Signature électronique 3.0
Le futur est déjà présent
Petit-déjeuner débat
du 29 janvier 2014
Introduction
Contexte – Le déploiement
Enjeux – Les nouvelles formes de signature
Défi – La conformité
PLAN
1. Etat des lieux, par Dimitri
Mouton, Société Demaeter
2. Choisir la bonne signature … si c’est possible
3. Déployer sans risque … sous réserve de l’appréciation
souveraine des tribunaux
1. Etat des lieux, Dimitri Mouton, Demaeter
1. Un beau fouillis…
2. Les fondamentaux
3. Les tendances
1.1 LE FOUILLIS…
PKI
Signature électronique
Authentification
Clef privée Clef publique
Engagement IGC RSA
2048 bits RGS
Certificat
AC
Classe 3+
2 étoiles
Présomption de fiabilité
Tablette Signature sécurisée
Signature avancée
Certificat qualifié Convention de preuve
Code PIN
Authentification forte SMS
Usurpation d’identité
CRL Horodatage
OCSP
X.509 V3
Autorité d’Enregistrement
PSCE
PSCO RFC 3161
COFRAC
ANSSI Politique de Signature Electronique
PAdES
PDF /A
XAdES
PKCS#7 PKCS#12
Loi du 13 mars 2000
Décret du 30 mars 2001 Règlement européen
CMS
Signature détachée Applet java
Propre au signataire Contrôle exclusif
SSCD
Révocation SHA256
Délégation
Parapheur A la volée
OTP Intégrité
Non-répudiation
Garantie de provenance Traçabilité
Prestataire qualifié
Force probante
Alice et Bob
Mais les usages sont là …
Marchés publics
Contrats B to B Immatriculations
Déclarations sociales
Commerce en ligne
Contrats grand public en agence
Actes notariés
PV électroniques
Attestations de conformité
Diplômes Actes - Contrôle de légalité Délibérations
Hélios - Comptabilité publique
Déclarations de travaux Réseaux et canalisations
Banque en ligne
Démarches administratives
Réseau Privé Virtuel des Avocats
Réseau Privé Virtuel de la Justice Tribunal de Commerce électronique
Actes authentiques
Expertise comptable Chronotachygraphe
Contrats de travail Emargements
Feuille de soins électronique
Factures
Délégation de pouvoirs bancaires Lettre recommandée électronique
Vote électronique
Les typologies…
Signature scannée
Signature manuscrite sur tablette
Signature électronique
« à la volée »
Signature électronique
Avec ou sans accréditation
Avec ou sans legal opinion Avec ou
sans étoiles
Les composantes d’un service dématérialisé
Dont la signature électronique
1.2 LES FONDAMENTAUX
La signature électronique : Définition pratique
La signature électronique est une signature…
… Qui porte sur un document de nature électronique.
L’encre marque le papier La cryptographie garantit un lien entre le signataire et le document
A quoi sert un certificat
• Le certificat est une « carte d’identité » délivrée par une
« Autorité de Certification » ou « Prestataire de Services de Certification
Électronique »
• Il peut servir à :
– s’authentifier (contrôle d’accès)
– signer (signature électronique, cachet, horodatage)
– chiffrer (confidentialité)
La PKI
• PKI (Public Key Infrastructure), aussi appelée Infrastructure à clef publique (ICP) ou Infrastructure de Gestion de Clefs (IGC) :
L’ensemble des moyens techniques et humains mis en œuvre pour la délivrance de certificats
• Autorité de Certification (AC) : responsable de la PKI – Édicte les règles (Politique de Certification)
– Est garante de leur respect
• Autorité d’Enregistrement (AE) : procède à l’enregistrement des porteurs
• Opérateur de Certification (OC) : exploite les machines
• Autorité de Révocation, Autorité de Validation : rôles complémentaires.
Le cycle de vie du certificat
• Calcul technique :
– Empreinte du document – Scellement par la clef privée
• Ajout d’éléments complémentaires :
– Le certificat du signataire et la chaîne de certification correspondante – Un jeton d’horodatage
– Une preuve de validité du certificat (LCR ou OCSP)
Cinématique de la signature
Cinématique de la vérification
• Calcul technique :
– Empreinte du document
– Epreinte initialement scellée
– Comparaison des deux valeurs
Validité du certificat
Le document a bien été signé par le porteur du certificat…
Mais qui est-ce ?
• Vérifier la validité technique du certificat.
– S’il est invalide ALERTE !
• Examiner l’émetteur du certificat : – Si je n’ai pas confiance en cette AC
ALERTE !
– Si j’ai confiance en cette AC :
• Comparer la date de la signature aux dates de validité du certificat
• Vérifier la Liste des Certificats Révoqués
• Si tout est bon : le nom contenu dans le certificat est celui du signataire.
Mais ce signataire avait-il le droit de signer ?
Le document signé est-il correct sur la forme ? Sur le fond ?
La vérification se poursuit sur le plan juridique !
Exemple : affichage de signature par
Adobe Reader
Les formats de signatures
• AdES = Advanced Electronic Signature
• 3 formats :
– PAdES = format PDF
– CAdES = format CMS / PKCS#7 – XAdES = format XML
• Le choix est à faire en fonction des contraintes du projet
• Tous permettent d’inclure les mêmes éléments :
Les « niveaux de certificats »
• Le niveau de sécurité offert par un certificat dépend : – Des procédures d’enregistrement
– Du « support » du certificat (matériel / logiciel) – Des engagements de l’Autorité de Certification
• Les niveaux du RGS répondent à des réalités juridiques :
* Enregistrement à distance Support logiciel
Signature électronique
« simple »
** Enregistrement en face à face Support matériel
Signature électronique
« sécurisée »
*** Enregistrement en face à face Support matériel sécurisé
Certificat qualifié
Signature électronique
« présumée fiable »
Les principes de la confiance
• La confiance est un sentiment de sécurité
• Elle doit s’accompagner de la prudence !
Chaîne de confiance faible : Chaîne de confiance forte :
1.3 LES TENDANCES
La signature électronique « autonome »
• Le signataire a acheté son certificat auprès d’une AC du marché
• Il dispose sur son poste d’un outil de signature électronique
• Il réalise ses signatures sur son poste, de
manière autonome
La signature électronique par applet
• Le signataire a acheté un certificat auprès
d’une AC du marché
• L’outil de signature est inclus dans le service appelé
• Le signataire réalise
ses signatures sur son
poste, dans le cadre du
service
La signature électronique à la volée
• Le signataire n’a pas de certificat, ni d’outil de signature
électronique
• Le serveur lui
présente le contrat et il donne son accord
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
26
• Le serveur vérifie
l’identité du signataire en lui envoyant un
défi par SMS
La signature électronique à la volée
La signature électronique à la volée
• Le serveur génère une bi-clef de signature
• Il génère un certificat au nom du signataire
• Il utilise la clef privée pour signer le
document
• Puis il détruit la clef privée
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
28
La signature électronique à la volée
• Le document est
signé sur le serveur !
• A la prochaine signature, un
nouveau certificat
sera généré
La « carte à puce virtuelle »
• Le signataire n’a pas d’outil de signature électronique
• Son certificat est
conservé sur le serveur dans un espace
sécurisé (HSM)
• Le serveur lui présente le contrat et il donne son accord
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
30
• Le serveur vérifie l’identité du
signataire en lui
envoyant un défi par SMS
La « carte à puce virtuelle »
La « carte à puce virtuelle »
• Le document est
signé sur le serveur !
• A la prochaine
signature, le même
certificat sera utilisé
La signature sur tablette
• En agence, le client visualise le contrat
• Il appose sa signature manuscrite sur la tablette
• Une signature
électronique « à la
volée » est réalisée en
plus de la signature
manuscrite
Le cachet électronique
• Les documents sont
produits dans un processus automatisé et envoyés au serveur
• Le serveur dispose d’un certificat, au nom de la personne morale
• Le cachet électronique est une « signature
électronique » de personne morale
• Il peut être apposé
automatiquement
La tendance des tendances… la
« rematérialisation »
Prénom Nom Adresse
Facture de prestations De l’entreprise Tartempion Valant justificatif de domicile
Prestations………123 €
« Prénom Nom Adresse Tartempion 123€ »
Prénom Nom Adresse
Facture de prestations De l’entreprise Tartempion Valant justificatif de domicile
Prestations………123 €
Exploitation du code 2D-DOC
« Prénom Nom Adresse Tartempion 123€ »
Vérification technique Vérification
visuelle
2. Quelle signature électronique choisir ?
1. Le droit de la « démat »
2. L’absence de choix
3. Le choix
2.1 LE DROIT DE LA DEMATERIALISATION
Les prérequis : Le droit de la « démat »
Le papier sauf … Le droit à
l’électronique
Le papier sauf … L’obligation de
dématérialiser Le droit à la
dématérialisation
Loi du 13 mars 2000
Avant 2000 Loi du 21 juin 2004
(LCEN) Loi du 4 août
2008 de modernisation
de l’économie Convention de
preuve
ad
probationem
L’Etat s’oblige a recevoir les factures
dématérialisées
ad validitatem
Ordonnance du 8
décembre 2005
(e-administration)
Oui mais … 3 hypothèses Le prémâché
Ex : Bull. Paie ou DPI L’imposé – Ex : LRe
Le « libre » … pour l’instant
Et même si c’est possible…
« Il n’y a pas que 1316-4 dans la vie … »
« Attendu que l'employeur fait grief à l'arrêt de dire le licenciement sans cause réelle et sérieuse, alors, selon le moyen, que si une partie conteste l'authenticité d'un courrier électronique, il appartient au juge de vérifier si les conditions mises par les articles 1316-1 et 1316-4 du code civil à la validité de l'écrit ou de la signature électroniques sont satisfaites ;
qu'en affirmant que le gérant de la société AGL finances « est bien l'auteur et l'expéditeur » d'un courrier électronique dont l'authenticité était contestée, aux motifs que l'employeur « ne rapport (ait) pas la preuve que l'adresse de l'expéditeur mentionnée sur le courriel soit erronée ou que la boîte d'expédition de la messagerie de l'entreprise ait été détournée » et qu'« en tout état de cause, un tel détournement ne pourrait être imputé à Mme X... », sans vérifier, comme elle y était tenue, si ledit courriel avait été établi et conservé dans des conditions de nature à en garantir l'intégrité et s'il comportait une signature électronique résultant de l'usage d'un procédé fiable d'identification, la cour d'appel a privé sa décision de base légale au regard des articles 287 du code de procédure civile, 1316-1 et 1316-4 du code civil ;
Mais attendu que les dispositions invoquées par le moyen ne sont pas applicables au courrier électronique produit pour faire la preuve d'un fait, dont l'existence peut être établie par tous moyens de preuve, lesquels sont appréciés souverainement par les juges du fond ; que le moyen n'est pas fondé »
Cass Soc 25 sept 2013
Mais rappelons d’emblée que …
• Preuve d’un droit ou preuve d’un fait ?
• Preuve libre ou preuve contrainte – La preuve contrainte = civile
– La preuve libre … +- tout le reste
• Pénal, administratif, prud'homal
La question est donc …
1. En ai-je besoin ? (gestion investissement)
2. Qui peut le plus peut le moins… (gestion de risque)
2.2 L’ABSENCE DE CHOIX …
Un exemple de « non discussion »
Pour que les procédés de signature électronique mis à la disposition des magistrats, des agents du greffe et des personnes habilitées en vertu de l'article R. 123-14 du code de l'organisation judiciaire soient présumés fiables au sens de l'article 2 du décret du 30 mars 2001 susvisé, ils doivent respecter les exigences du référentiel général de sécurité du niveau trois étoiles (***). En outre, la signature doit être sécurisée et être créée par un dispositif sécurisé certifié dans les conditions prévues à l'article 3 du décret précité.
La procédure d'inscription et d'enregistrement des données d'identification et d'habilitation de ces personnes est à l'initiative et sous la responsabilité du ministère de la justice.
Arrêté du 18 octobre 2013 relatif à la signature électronique des décisions de justice rendues en
matière civile par la Cour de cassation
Un autre exemple… moins « violent »
« Les actes des autorités administratives peuvent faire l'objet d'une signature électronique. Celle-ci n'est valablement apposée que par l'usage d'un procédé, conforme aux règles du référentiel général de sécurité mentionné au I de l'article 9, qui permette l'identification du signataire, garantisse le lien de la signature avec l'acte auquel elle s'attache et assure l'intégrité de cet acte. »
Ord. 2005-1516 du 8-12-2005 relative aux échanges électroniques entre les usagers et les autorités administratives (Art 8)
« Les certificats électroniques délivrés aux autorités administratives et à leurs agents en
vue d'assurer leur identification dans le cadre d'un système d'information font l'objet d'une
validation par l'Etat dans des conditions précisées par décret. »
2.3 L’HEURE DU CHOIX !
Une réalité … complexe
• 4 concepts juridiques (Décret du 30 mars 2001) – Simple
– Sécurisée + Numérique – Présumée fiable
• des approches géographiques :
– Avancée (Dir 1999/93/CE du 13 décembre 1999) Sécurisée (Décret du 30 mars 2001)
– Digital signature / Electronic signature
• 3 réalités techniques au moins : – RGS : une étoile (*)
– RGS : deux étoiles (**) – RGS : trois étoiles (***)
3 DEGRÉS DE FIABILITÉ
=
3 SIGNATURES
Lorsque le choix est possible …
Clic
Signature électronique
Signature électronique sécurisée
Signature numérique
Signature électronique présumée fiable
La méthode… de base
Création de la preuve
• Un signataire / des signataires
• Un document / une succession de documents
• Mono canal / Multicanal
• Eloignement géographique
Administration de la preuve
• Produire d’urgence (référé)
• Produire dans des conditions particulières (pénal ; entités de contrôle)
Gestion de la contestation
• La SE présumée fiable – Risque fort de remise en cause de la preuve
• Montant important et risque de sclérose du dossier
• Le montant n’est pas l’élément déterminant (risque fort de remise en cause de contrat en masse de faible montant)
• Attention aux faux espoirs - Expertise technique en perspective
Le choix d’une solution c’est aussi le choix
… d’un prestataire
Pré-requis juridiques
Engagements contractuels
Dispositions légales cf LCEN secteur
public/privé
Le choix d’une solution c’est aussi le choix..
d’un prestataire
Décision
Pré-requis juridiques
&
techniques
Engagements contractuels
Maintien de normes et certifications Couverture
assurantielle