vérification de cette signature doit reposer sur l’utilisation d’un certificat électronique qualifié. |
(article 2 du décret n° 2001-272 du 30 mars 2001) Pour schématiser, disons que seules les signature qui se basent sur des produits et services offerts par des fournisseurs certifiés ont la même force légale qu’une signature manuscrite. Les derniers textes nécessaires à la mise en place du processus de certification des fournisseurs ont été publiés au cours de l’année 2002 (décret n° 2002-535 du 18 avril 2002 relatif à l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information et arrêté du 31 mai 2002 relatif à la reconnaissance de la qualification des prestataires de certification électronique et à l’accréditation des organismes chargés de l’évaluation). On a beaucoup parlé des tiers certificateurs, mais qu’entend on par un dispositif sécurisé de signature électronique ? Voici un petit échantillon de dépêches parues ces derniers mois :
| – Des logiciels espions dans des ordinateurs d’université aux Etats-Unis (CNET News.com, 24 juin 2002) ; – Haro sur les certificats numériques sous Windows ! (VNUNET France, 31 août 2002) ; – Une faille dans Explorer menace le commerce électronique (01 Réseaux, 6 septembre 2002) ; – Le FBI sponsorise le Top 20 des bugs informatiques (CNET News.com, 4 octobre 2002). |
Sans être un expert en sécurité des systèmes d’information, on peut se demander si les exigences de la réglementation française en matière de signature électronique sécurisée pourront être respectées dans un tel contexte. Notamment, un ordinateur traditionnel, sans protection particulière, n’est visiblement pas apte à porter la dénomination de « dispositif de signature sécurisée ».
Certains spécialistes soulignent que la signature n’est pas un service isolé et indépendant des actions humaines. Tant que l’ensemble du processus n’est pas réputé sûr, les signatures émises ne peuvent pas être considérées comme certaines. Cela concerne le matériel, le système d’exploitation, les logiciels et les interfaces. Or, aucun de ces systèmes n’est garanti actuellement par les fournisseurs comme étant exempt de bugs et de dysfonctionnements. Enfin, la responsabilité des fournisseurs du dispositif de création de la signature électronique n’a pas été envisagée par les législateurs français et européen, elle ressort entièrement du domaine contractuel.
En l’état de la sécurité présentée par les systèmes informatiques, dont les carences dans ce domaine sont régulièrement dénoncées, et alors que la sécurité informatique est un processus complexe à gérer, tant dans ses aspects techniques qu’organisationnels, nos signatures électroniques seront-elle vraiment sécurisés ? En savoir plus Le palmarès 2002 des vingt plus grandes failles de sécurité :
http://www.sans.org/top20/ Base de données ICAT (base de données recensant les failles informatiques) :
http://icat.nist.gov/icat.cfm
Bruce Schneier, Secrets et Mensonges, Vuibert Informatique, Paris, 2001.
