Utilisateur:OlivierAlp/Brouillon

La signature électronique est également appelée signature numérique. Elle s'applique à des documents électroniques, au même titre que la signature manuscrite pour les documents papiers. L’utilisation de la signature électronique permet d'authentifier le signataire et de garanti l'intégrité d'un document. Elle peut s’obtenir à l’aide de deux techniques, le chiffrement ou le hachage.

Le mécanisme de base de la signature électronique

A faire par Melissa

La signature électronique est étroitement liée aux technologies de cryptographie symétrique ( aussi appelé cryptographie à clé publique) ou cryptographie asymétrique.

la cryptographie symétrique

la cryptographie asymétrique

les fonctions de hachage

Les différents niveaux de signature électronique

la signature électronique simple ou basique (SES)

Ce type de signature n'est pas défini au niveau de l'eIDAS. Le terme de "signature électronique simple", regroupe l'ensemble des systèmes de signature électronique qui n'ont pas les niveaux avancés ou qualifiés. C'est la procédure actuellement la plus utilisée et correspond au premier stade de sécurité et de reconnaissance légale de la signature d’un document.

Au niveau sécurité, elle n'a pas de contraintes spécifiques établies.

Elle est utilisé pour des actes courants ou comportant des risques juridiques ou financiers limités.

la signature électronique avancée ou numérique (SEA)

Cette signature répond à 4 exigences selon le règlement eIDAS qui permettent d'assurer que le signataire ne peut être que celui à qui la signature a été demandée, tout en garantissant l'intégrité des documents.

Ces 4 exigences sont:

• être liée au signataire de manière univoque;
• permettre d’identifier le signataire;
• avoir été créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif; et
• être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable^[1].

Ces éléments peuvent se traduire par des systèmes comme le téléchargement puis la vérification de la pièce d’identité du signataire et son ajout au dossier de preuves.

la signature électronique avancée ou numérique qualifiée (SEQ)

Elle est réglementairement reconnue dans tous les Etats membres de l’Union Européenne. Cette signature réponds aux mêmes critères de sécurité que la signature avancée mais nécessite que l’identité du signataire soit validée en amont et que la clé de signature se trouve dans un dispositif qualifié de création de signature électronique (QSCD). Des exigences supplementaires sont nécessaire pour la réalisation de ce type de signature.

• Les dispositifs de création de signature électronique qualifiés garantissent au moins, par des moyens techniques et des procédures appropriés, que:

• la confidentialité des données de création de signature électronique utilisées pour créer la signature électronique est suffisamment assurée;
• les données de création de signature électronique utilisées pour créer la signature électronique ne peuvent être pratiquement établies qu’une seule fois;

• l’on peut avoir l’assurance suffisante que les données de création de signature électronique utilisées pour créer la signature électronique ne peuvent être trouvées par déduction et que la signature électronique est protégée de manière fiable contre toute falsification par les moyens techniques actuellement disponibles;

• les données de création de signature électronique utilisées pour créer la signature électronique peuvent être protégées de manière fiable par le signataire légitime contre leur utilisation par d’autres.

• Les dispositifs de création de signature électronique qualifiés ne modifient pas les données à signer et n’empêchent pas la présentation de ces données au signataire avant la signature.

• La génération ou la gestion de données de création de signature électronique pour le compte du signataire peut être seulement confiée à un prestataire de services de confiance qualifié.

• Sans préjudice du paragraphe 1, point d), un prestataire de services de confiance qualifié gérant des données de création de signature électronique pour le compte d’un signataire ne peut reproduire les données de création de signature électronique qu’à des fins de sauvegarde, sous réserve du respect des exigences suivantes:

• le niveau de sécurité des ensembles de données reproduits doit être équivalent à celui des ensembles de données d’origine;

• le nombre d’ensembles de données reproduits n’excède pas le minimum nécessaire pour assurer la continuité du service^[2].

Les certificats

A faire par Olivier

Les types de certificats

On distingue plusieurs types de certificats selon l’usage qu’il est en fait:

• Certificat de chiffrement

• Certificat de signature: Utilisé pour signer des données, on peut en distinguer deux sortes:

• Certificat de signature des clés
• Certificat de signature de documents

• Certificat d’horodatage

• Certificat d’authentification

Les supports de certificats

Les certificats numériques se présentent sous la forme de fichiers informatiques. La clé privée qui leur est associée doit absolument être protégée dans un support sécurisé.

Les différents supports utilisés pour ces certificats sont:

• Les HSM (Hardware Security Module)

• Carte à puce

• Token PKI USB, calculette

• Puce TPM (Trusted Platform Module)

Les différents formats de signature

A faire par Olivier

Les signatures électroniques doivent respecter des formats définis par les rticles 1 et 2 de la décision d'exécution (UE) 2015/1506 de la Commission du 8 septembre 2015^[3].

Format de signature électronique XAdES

XAdES (XML Advanced Electronic Signatures) est une norme améliorant la norme XML-Dsig (XML Digital Signature). Avec le format XAdES, les informations relatives à la signature (identité, date…) sont dans le fichier .xml qui est généré (signature « enveloppée »).

Format de signature électronique CAdES

CAdES (CMS Advanced Electronic Signature) est une norme qui permet la signature « enveloppée » ou « détachée ».

Format de signature électronique PAdES

PAdES (PDF Advanced Electronic Signatures) est une norme pour laquelle la signature peut être identifiable dans le fichier et visible.

La sécurité / vulnérabilité

A faire par Melissa

Différentes failles de sécurité découvertes au niveau de la fonction de hachage, permettant de reproduire des signatures.

Le cadre légal en 2020

A faire par Melissa

L'évolution de cadre légal depuis 1999

Le cadre légal de la signature électronique a dû s’adapter en fonction du développement du commerce électronique. Nous allons retracer ces évolutions à travers les dates importantes :

1999 - directive européenne 1999/93/CE^[4]

Cette directive européenne est appliqué dès janvier 2000 et reconnait que la signature électronique à la même valeur que la signature manuscrite.

Mais elle est rapidement jugée insuffisante.Des différences dans la transposition de cette directive ainsi que dans les choix techniques effectués par les États membres n’ont pas permis l’émergence d’un socle commun d’interopérabilité nécessaire au développement des échanges transfrontaliers^[5].

2000 - La loi n°2000-230 du 13 mars 2000^[6]

Cette loi reprend la directive européenne 1999/93/CE et donne une reconnaissance juridique à la signature électronique et encadre les éventuels conflits de preuves^[7].

L’article 1316-4 du code civil est créé par cette loi^[8].

2001 - Le décret n°2001-272 du 30 mars 2001^[9]

Le décret n°2001-272 du 30 mars 2001 permet de poser le cadre d’une signature électronique sécurisée, et de sa fiabilité présumée^[10].

2002 - Le décret n°2002-535 du 18 avril 2002^[11]

Le décret n°2002-535 du 18 avril 2002 apporte des précisions sur l’obtention du certificat électronique qualifié. Les prestataires souhaitant être accrédités pour pouvoir délivrer des certificats valides doivent demander une agrégation, donnée par le Comité français d’accréditation (COFRAC).

2004 et 2005 - La loi du 21 juin 2004^[12] et Ordonnance du 16 juin 2005^[13]

La loi du 21 juin 2004 et l’Ordonnance du 16 juin 2005 viennent ensuite étendre le cadre juridique de la signature électronique sur la validité de tout document électronique. Ainsi, les contrats électroniques deviennent valables juridiquement.

2009 - Le décret 2009-834 du 7 juillet 2009 – Création ANSSI^[14]

Ce décret crée l’Agence nationale de la sécurité des systèmes d'information (ANSSI) sous la forme d’un service à compétence nationale^[15]. Il est, en France, l’organe de contrôle chargé de qualifier les prestataires de services de confiance, et l’organisme responsable de l’établissement, la tenue à jour et la publication de la liste de confiance^[16].

2016 - Règlementation eIDAS (règlement n°910/2014)^[17]

Deuxième date très importante dans l’histoire de la signature électronique : le 1er juillet 2016 avec l’eIDAS ( Electronic IDentification Authentication and trust Services.

Avant cette date, chaque états Européens avait leurs réglementations qui avait évoluer depuis 2000 concernant la signature électronique, sans toutefois suivre un consensus.

EIDAS est un règlement de l'UE sur l'identification électronique et les services de confiance pour les transactions électroniques au sein de l'Union Européenne.

C'est un ensemble de normes pour l'identification électronique et les services de confiance pour les transactions électroniques dans l'Union Européenne. Il a été établi dans le règlement de l'UE n° 910/2014 du 23 juillet 2014 sur l'identification électronique et abroge la directive 1999/93/CE ^[18].

Référence

Bibliographie

Livres et articles

Dimitri Mouton, Sécurité de la dématérialisation: De la signature électronique au coffre-fort numérique, une démarche de mise en œuvre, Eyrolles, 2012 (présentation en ligne), p. 161-210

Thierry Oble-Laffaire et Laurent Bellefin, Sécuriser ses échanges électroniques avec une PKI; Solutions techniques et aspects juridiques, Eyrolles, 2002 (présentation en ligne)

Arnaud-F Fausse, La signature électronique: Transaction et confiance sur Internet, Dunod, 2001 (présentation en ligne)

Jean-Guillaume Dumas, Jean-Louis Roch, Eric Tannier et Sébastien Varrette, Théorie des codes: Compression, cryptage, correction, Dunod, 2013 (présentation en ligne)

Jean-Guillaume Dumas, Pascal Lafourcade et Patrick Redon, Architectures de sécurité pour Internet : protocoles, standards et déploiement, Dunod, 2020 (présentation en ligne), p. 159-185

Michèle Battisti, « Documents numériques : nouvelles règles d'acquisition et de diffusion », Documentaliste-Sciences de l'Information, 2001/1 (Vol. 38),‎ 2001, p. 46-48 (DOI 110.3917/docsi.381.0046, lire en ligne)

(en) Dawn M. Turner, « Understanding eIDAS », Cryptomathic,‎ 2016 (lire en ligne)

(en) V. Andrianova et D. Efanov, « Cloud-Based Electronic Signature Authentication Issues », EEE Conference of Russian Young Researchers in Electrical and Electronic Engineering (EIConRus), Saint Petersburg and Moscow, Russia, Russia,‎ 2019, p. 1826-1828 (DOI 10.1109/EIConRus.2019.8656803)

Jean-Luc Parouty, Roland Dirlewanger et Dominique Vaufreydaz, « La signature électronique, contexte, applications et mise en oeuvre », Journées Réseaux (JRES 2003), Nov 2003, Lilles, France,‎ 2003, p. 1-15 (lire en ligne)

Gérard RIBIÈRE, « Certification électronique - Chap 2: Cryptographie à clé publique », Techniques de l'ingénieur Cryptographie, authentification, protocoles de sécurité, VPN, Editions T.I, vol. base documentaire : TIB314DUO.,‎ 2018 (lire en ligne)

(en) L. Zhu et L. Zhu, « Electronic signature based on digital signature and digital watermarking », 5th International Congress on Image and Signal Processing, S Chongqing, China,‎ 2012, p. 1644-1647 (DOI 10.1109/CISP.2012.6469828)

(en) S. Mushtaq et H. Mir, « Signature verification: A study », 2013 4th International Conference on Computer and Communication Technology (ICCCT), Allahabad, 2013,‎ 2013, p. 258-263 (DOI 10.1109/ICCCT.2013.6749637)

Gérard RIBIÈRE, « Certification électronique », Techniques de l'ingénieur Cryptographie, authentification, protocoles de sécurité, VPN, Editions T.I, vol. base documentaire : TIB314DUO.,‎ 2018 (lire en ligne)

Nicolas MAGNIN, « Réglementation en matière de cryptologie », Techniques de l'ingénieur Sécurité des SI : organisation dans l'entreprise et législation, Editions T.I., vol. base documentaire : TIB458DUO.,‎ 2014 (lire en ligne)

Béatrice FRAENKEL et David PONTILLE, « La signature au temps de l'électronique », Politix, 2006/2 (n° 74),‎ 2006, p. 103-121. (DOI https://doi.org/10.3917/pox.074.0103, lire en ligne)

Sites Web

« directive européenne 1999/93/CE », sur eur-lex.europa.eu

« Le règlement eIDAS », sur www.ssi.gouv.fr

« LOI no 2000-230 du 13 mars 2000 », sur www.legifrance.gouv.fr

« Article 1316-4 du code civil », sur www.legifrance.gouv.fr

« Décret n° 2001-272 du 30 mars 2001 », sur www.legifrance.gouv.fr

« Dispositif sécurisé de création de signature électronique », sur www.marche-public.fr

« Décret n°2002-535 du 18 avril 2002 », sur www.legifrance.gouv.fr

« Loi du 21 juin 2004 », sur www.legifrance.gouv.fr

« Ordonnance du 16 juin 2005 », sur www.legifrance.gouv.fr

« Décret n° 2009-834 du 7 juillet 2009 », sur www.legifrance.gouv.fr

« ANSSI », sur www.ssi.gouv.fr

« Liste Nationale de confiance », sur www.ssi.gouv.fr

« Règlement EIDAS », sur www.ssi.gouv.fr

« Reglement-910-2014 », 23 juillet 2014

« Reglement-910-2014--annexe2 »

« Formats de signature électronique »

(en) « eSignature Documentation »

« LA SIGNATURE ELECTRONIQUE », sur www.senat.fr « Introduction aux certificats électroniques », sur www.cnrs.fr

« Principe de signature électronique », sur www.techniques-ingenieur.fr

« Application du règlement eIDAS », sur www.usine-digitale.fr, 16 octobre 2017

« Les 3 degrés de fiabilité de la signature électronique », sur www.usine-digitale.fr, 4 décembre 2017

« RÈGLEMENT (UE) No 910/2014 DU PARLEMENT EUROPÉEN ET DU CONSEIL », sur eur-lex.europa.eu, 28 aout 2014

« Comprendre les grands principes de la cryptologie et du chiffrement », sur www.cnil.fr, 25 octobre 2016