Qu'est-ce que la signature électronique ?
Grâce à la signature électronique, il est possible de garantir l'intégrité des documents et l'authenticité de leur origine.
A quoi sert la signature électronique ?
La signature électronique nous permet d'effectuer de manière sûre et fiable tous types de transactions électroniques avec des clients, des banques, des fournisseurs ou des administrations publiques, ce qui implique des millions de communications quotidiennes avec des partenaires du monde entier.
Dans un contexte commercial, les bons de commande, les factures, les avis d'expédition, les contrats, etc. sont des transactions sensibles et très importantes. Ils nécessitent des technologies différentes pour la création correcte des messages, leur envoi et leur réception.
La sensibilité et l'importance de ces communications rendent nécessaire l'adoption de systèmes qui garantissent également leur sécurité, leur confidentialité et leur intégrité.
Caractéristiques de la signature électronique
Confidentialité : capacité de garder un document électronique inaccessible à tous, sauf aux destinataires prévus du message.
Intégrité : garantie que le document reçu correspond au document émis sans aucune possibilité de modification.
Authenticité : capacité à déterminer si une personne a établi sa reconnaissance et son engagement vis-à-vis du contenu du document électronique.
Services de signature électronique EDICOM
EDICOMSignADoc
Service pour l'approbation des contrats et de tout type de document au travers de la signature électronique.
Signature à distance
Services de signature avancés pour les documents électroniques à partir de dispositifs de création de signature EDICOM sécurisés.
Qu'est-ce qu'un certificat numérique ?
Un certificat numérique est un document signé électroniquement par un prestataire de services de certification qui associe les données de vérification de la signature à un signataire et confirme l'identité de ce dernier. Le signataire est la personne qui possède le dispositif de création de signature et qui agit en son nom propre ou au nom d'une personne physique ou morale qu'elle représente.
A cette fin, le demandeur est rigoureusement accrédité par l'Autorité de Certification et est univoquement lié au Certificat. Ainsi, il lui fournit un identifiant électronique unique qui lui permettra d'effectuer tous les types de transactions électroniques nécessitant une authentification.
Les certificats doivent être émis par une autorité de certification accréditée, intégrée dans une PKI (Public Key Infrastructure) ou infrastructure à clé publique.
Utilités des certificats numériques
1. Signature électronique
Le certificat est utilisé pour signer tous les types de documents digitaux, allant des simples e-mails aux contrats commerciaux les plus complexes. Cela implique une garantie de non-répudiation, de connaissance univoque de l'identité de l'émetteur du document et de l'intégrité du document.
2. Sécurité des communications
Le certificat sert à crypter une communication entre deux personnes, rendant confidentielles toutes les informations transmises. Cela garantit que tout document envoyé par une personne à une autre est fermé et ne peut être ouvert que par le destinataire légitime.
3. Digitalisation certifiée
Dans certains pays, la législation permet de remplacer un original papier par son équivalent numérique, tout en conservant les mêmes garanties juridiques, à condition que certaines procédures, généralement liées aux signatures électroniques, soient respectées.
4. Identification personnelle
Permet de connaître l'identité au moment de l'entrée dans un espace physique ou numérique, d'autoriser ou de refuser l'accès et d'en laisser une trace.
5. Signature á travers le logicielLe certificat numérique est utilisé pour signer des documents au travers d’un logiciel. Cette démarche permet à l'entité utilisant ce dernier de garantir que le document est un original, mais également de s’assurer de l’identité de la personne qui l'a créé tout comme de s’assurer que le document n’a pu être modifié après sa signature.
Comment fonctionne la signature électronique ?
Dans un contexte analogique, le problème de l'authenticité est résolu par la signature manuscrite. Au travers de celle-ci, une personne ou plusieurs personnes expriment leur volonté de reconnaître le contenu d'un document et, le cas échéant, s'engagent à respecter les obligations et les accords qui y sont énoncés.
Dans le contexte des messages électroniques, les problèmes de confidentialité, d'intégrité et d'authenticité sont traités par la cryptographie avec les certificats électroniques et les processus de signature électronique. Un certificat électronique est un logiciel qui identifie de manière unique une personne : par le biais d'une clé publique connue et contenant les données du propriétaire du certificat, ou par le bias d'une clé privée connue uniquement du détenteur du certificat avec des données spécifiques au certificat.
Avec ces certificats, une signature électronique est obtenue sur la base du processus suivant :
1. Émission du certificats
L'émetteur obtient un résumé ou HASH du document qui s'apparente à une empreinte digitale unique du message. Si le message est légèrement modifié, cette empreinte digitale change.
2. Cryptage
Ce HASH est crypté avec la clé privée de l'émetteur.
3. Réception
Le récepteur reçoit le message et le HASH crypté.
4. Décryptage
La clé publique de l'expéditeur est utilisée pour le décrypter. Si le processus est réussi, l'origine du message peut être garantie (le message est authentique).
5. Application du HASH
En parallèle, le récepteur applique au message le même algorithme HASH que l'expéditeur. L'empreinte digitale obtenue est comparée à l'empreinte digitale "décryptée" et si elles sont identiques, il s'avère que le message n'a pas été modifié (le message reste intact).
Types de signature électronique
Les types de signature électronique sont définies par la directive 1999/93/CE. Leur reconnaissance a été étendue et harmonisée par le biais du règlement eIDAS.
D'un point de vue technique, la signature électronique offrira des niveaux plus élevés de sécurité et de confidentialité en raison de deux variables fondamentales :
Certificats émis par un fournisseur de services de confiance
Certificats reconnus
Ils sont délivrés par l'autorité de certification du fournisseur de services de confiance après une identification fiable du titulaire du certificat. En principe, le titulaire du certificat se rend au point d'enregistrement afin que, une fois son identité authentifiée, le certificat puisse être émis.
Certificats non reconnus
Pas d'identification préalable du titulaire du certificat nécessaire. Ils sont généralement associés à des éléments permettant d'identifier cette identité, tels que des courriers électroniques ou des téléphones mobiles, générant une association entre les données du certificat et son titulaire après la mise en œuvre d'un flux impliquant une communication par l'un de ces moyens.
Support sur lequel le certificat est délivré
Certificats sur support logiciel
Ils sont hébergés sur le disque dur de l'un des appareils du propriétaire. Leur délivrance implique généralement l'envoi des informations d'identification via un canal classique tel que le courrier électronique ou via un service de téléchargement à partir d'un URL du prestataire de services de confiance.
Certificats sur support matériel
L'émission du certificat implique la délivrance du certificat sur un dispositif depuis lequel il ne peut être retiré. Ainsi, la mise en service du certificat nécessite l'utilisation du dispositif, qui peut être une carte cryptographique.
Le type de certificat et de dispositif de création de signature utilisé offrira de meilleures garanties dans la mesure où nous utilisons des systèmes de création de signature sécurisés basés sur des certificats qualifiés. À partir de là, 3 types de signatures sont reconnus :
Signature électronique simple
C'est la plus simple et aussi la plus utilisée. La pertinence de son utilisation sera déterminée par la nature de la transaction et elle est valable dans une multitude de contextes. Ce type de signature électronique s’appose à partir de certificats électroniques non-qualifiés. Ces derniers permettent de garantir l'intégrité du document et la confidentialité de la transaction. Ce niveau de signature est le moins sécurisé car il ne permet pas de garantir l'authenticité du signataire.
Signature électronique avancée
Elle doit répondre à ces exigences :
- Être liée de manière unique au signataire
- Permettre l'identification du signataire
- Avoir été créé à l'aide de moyens que le signataire peut maintenir sous son seul contrôle
- Être liée aux données auxquelles elle se rapporte de manière à ce que toute modification ultérieure des données soit détectable.
- Avec ce type de signature, un niveau de sécurité intermédiaire est garanti avec possibilité de vérifier l'identité du signataire.
Signature électronique qualifiée
Il s'agit de la définition utilisée par le règlement eIDAS pour faire référence à une signature électronique avancée basée sur un dispositif de certification qualifié. Ce dernier type de signature était déjà couvert par la directive 1999/93/CE, bien qu'il ne soit pas directement défini dans le texte de cette loi.
Elle confère le plus haut niveau de sécurité sur tous les aspects mentionnés.
Des fournisseurs de services de confiance
Un prestataire de services de confiance dispose des accréditations adéquates et de la technologie appropriée pour fournir des services d'identification électronique spécifiques tels que ceux qui permettent les signatures électroniques.
Les services fournis par ce type de prestataire offrent aux personnes physiques et morales des mécanismes d'identification électronique sécurisés qui leur permettent d'exercer des activités où la signature électronique remplace la signature manuscrite avec des garanties juridiques identiques.
.