Signature électronique (fr) : Différence entre versions
(→Qu'est-ce que la signature électronique ?) |
(→Procédé technique de la signature) |
||
| Ligne 31 : | Ligne 31 : | ||
==Procédé technique de la signature== | ==Procédé technique de la signature== | ||
| + | Le paradigme de signature électronique (appelé aussi signature numérique) est un procédé permettant de garantir l'authenticité de l'expéditeur (fonction d'authentification) et de vérifier l'intégrité du message reçu. | ||
| + | La signature électronique assure également une fonction de non-répudiation, c'est-à-dire qu'elle permet d'assurer que l'expéditeur a bien envoyé le message (autrement dit elle empêche l'expéditeur de nier avoir expédié le message). | ||
| + | |||
===Qu'est-ce qu'une fonction de hachage ?=== | ===Qu'est-ce qu'une fonction de hachage ?=== | ||
| + | Une fonction de hachage (parfois appelée fonction de condensation) est une fonction permettant d'obtenir un condensé (appelé aussi condensat ou haché ou en anglais message digest) d'un texte, c'est-à-dire une suite de caractères assez courte représentant le texte qu'il condense. La fonction de hachage doit être telle qu'elle associe un et un seul haché à un texte en clair (cela signifie que la moindre modification du document entraîne la modification de son haché). D'autre part, il doit s'agir d'une fonction à sens unique (one-way function) afin qu'il soit impossible de retrouver le message original à partir du condensé. S’il existe un moyen de retrouver le message en clair à partir du haché, la fonction de hachage est dite « à brèche secrète ». | ||
| + | Ainsi, le haché représente en quelque sorte l'empreinte digitale (en anglais finger print) du document. | ||
| + | Les algorithmes de hachage les plus utilisés actuellement sont : | ||
| + | • MD5 (MD signifiant Message Digest). documents en téléchargement sur Internet accompagnés d'un fichier MD5, il s'agit Développé par Rivest en 1991, MD5 crée une empreinte digitale de 128 bits à partir d'un texte de taille arbitraire en le traitant par blocs de 512 bits. | ||
| + | • SHA (pour Secure Hash Algorithm, pouvant être traduit par Algorithme de hachage sécurisé) crée des empreintes d'une longueur de 160 bits | ||
| + | |||
===Vérification d'intégrité=== | ===Vérification d'intégrité=== | ||
| + | En expédiant un message accompagné de son haché, il est possible de garantir l'intégrité d'un message, c'est-à-dire que le destinataire peut vérifier que le message n'a pas été altéré (intentionnellement ou de manière fortuite) durant la communication. | ||
| + | Lors de la réception du message, il suffit au destinataire de calculer le haché du message reçu et de le comparer avec le haché accompagnant le document. Si le message (ou le haché) a été falsifié durant la communication, les deux empreintes ne correspondront pas. | ||
| + | |||
===Le scellement des données=== | ===Le scellement des données=== | ||
| + | L'utilisation d'une fonction de hachage permet de vérifier que l'empreinte correspond bien au message reçu, mais rien ne prouve que le message a bien été envoyé par celui que l'on croit être l'expéditeur. | ||
| + | Ainsi, pour garantir l'authentification du message, il suffit à l'expéditeur de chiffrer (on dit généralement signer) le condensé à l'aide de sa clé privée (le haché signé est appelé sceau) et d'envoyer le sceau au destinataire. | ||
| + | A réception du message, il suffit au destinataire de déchiffrer le sceau avec la clé publique de l'expéditeur, puis de comparer le haché obtenu avec la fonction de hachage au haché reçu en pièce jointe. Ce mécanisme de création de sceau est appelé scellement. | ||
| + | |||
==De la signature à la certification== | ==De la signature à la certification== | ||
=Cadre juridique= | =Cadre juridique= | ||
Version du 9 juin 2009 à 23:18
Cet article est une ébauche relative au droit français, vous pouvez partager vos connaissances juridiques en le modifiant, vous pouvez également faire une recherche dans le moteur...'
|
France > Droit civil (fr) > Preuve civile (fr) > Comment prouver ?(fr)
Sommaire
- 1 Problématique
- 2 Caractéristiques de la signature électronique
- 3 Cadre juridique
- 4 Conclusion
Problématique
Le développement rapide de la société de l'information est l'occasion d'un déploiement important de mesures techniques visant à rencontrer les exigences de sécurité juridique d'une telle société. Conscients des risques induits par des échanges non sécurisés au sein des réseaux électroniques, et désireux de stimuler la confiance dans le commerce électronique, les pouvoirs publics ont graduellement mis en place les conditions de mise en oeuvre de la signature électronique.
Le besoin de sécurité lié au commerce
Une des applications les plus répandues du commerce électronique est certainement la conclusion et l'exécution de véritables transactions juridiquement contraignantes sur un réseau ouvert comme Internet. De telles transactions peuvent se nouer entre entreprises (business to business ou B2B) ou entre entreprises et consommateurs (business to consumers ou B2C). Mais l'on trouve également un commerce électronique entre particuliers (private to private [P2P] ou consumer to consumer [C2C]).
Les caractéristiques suivantes
1. Automatisation des manifestations de volonté, en ce sens que l'ordre de commande ou son acceptation peut être transmis automatiquement sans qu'une personne physique confirme à chaque fois manuellement la volonté d'être lié contractuellement en visualisant les commandes à l'écran. 2. Dématérialisation du support d'expression des volontés, puisque le contenu de l'accord n'est pas couché sur papier, ni, a fortiori, signé à la main.
Dans cet article, nous nous concentrerons sur quelques caractéristiques juridiques de la signature à travers une visite de ses caractéristiques dans un premier temps et dans un second temps en revisitant son cadre juridique.
Caractéristiques de la signature électronique
Qu'est-ce que la signature électronique ?
Le développement du commerce électronique est subordonné à l'existence de garanties sur la sécurité des transmissions de données et des paiements en ligne. Grâce à un système de chiffrement appliqué au message transmis, sans que ce dernier soit nécessairement lui-même chiffré, la signature électronique constitue une réponse au problème, car elle garantit l'authenticité et l'intégrité des données, ainsi que l'identité du signataire. Si la confidentialité est requise, il faut chiffrer le contenu du message. De façon générale, le chiffrement consiste à rendre le texte d'un message illisible pour qui ne détient pas la clé de déchiffrement. Dans les systèmes de chiffrement symétriques, une seule clé sert à la fois à chiffrer et à déchiffrer les données. Elle doit être gardée secrète par les parties intéressées pour que la sécurité de l'information soit garantie. L'inconvénient principal réside dans le fait que l'expéditeur et le destinataire doivent convenir à l'avance de la clé et doivent disposer d'un canal sûr pour l'échanger. C'est pourquoi les systèmes de signature électronique qui se développent depuis quelques années reposent sur des algorithmes de chiffrement asymétriques, où, de plus, chaque utilisateur dispose de deux clés, une clé publique et une clé privée. Ces deux clés sont elles-mêmes créées à l'aide d'algorithmes mathématiques. Elles sont associées l'une à l'autre de façon unique et sont propres à un utilisateur donné. Un message chiffré à l'aide d'un algorithme asymétrique et d'une clé privée, qui constitue l'un des paramètres de l'algorithme, ne peut être déchiffré qu'avec la clé publique correspondante, et inversement. La clé publique doit donc être connue de tous, tandis que la clé privée reste secrète, la carte à puce semblant être le meilleur support de stockage des clés privées. Lorsque l'algorithme de chiffrement asymétrique est utilisé seulement pour créer la signature électronique, les mêmes clés, privée et publique, sont utilisées, mais seulement pour vérifier l'authenticité et l'intégrité du message. Ces signatures électroniques, obtenues par l'application d'algorithmes asymétriques, sont parfois qualifiées de numériques ou de " digitales ", par opposition aux signatures électroniques créées au moyen d'autres dispositifs. Selon la Commission des Nations Unies pour le droit commercial international, une signature numérique est " une valeur numérique apposée à un message de données et qui, grâce à une procédure mathématique bien connue associée à la clé cryptographique privée de l'expéditeur, permet de déterminer que cette valeur numérique a été créée à partir de la clé cryptographique privée de l'expéditeur. Les procédures mathématiques utilisées pour créer les signatures numériques sont fondées sur le chiffrement de la clé publique. Appliquées à un message de données, ces procédures mathématiques opèrent une transformation du message de telle sorte qu'une personne disposant du message initial et de la clé publique de l'expéditeur peut déterminer avec exactitude : a) si la transformation a été opérée à l'aide de la clé privée correspondant à celle de l'expéditeur ; et b) si le message initial a été altéré une fois sa transformation opérée (...) "
L'identification du signataire
L'identification du signataire passe par un signe, qui, comme le remarque Isabelle Dauriac, doit émaner du signataire et être distinctif. D'une part, ce signe permet au signataire de se faire connaître, et d'autre part, il lui permet d'être reconnu. Cette reconnaissance est fonction de la capacité de celui qui aura à interpréter ce signe et à en tirer les conséquences. Bien entendu, l'identification ne passe pas obligatoirement par le nom et le prénom: tout autre signe remplissant les conditions ci-dessus est susceptible de remplir les fonctions d'identification assurées par la signature.
La manifestation du consentement du signataire
La signature atteste la volonté du signataire de donner son approbation finale aux dispositions contenues dans l'acte11. Le texte de l'article 1316-4 établit le lien formel entre l'acte et la signature de l'acte. Ce lien est réalisé par l'apposition de la signature. Lorsqu'elle est électronique, le législateur a pris la peine d'expliciter la manière dont cette apposition doit être formalisée. C'est par l'utilisation d'un «!procédé fiable … garantissant [le lien de la signature électronique] avec l'acte auquel elle s'attache!»
Procédé technique de la signature
Le paradigme de signature électronique (appelé aussi signature numérique) est un procédé permettant de garantir l'authenticité de l'expéditeur (fonction d'authentification) et de vérifier l'intégrité du message reçu. La signature électronique assure également une fonction de non-répudiation, c'est-à-dire qu'elle permet d'assurer que l'expéditeur a bien envoyé le message (autrement dit elle empêche l'expéditeur de nier avoir expédié le message).
Qu'est-ce qu'une fonction de hachage ?
Une fonction de hachage (parfois appelée fonction de condensation) est une fonction permettant d'obtenir un condensé (appelé aussi condensat ou haché ou en anglais message digest) d'un texte, c'est-à-dire une suite de caractères assez courte représentant le texte qu'il condense. La fonction de hachage doit être telle qu'elle associe un et un seul haché à un texte en clair (cela signifie que la moindre modification du document entraîne la modification de son haché). D'autre part, il doit s'agir d'une fonction à sens unique (one-way function) afin qu'il soit impossible de retrouver le message original à partir du condensé. S’il existe un moyen de retrouver le message en clair à partir du haché, la fonction de hachage est dite « à brèche secrète ». Ainsi, le haché représente en quelque sorte l'empreinte digitale (en anglais finger print) du document. Les algorithmes de hachage les plus utilisés actuellement sont : • MD5 (MD signifiant Message Digest). documents en téléchargement sur Internet accompagnés d'un fichier MD5, il s'agit Développé par Rivest en 1991, MD5 crée une empreinte digitale de 128 bits à partir d'un texte de taille arbitraire en le traitant par blocs de 512 bits. • SHA (pour Secure Hash Algorithm, pouvant être traduit par Algorithme de hachage sécurisé) crée des empreintes d'une longueur de 160 bits
Vérification d'intégrité
En expédiant un message accompagné de son haché, il est possible de garantir l'intégrité d'un message, c'est-à-dire que le destinataire peut vérifier que le message n'a pas été altéré (intentionnellement ou de manière fortuite) durant la communication. Lors de la réception du message, il suffit au destinataire de calculer le haché du message reçu et de le comparer avec le haché accompagnant le document. Si le message (ou le haché) a été falsifié durant la communication, les deux empreintes ne correspondront pas.
Le scellement des données
L'utilisation d'une fonction de hachage permet de vérifier que l'empreinte correspond bien au message reçu, mais rien ne prouve que le message a bien été envoyé par celui que l'on croit être l'expéditeur. Ainsi, pour garantir l'authentification du message, il suffit à l'expéditeur de chiffrer (on dit généralement signer) le condensé à l'aide de sa clé privée (le haché signé est appelé sceau) et d'envoyer le sceau au destinataire. A réception du message, il suffit au destinataire de déchiffrer le sceau avec la clé publique de l'expéditeur, puis de comparer le haché obtenu avec la fonction de hachage au haché reçu en pièce jointe. Ce mécanisme de création de sceau est appelé scellement.
De la signature à la certification
Cadre juridique
Des sources juridiques internationales
Le cadre européen
La reconnaissance juridique de la signature électronique
Les effets juridiques de la signature électronique
Les conditions de validité de la signature électronique
Les certificats
Les tiers de certification
Le dispositif de création de la signature électronique
La transposition française
La modification du code civil
Effet juridiques de la signature électronique
La signature électronique simple
La signature électronique présumée fiable
Spécifications techniques
Conclusion
- Trouver la notion "Signature électronique" dans l'internet juridique français
- Loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique
