RTFlash

Pourquoi la signature électronique reste lettre morte

Trois ans après la loi qui lui conférait la même force qu'à la signature manuscrite, le paraphe électronique et les fonctions de chiffrement qui lui sont associées tardent à se généraliser. La complexité de l'organisation nécessaire à sa mise en place rebute les industriels. Trois ans après l'adoption de la loi sur la signature électronique, celle-ci tarde à entrer dans les moeurs. Certes, les industriels ont dû patienter pour que les décrets d'application (2001) et les arrêtés ministériels (2002) précisent les conditions techniques et juridiques donnant à la signature électronique la même valeur probante qu'à la signature manuscrite. Certes, la "bulle Internet" a éclaté dans l'intervalle, tarissant les financements. Pour autant, on s'explique mal le manque d'enthousiasme vis-à-vis d'une technologie - l'infrastructure à clés publiques (ICP) - qui était présentée naguère comme le moyen idéal pour établir la confiance sur Internet. Elle permettrait, annonçait-on, de contrôler l'identité des internautes, de garantir la confidentialité et l'intégrité des messages transitant sur le réseau et de garder la preuve que l'échange de documents avait bien eu lieu. Bref, d'utiliser le réseau ouvert pour faire circuler des informations sensibles, pour passer des commandes, signer des documents, toutes choses coûteuses en temps et en argent dans le monde réel. Au milieu des années 1990, les plus optimistes tablaient sur un marché généré par l'ICP de 3,5 milliards de dollars en 2005. Or, en 2002, il n'aurait pas dépassé 350 millions de dollars. En théorie, les ICP sont un outil sans rival. Elles reposent sur le principe du chiffrement dit asymétrique, inventé en 1973 au sein des services secrets britanniques, puis redécouvert par des universitaires américains, Whitfield Diffie et Martin Helmann, qui en 1976 en énoncent le principe : utiliser une paire de clés, dont l'une est publique et permet à tous de signer ou chiffrer un document, tandis que l'autre est secrète et permet à son seul possesseur de procéder à l'opération inverse. En 1978, des universitaires, Ronald Rivest, Adi Shamir et Leonard Adleman, proposaient un algorithme permettant de réaliser cette prouesse à l'aide de nombres premiers. Leur système, baptisé RSA, est au coeur des solutions ICP proposées aujourd'hui, qui reposent sur l'attribution aux utilisateurs de cartes d'identité numériques, les certificats, normalisés et reconnus par la majorité des logiciels de navigation ou de messagerie. Il a suffi d'augmenter la longueur des clés pour les mettre à l'abri des attaques d'ordinateurs toujours plus puissants et capables, désormais, de travailler en réseau sur toute la planète. La technologie n'est donc pas en cause. C'est sa mise en oeuvre qui pose problème. La réglementation prévoit une pyramide d'acteurs. Elle comprend des distributeurs de certificats (en France, essentiellement Certplus et Certinomis) agréés par des autorités de certifications (généralement des banques) qui, elles-mêmes, font l'objet de procédures de qualification. Il faut aussi des validateurs capables de tenir à jour les annuaires de certificats et d'en retirer ceux qui sont parvenus à expiration ou qui ont été révoqués. L'utilisateur final doit enfin être dûment identifié, ce qui suppose parfois une rencontre physique. "Le plus compliqué, c'est d'organiser la confiance et la maintenir vingt-quatre heures sur vingt-quatre", souligne Richard Pirim, architecte système sécurité et réseau de la direction générale des impôts, qui a pu juger de la complexité du problème à l'occasion de la mise en place de téléprocédures pour l'acquittement de la TVA par les grandes entreprises et la déclaration en ligne de l'impôt sur le revenu, à laquelle 608 000 personnes ont procédé en 2003. Il s'agit là - avec la carte de santé - des seules utilisations d'envergure d'IPC en France. Encore le ministère des finances a-t-il dû rendre obligatoire le télépaiement de la TVA pour les quelque 20 000 entreprises de plus de 15 millions d'euros de chiffre d'affaires qui sont contraintes d'acheter des certificats électroniques. Le Minefi envisage plusieurs projets de téléprocédures faisant appel à la signature électronique. Mais il ne peut se permettre de proposer une application qui contraindrait les utilisateurs dans le choix du matériel - certains logiciels ne prévoient pas le stockage des certificats, les Mac ne gèrent pas les algorithmes de chiffrement et certaines versions de Windows n'acceptent pas les applications Java. Trouver une solution universelle relève donc du défi. "Une complexité à faire frémir les développeurs", note Richard Pirim. Le Minefi envisage de faire appel aux grandes écoles pour développer une application de signature qui pourrait être versée dans le domaine public. Ce qui suppose de nouveaux délais... Une telle éventualité pourrait susciter l'émergence de nouveaux lecteurs de cartes à puce capables d'authentifier formellement leur porteur. Les ministres de l'intérieur et de la justice du G8, qui se sont réunis à Paris, lundi 5 mai, se sont d'ailleurs engagés à recourir à la biométrie comme méthode d'identification de leurs citoyens. Les Etats-Unis ont déjà fixé, en effet, à octobre 2004 la date à partir de laquelle les contrôles recourant à la biométrie des titres de transport et d'identité seront nécessaires pour l'entrée sur le territoire américain.

Le Monde : http://www.lemonde.fr/article/0,5987,3244--321098-,00.html

Noter cet article :

 

Vous serez certainement intéressé par ces articles :

Recommander cet article :

back-to-top