Pour avoir plus de formalité vis-à-vis du signataire, nous avons rajouté sur le fichier PDF l’image de sa signature manuscrite, telle que présentée ci-dessous, mais ce qui a de la valeur juridique est la signature numérique signée avec l’algorithme à clé publique à la Figure4.2.2.
FIGURE4.13 – Document PDF après la signature
4.3
Discussion
La méthode de signature d’un document avec FIDO2 est certainement adaptée pour les entreprises qui veulent utiliser des technologies innovantes. Nous avons effectué plusieurs tests de validation avec le prototype développé, en local et au sein d’une entreprise, à la suite desquels nous avons constaté que cette méthode de signature de- meurait simple d’utilisation et fiable. À la Figure4.2.2se trouve le résultat de signature d’un document stocké avec le hash, l’horodatage et la version PDF qui est archivée dans le serveur de fichier.
Les tests sont réalisés avec plusieurs plateformes (authentificateur) telles que : USB FIDO, smartphone, PC. Le résultat reste similaire, mais nous constatons que les signa- taires sont plus à l’aise avec le smartphone. Ainsi, la plupart des gens sont d’accord pour dire qu’ils ne peuvent pas passer une heure de leur journée sans leur téléphone intelligent, ce qui nous a garanti le fait que chaque signataire viendrait toujours avec son téléphone durant la signature.
En effet, après avoir fait des tests, si nous comparons notre approche avec l’état de l’art en utilisant les critères d’évaluation, selon le Tableau 4.3, nous constatons que notre schéma de signature est encore avantageux.
Authentification du signataire Satisfaisante :
on peut utiliser plusieurs modalité biométrique Sécurité Satisfaisante :
assuré par le protocole CTAP et Webauthn Utilisé en ligne /
local
Satisfaisante :
le système peut être utilisé en ligne ou en local Stockage clé de
signature
Satisfaisante :
la clé privée est stockée dans la trousse de clé du signataire en local Format de signature générée
Satisfaisante :
Chaîne de caractère (l’encryptions de l’hash de document avec la clé privée) et une image de signature manuscrite
Appareil de signature Satisfaisante :
multiplateforme (PC, tablette, smartphone, USB. . . ) TABLE4.4 – Évaluation de notre approche
Apparemment, après avoir analysé le système cryptographique de FIDO au chapitre 3, nous avons constaté qu’à partir de sa version 2, FIDO est devenu de plus en plus sécu- ritaire. Or, cela implique que la signature générée par l’authentificateur du signataire soit une signature brute ; il s’agit d’une signature d’un ensemble de données, y compris l’hash du document (voir Figure4.1.2.2). Toutefois, le serveur peut vérifier la validité de la signature ainsi que les données échangées durant la cérémonie de signature (ori- gine, conteur, etc.) pour garantir l’authenticité du signataire.
Un des grands avantages constatés de notre méthode réside dans le fait qu’elle offre un moyen de signature en local (sans internet) et à distance pour le cas de signataire en ligne, et ce, tout en préservant la sécurité et la fiabilité de la cérémonie de signature. Bien que la solution soit bien fonctionnelle à la suite des tests effectués au sein des entreprises, nous devons nous assurer que notre solution de signature numérique soit légale, étant donné le cadre juridique de ce projet, que ce soit par rapport à la signature numérique ou l’utilisation de la biométrie. D’abord, FIDO est un système d’authentifi- cation standard selon leur document officiel dans [51], et le programme de certification de FIDO nous assure que notre solution est dans la norme. Toutefois, cela ne nous em- pêche pas d’aller un peu plus loin afin d’examiner le cadre juridique de notre projet en fonction des lois canadiennes. Selon le projet de loi n° 161 intitulé LCCJTI « Loi concer- nant le cadre juridique des technologies de l’information »[52] pour que la signature d’un document soit légale, il faut satisfaire notamment les conditions suivantes :
— Un lien suffisamment fiable doit être établi entre la signature électronique, la per- sonne et le document ;
— Le client doit avoir accès à l’entièreté du document avant de le signer ;
— Le procédé doit exiger une action claire du signataire pour confirmer sa signature ; — La date et l’heure doivent être indiquées sur le document.
Notre méthode de signature selon sa conception et la validation des tests montre qu’elle respecte ce projet de loi.
La Commission d’accès à l’information (CAI) avance une loi au sujet du cadre juridique des technologies de l’information encadrant le recours à la biométrie selon [53].
Selon le recours du CAI en 2015, les entreprises, tout comme les ministères et orga- nismes publics, ont l’obligation de déclarer leurs banques de mesures biométriques avant de les mettre en service. Les entreprises et organismes publics doivent démontrer qu’ils ont obtenu le consentement auprès des personnes concernées et qu’une solution alternative à la biométrie est disponible. Notre méthode de signature utilise la biométrie pour authentifier le signataire ; or, ceci ne sera pas stocké dans le serveur, mais restera au niveau local dans les appareils du signataire.
4.4
Conclusion
Dans ce chapitre, nous avons présenté notre approche de signature numérique de docu- ment qui se base sur FIDO2. Celle-ci consiste à remplacer le défi envoyé par le serveur durant l’authentification avec le hash du document et de l’envoyer à l’appareil du si- gnataire du document, afin que ce dernier signe avec sa clé privée. L’approche que nous avons proposée se déroule en 3 étapes pour signer un document numérique : l’enregis- trement du signataire et la création des clés, la signature du document, la vérification de la signature et archivage. Cela étant dit, les signataires des documents doivent avoir préalablement un compte dans le serveur avant de signer un document. Durant l’enre- gistrement, les deux clés sont créées, la clé publique est stockée dans le serveur tandis que la clé privée est bien sécurisée dans l’authentificateur du client grâce à la méthode « libération de clé cryptographique avec la biométrie ». La signature du document est alors effectuée sous forme de défi réponse entre le serveur et le signataire. Le serveur demande à signer le document en utilisant la « Requête authenticatorGetAssertion » et le signataire signe le document et retourne le document signé avec « Réponse au- thenticatorGetAssertion ». Nous avons parlé également de la mise en œuvre de cette approche avec la librairie webauthn de python, qui consiste à mettre en place une pla- teforme de signature numérique de document.
Nous avons testé le prototype que nous avons développé sur les différents équipements (PC, USB FIDO, Smartphone) et différents OS (Android, iOS, Windows), et les résultats
nous confirment que le document a été bien signé.
Nous avons effectué aussi une évaluation de notre approche par rapport à l’état de l’art et celle-ci nous a fait dire que cette approche possède encore plus d’avantages par rap- port aux différents schémas de signature qui existent actuellement. La valeur juridique constitue un élément de choix de signature, raison pour laquelle nous avons vérifié l’as- pect légal de notre approche qui nous a assuré que notre approche respecte le projet de loi, que ce soit en ce qui concerne la signature numérique ou l’utilisation de biométrie.
Conclusion générale
Contribution et démarche
Dans ce mémoire, nous avons développé un outil de signature d’un document électro- nique. Le schéma de signature proposé est basé sur FIDO2 qui est une nouvelle norme d’authentification sécurisée en ligne. Ce mode de signature va aider les entreprises qui veulent innover en évoluant vers un monde « paperless office » en matière de signature numérique. Un lien suffisamment fiable a été établi entre la signature numérique, le si- gnataire et le document, car la méthode de signature proposée utilise la cryptographie à clé publique et la donnée biométrique du signataire pour signer un document.
Nous avons débuté par une étude des systèmes cryptographiques qui jouent un rôle important dans notre travail. Dans cette partie, nous avons présenté le système de chif- frement (symétrique et asymétrique), les fonctions cryptographiques de hachage et la signature numérique. Une analyse du système cryptographique du modèle d’authen- tification FIDO2 a été présentée au chapitre2pour mieux comprendre les flux d’enre- gistrement et de connexion d’un utilisateur, la quantité de données échangées ainsi que la création de signature. Par la suite, nous avons présenté quelques travaux traitant le sujet de la signature numérique au chapitre3. Pour ce faire, nous les avons divisés en deux grands volets. Premièrement, nous nous sommes penchés sur la spécification de signature d’un document électronique, une étape dans laquelle nous avons relaté les différents types de signature, les travaux connexes puis l’outil et logiciel de signature numérique d’un document. Dans cette analyse, nous avons constaté que l’approche de signature numérique d’un document basée sur FIDO2 n’est pas encore proposée dans l’état de l’art et certaines approches proposée actuelles sont souvent limitées avec l’au- thentification des signataires, la sécurité, la gestion des clés, l’outil de signature, etc. Le deuxième volet était l’utilisation de la biométrie dans la signature numérique où nous avons présenté la modalité biométrique ainsi que la génération d’une clé cryptogra-
phique avec la biométrie. Dans cette analyse, nous avons pu observer qu’il est possible d’utiliser la biométrie dans le système cryptographique pour libérer, générer et régé- nérer la clé cryptographique. FIDO2, la base de notre schéma de signature utilise la biométrie pour libérer la clé privée avant chaque signature.
Notre approche a été exposée au chapitre4. Dans la première phase, nous avons parlé du schéma et du processus de signature du document avec FIDO2. La deuxième phase était dédiée à l’analyse des processus de signatures d’un document sur FIDO2.
Cette analyse nous a permis de voir en théorie l’enregistrement du signataire avec la création des clés, la signature du document, la vérification et l’archivage. Dans la troi- sième phase, nous avons démontré comment nous pouvons mettre en œuvre cette ap- proche et voir les résultats des tests. Nous avons d’ailleurs effectué plusieurs tests avec différents équipements (PC, USB FIDO, Smartphone) ainsi que différente OS (Android, iOS, Windows). Les résultats de nos tests nous montrent que nous pouvons utiliser FIDO2 pour signer un document électronique. Le résultat est montré à la Figure4.2.2. Une évaluation de notre approche a été réalisée par rapport aux approches qui sont déjà proposées, et le résultat montre que notre approche est avantageuse en tant qu’ou- til de signature numérique de document. Nous avons aussi vérifié que cette solution de signature est fiable sur le plan légal. Le prototype proposé a été déjà validé auprès d’usagers types (membres-clients et conseillers) dans une entreprise.
Travaux futurs
Jusqu’ici, nous arrivons à proposer et réaliser un système de signature d’un document basé sur FIDO2. Le processus de signature est fiable ; cependant, une fois le document signé, la preuve doit être préservée dans un endroit accessible et sécuritaire. Pour at- teindre cet objectif, la blockchain offre une alternative très avantageuse par rapport à une base de données classique utilisée actuellement. Cette technologie nous permet de bien répondre à l’aspect d’intégrité et de non-répudiation d’une signature numérique.
En effet, elle constitue par définition un registre immuable, transparent, et fonction- nant d’une manière complètement décentralisée. Ces caractéristiques intrinsèques lui permettent d’offrir à faible coût l’intégrité de ses informations et une forte résistance aux attaques de type déni de service (DoS). Le plus souvent, seule l’empreinte du do- cument signé est sauvegardée dans la blockchain, comme dans [54], ce qui permet de préserver la confidentialité du document lui-même.
L’objectif des prochains travaux sera de prouver qu’un document n’a pas été altéré d’une quelconque façon depuis sa signature advenant un litige en cours. Nous estimons que la promesse d’éliminer les tiers de confiance dans une transaction pair-à-pair à l’aide de la blockchain comporte des opportunités intéressantes que nous voudrions explorer dans nos prochaines recherches.
Bibliographie
[1] N. R. Chakraborty, M. T. Rahman, M. E. Rahman, and M. S. Uddin. Generation and verification of digital signature with two factor authentication. In 2016 International Workshop on Computational Intelligence (IWCI), pages 131–135, Dec 2016. doi : 10. 1109/IWCI.2016.7860353.
[2] G. Saha. Dsign digital signature system for paperless operation. In 2017 Interna- tional Conference on Communication and Signal Processing (ICCSP), pages 0324–0328, April 2017. doi : 10.1109/ICCSP.2017.8286370.
[3] E. Rahmawati, M. Listyasari, A. S. Aziz, S. Sukaridhoto, F. A. Damastuti, M. M. Bachtiar, and A. Sudarsono. Digital signature on file using biometric fingerprint with fingerprint sensor on smartphone. In 2017 International Electronics Symposium on Engineering Technology and Applications (IES-ETA), pages 234–238, Sep. 2017. doi : 10.1109/ELECSYM.2017.8240409.
[4] Emir Mauludi Husni, Bramanto Leksono, and Muhammad Ridho Rosa. Digital signature for contract signing in service commerce. 2015 International Conference on Technology, Informatics, Management, Engineering Environment (TIME-E), pages 111–116, 2015.
[5] Cláudio Pereira, Luís Barbosa, José Martins, and Jorge Borges. Digital signature solution for document management systems - the university of trás-os-montes and alto douro. In Trends and Advances in Information Systems and Technologies - Volume 2 [WorldCIST’18, Naples, Italy, March 27-29, 2018], pages 16–25, 2018. doi : 10.1007/ 978-3-319-77712-2\_2. URLhttps://doi.org/10.1007/978-3-319-77712-2_2. [6] I. F. A. Shaikhli, A. M. Zeki, R. H. Makarim, and A. K. Pathan. Protection of inte-
grity and ownership of pdf documents using invisible signature. In 2012 UKSim 14th International Conference on Computer Modelling and Simulation, pages 533–537, March 2012. doi : 10.1109/UKSim.2012.81.
[7] Je-Gyeong Jo, Jong-Won Seo, and Hyung-Woo Lee. Biometric digital signature key generation and cryptography communication based on fingerprint. volume 4613, pages 38–49, 08 2007. doi : 10.1007/978-3-540-73814-5_4.
[8] Shivangi Saxena and Darpan Anand. A novel digital signature algorithm based on biometric hash. International Journal of Computer Network and Information Security, 9 :12–19, 01 2017. doi : 10.5815/ijcnis.2017.01.02.
[9] Deep Mann, Shashank Gupta, Ankit Sharma, and Shakil Akhtar. Digital signature using biometrics. 2015.
[10] Ahmed Elmadani. Trusted document signing based on use of biometric (face) keys. ijcsdf, 1, 01 2012.
[11] Mohammad ziaullah . Image feature based authentication and digital signature for wireless data transmission. 01 2016. doi : 10.1109/ICCCI.2016.7480009.
[12] Ronald L Rivest, Adi Shamir, and Leonard Adleman. A method for obtaining digital signatures and public-key cryptosystems. Communications of the ACM, 21 (2) :120–126, 1978.
[13] Taher ElGamal. A public key cryptosystem and a signature scheme based on dis- crete logarithms. In George Robert Blakley and David Chaum, editors, Advances in Cryptology, pages 10–18, Berlin, Heidelberg, 1985. Springer Berlin Heidelberg. ISBN 978-3-540-39568-3.
[14] David Pointcheval. Le chiffrement asymétrique et la sécurité prouvée, 2002. [15] Kiramat. Comparison of various encryption algorithms for securing data. 01 2019.
doi : 10.31224/osf.io/xzv56.
[16] J. Buchmann. Introduction à la cryptographie : cours et exercices corrigés ; [licence 3, master 1, écoles d’ingénieurs]. Sciences sup. Dunod, 2006. ISBN 9782100496228. URLhttps://books.google.ca/books?id=Zg9HAAAACAAJ.
[17] Aquino Valentim Mota, Sami Azam, Bharanidharan Shanmugam, Kheng Cher Yeo, and Krishnan Kannoorpatti. Comparative analysis of different techniques of encryption for secured data transmission. pages 231–237, 2017.
[18] Ali Maetouq, Salwani Mohd, Noor Azurati, Nurazean Maarop, Nilam Nur, and Hafiza Abas. Comparison of hash function algorithms against attacks : A review. International Journal of Advanced Computer Science and Applications, 9, 01 2018. doi : 10.14569/IJACSA.2018.090813.
[19] Fido2 : Moving the world beyond passwords using webauthn and ctap. URL https://fidoalliance.org/fido2/.
[20] Walker Luke. Fido2 functional overview, deep dive into data flows, attestation, and passwordless authentication. 2018.
[21] Hubert Le Van Gong Angelo Liao Vijay Bharadwaj, Arnar Birgisson. Web au- thentication : An api for accessing public key credentials level 2, 2019. URL https://w3c.github.io/webauthn/.
[22] Jean-François Blanchette. La conservation de la signature électronique : Perspectives archivistiques. 09 2004.
[23] M. Richard. L’administration numérique. 2018.
[24] Cryptolog Internationa. Signature électronique sur tablette : équiper ses commerciaux pour vendre plus et mieux. Feb 2013.
[25] Jean-Luc Parouty, Roland Dirlewanger, and Dominique Vaufreydaz. La signature électronique, contexte, applications et mise en oeuvre. 11 2003.
[26] The 24 best apps to digitally sign, scan and fax documents. 04 2015. URLhttps: //zapier.com/blog/best-digital-signature-apps/.
[27] Verena Hausmann and Susan P. Williams. Social business documents. Proce- dia Computer Science, 64 :360 – 368, 2015. ISSN 1877-0509. doi : https://doi. org/10.1016/j.procs.2015.08.500. URLhttp://www.sciencedirect.com/science/ article/pii/S1877050915026356. Conference on ENTERprise Information Sys- tems/International Conference on Project MANagement/Conference on Health and Social Care Information Systems and Technologies, CENTERIS/ProjMAN / HCist 2015 October 7-9, 2015.
[28] Sandra-Dinora Orantes-Jiménez, Alejandro Zavala-Galindo, and Graciela Vázquez-Álvarez. Paperless office : A new proposal for organizations. 2015. [29] B. T. Kabulov, N. B. Tashpulatova, and G. Ikramova. Digital graphical signature.
In 2011 5th International Conference on Application of Information and Communication Technologies (AICT), pages 1–3, Oct 2011. doi : 10.1109/ICAICT.2011.6110906. [30] Hervé Chabanne, Julien Keuffer, and Emmanuel Prouff. Outsourcing signatures
International Conference, CRiSIS 2018, Arcachon, France, October 16-18, 2018, Revi- sed Selected Papers, pages 41–47, 2018. doi : 10.1007/978-3-030-12143-3\_4. URL https://doi.org/10.1007/978-3-030-12143-3_4.
[31] Hartwig Mayer. zk-snark explained : Basic principles. 12 2016. doi : 10.13140/RG. 2.2.20887.68007.
[32] Maykin Warasart and Pramote Kuacharoen. Paper-based document authentica- tion using digital signature and qr code. 2012.
[33] Virginio Cantoni, Dimo Dimov, and Massimo Tistarelli. Biometric Authentication : First International Workshop, BIOMET 2014, Sofia, Bulgaria, June 23-24, 2014. Revised Selected Papers, volume 8897. Springer, 2014.
[34] J. Daugman. How iris recognition works. IEEE Transactions on Circuits and Systems for Video Technology, 14(1) :21–30, Jan 2004. ISSN 1558-2205. doi : 10.1109/TCSVT. 2003.818350.
[35] Maria Frucci, Michele Nappi, Daniel Riccio, and Gabriella Sanniti di Baja. Using the watershed transform for iris detection. 09 2013. doi : 10.1007/ 978-3-642-41181-7_28.
[36] Chiarella Sforza, Gaia Grandi, Miriam Binelli, Davide Tommasi, Riccardo Rosati, and Virgilio Ferrario. Age- and sex-related changes in normal human ear. Forensic science international, 187 :110.e1–7, 05 2009. doi : 10.1016/j.forsciint.2009.02.019. [37] Hui Chen and Bir Bhanu. Contour matching for 3d ear recognition. pages 123–128,
01 2005. doi : 10.1109/ACVMOT.2005.38.
[38] Anis Chaari. Nouvelle approche d’identification dans les bases de données biométriques basée sur une classification non supervisée. (Novel identification approach within bio- metric databases based on unsupervised classification). PhD thesis, University of Évry Val d’Essonne, France, 2009. URL https://tel.archives-ouvertes.fr/ tel-00549395.
[39] V. Agarwal, A. Sahai, A. Gupta, and N. Jain. Human identification and verifica- tion based on signature, fingerprint and iris integration. In 2017 6th International Conference on Reliability, Infocom Technologies and Optimization (Trends and Future Di- rections) (ICRITO), pages 456–461, Sep. 2017. doi : 10.1109/ICRITO.2017.8342470.
[40] B. Kar, B. Kartik, and P. K. Dutta. Speech and face biometric for person authentica- tion. In 2006 IEEE International Conference on Industrial Technology, pages 391–396, Dec 2006. doi : 10.1109/ICIT.2006.372389.
[41] Debnath Bhattacharyya, Rahul Ranjan, Farkhod Alisherov, Minkyu Choi, et al. Biometric authentication : A review. International Journal of u-and e-Service, Science and Technology, 2(3) :13–28, 2009.
[42] Fujitsu Technology Solutions GmbH. Fujitsu palmsecure, the solution for user- friendly and reliable authentication more secure than the competition.
[43] Sanjay G Kanade, Dijana Petrovska-Delacrétaz, and Bernadette Dorizzi. Enhan- cing information security and privacy by combining biometrics with cryptogra- phy. Synthesis Lectures on Information Security, Privacy, and Trust, 3(1) :1–140, 2012. [44] Stanislas Quastana. Introduction to the windows biometric framework (wbf). 12
2008.
[45] Youn Lee, Kang Park, Sung Lee, Kwanghyuk Bae, and Jaihie Kim. A new method for generating an invariant iris private key based on the fuzzy vault system. Sys- tems, Man, and Cybernetics, Part B : Cybernetics, IEEE Transactions on, 38 :1302 – 1313, 11 2008. doi : 10.1109/TSMCB.2008.927261.
[46] W. Sheng, G. Howells, M. Fairhurst, and F. Deravi. Template-free biometric-key generation by means of fuzzy genetic clustering. IEEE Transactions on Information Forensics and Security, 3(2) :183–191, June 2008. ISSN 1556-6021. doi : 10.1109/TIFS. 2008.922056.
[47] Lucas Ballard, Seny Kamara, and Michael Reiter. The practical subtleties of bio- metric key generation. pages 61–74, 01 2008.
[48] K. Nandakumar, A. K. Jain, and S. Pankanti. Fingerprint-based fuzzy vault : Imple- mentation and performance. IEEE Transactions on Information Forensics and Security, 2(4) :744–757, Dec 2007. ISSN 1556-6021. doi : 10.1109/TIFS.2007.908165.
[49] Yuriy Ackermann Adam Powers. Server requirements and transport binding pro- file. 07 2018.
[50] Jakob Michael B. Jones Akshay Kumar Rolf Lindemann Adam Powers Johan Ver- rept Christiaan Brand, Alexei Czeskis. Client to authenticator protocol (ctap). 07 2018.
[51] FIDO Alliance. Fido alliance certification overview - uaf, u2f and fido2 certifica- tion. URLhttps://fidoalliance.org/certification/.
[52] Raymond Picard. Cadre juridique des technologies de l’information au québec. 09 2013. URLhttps://www.avocat.qc.ca/affaires/iicadre-ti-quebec.htm. [53] CAI. Encadrement juridique des dispositifs biométriques au québec | commission
d’accès à l’information du québec. 2015. URL https://www.cai.gouv.qc.ca/ encadrement-juridique-des-dispositifs-biometriques-au-quebec/.