Les nouveaux outils de la confiance numérique.

Spécialiste de la sécurisation des identités et des échanges numériques, Patrick Duboys fait le point sur CitizenKane sur les nouveaux outils de la confiance numériqueA l’heure où la préparation d’actes terroristes se finance anonymement au moyen de yescard et de détournements de bitcoin, il importe, plus que jamais de protéger son identité et son patrimoine numérique. Naguère directeur marketing du leader européen de l’identité numérique, keynectis devenue Opentrust après 13 ans à la direction de Microsoft, Patrick Duboys crée Alice And Bob pour faciliter la transition vers le numérique.

signature electronique

signature-electronique

Règles de confiance établies depuis l’aube des temps  …

A travers l’Histoire, nous avons établi des relations de confiance, signé des contrats, fait appel à des tiers de confiance tels que des notaires, à des témoins, délivré des documents officiels, mis en place des processus de délivrance, instauré la poignée de main et la rencontre face à face, utilisé des documents confidentiels cachetés, etc. Toutes ces règles de confiance sont bouleversées par le monde numérique. De nouvelles règles se sont établies. Des risques majeurs demeurent. Des opportunités également majeures apparaissent.

L’encodage des messages : depuis l’antiquité …

Depuis l’Antiquité, les hommes ont encodé des messages envoyés, afin que ceux-ci ne puissent être interceptés. La littérature et le cinéma sont remplis d’histoires militaires, d’espionnages, ou amoureuses sur des messages codés (Note : dans le jargon actuel, l’on dit chiffrés, et l’on parle de chiffrement). Le code le plus connu demeure le code César. Le principe dit cryptographique (du grec : crypto, caché et graphos, dessin) consiste à appliquer une combinaison à un texte, afin que personne ne puisse le lire, puis à la personne qui  le reçoit et applique la combinaison inverse afin de le décoder. Les Castor Junior possédaient de nombreuses techniques de chiffrement avec des jeux associés. César, lui, utilisait cette technique pour communiquer avec les différentes entités de son armée sur les champs de bataille.

La signature électronique aujourd’hui

La signature électronique revêt aujourd’hui la même valeur que la signature papier ce qui permet de réduire les coûts de signature de documents, de réduire le temps nécessaire pour effectuer une signature, d’inclure la signature électronique dans des processus métier, de disposer d’outils d’archivage, de recherche, de partage, etc. permettant ainsi aux organisations de mettre en œuvre efficacement leur transformation numérique et leur dématérialisation. LOI no 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information et relative à la signature électronique « Art. 1316. – La preuve littérale, ou preuve par écrit, résulte d’une suite de lettres, de caractères, de chiffres ou de tous autres signes ou symboles dotés d’une signification intelligible, quels que soient leur support et leurs modalités de transmission. « Art. 1316-1. – L’écrit sous forme électronique est admis en preuve au même titre que l’écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité. « Art. 1316-2. – Lorsque la loi n’a pas fixé d’autres principes, et à défaut de convention valable entre les parties, le juge règle les conflits de preuve littérale en déterminant par tous moyens le titre le plus vraisemblable, quel qu’en soit le support. »

Exemple de mise en œuvre de la signature électronique

Vous pouvez commander auprès d’une organisation tiersde confiance (telle que Opentrust ou DigiCert) une clé USB cryptographique de signature électronique (un peu comme une carte bleue). Le tiers de confiance est une organisation habilitée par le gouvernement ou les éditeurs d’outils numériques (Adobe, Microsoft, etc.) à délivrer des certificats électroniques après un audit poussé. Dans cet exemple particulier, le certificat de signature électronique est délivré sur clé USB cryptographique. Le tiers de confiance a également développé des accords avec les éditeurs de logiciels tels que Microsoft ou Adobe afin que leurs certificats soient reconnus de confiance dans leurs outils. Le tiers de confiance vérifiera votre identité en vous demandant une pièce d’identité, vous trouvera dans les pages jaunes ou blanches et vous appellera par téléphone pour vérifier que c’est bien vous, etc. Il vous remettra alors cette clé USB cryptographique ainsi qu’un code PIN secret, comme pour une carte bleue. Pour signer vos document et vos emails, vous insérerez votre clé cryptographique dans votre ordinateur, signerez à partir du menu de votre éditeur de document ou d’emails, devrez saisir votre code PIN, et vos documents ou emails seront signés. Cela garantira à vos destinataires que vous êtes bien l’émetteur du document et que ce document n’a pas été modifié. Un horodatage en utilisant via l’Internet un serveur d’horodatage attachera au document l’heure et la date à laquelle a été effectuée cette signature. Le document pourra être modifié, mais il perdra alors la signature. Un document électronique signé peut être dupliqué autant de fois que nécessaire. Plusieurs signatures peuvent être apposées à un document électronique. Note: Attention à ce qui est communément admis. Un document PDF est contrairement à ce que l’on croit modifiable avec un éditeur de texte adapté. Seul, un document PDF signé électroniquement ne peut pas être modifié sans perdre sa signature. Note: Le scan d’une signature manuscrite dans un document électronique n’a aucune valeur. Lire : L’avènement de la signature électronique 

L’authentification forte – Cloud et BYOD

L’authentification forte permet de donner un accès à un réseau ou un Extranet par exemple à des individus et à des machines comme peut le faire le bon vieux login / mot de passe mais de façon bien plus sécurisée. L’authentification forte est définie comme une authentification à au moins 2 facteurs parmi les 3 suivants :

  • ce que je sais (un code PIN par exemple),
  • ce que je possède (une clé USB cryptographique par exemple),
  • ce que je suis (via une détection biométrique par exemple : votre empreinte digitale, votre rétine, etc.).

A noter qu’il faut différencier l’identification (je dis qui je suis) et l’authentification (je le prouve). Cette méthode d’authentification forte est aujourd’hui indispensable pour identifier toutes les machines sur le réseau et en particulier pour gérer les problématiques de Cloud ou BYOD. Lire : L’authentification forte ou vers la fin du mot de passe

Le chiffrement pour éviter que vos emails circulent en clair

Lorsque vous envoyez des emails à vos interlocuteurs intra-entreprises ou inter-entreprises, ceux-ci circulent en clair sur l’Internet. Vous pouvez utiliser des certificats électroniques pour chiffrer vos emails. Vous vous assurez ainsi que seul votre interlocuteur pourra le lire.

La mise en place de solutions de signature, d’authentification forte et de chiffrement

Le Cloud et le BOYD sont autant de nouveaux challenges pour les organisations. Heureusement, ces organisations peuvent aujourd’hui se protéger efficacement via des approches de certificats électroniques proposés en mode SaaS. Une approche orientée usage, des certificats reconnus par les autorités de certification publiques, une sécurité accrue, une simplicité de mise en œuvre et une plus grande souplesse, des modes de financement adaptés permettent aujourd’hui une adoption bien plus grande des usages des certificats électroniques. Lire Les solutions de PKI en SaaS permettent l’avènement des usages des certificats électroniques

Conclusion : De nombreux usages !

Toutes ces technologies ouvrent de nouveaux horizons. Tandis qu’un document scanné n’a pas de valeur légale, un document signé électroniquement revêt une valeur probante. Ainsi, les organisations commencent à faire signer à des internautes qu’ils ne connaissaient pas des contrats à la volée, directement sur des sites web. Les contrats peuvent également être signés sur des tablettes dans les agences des banques, chez les commerçants, etc. Désormais, l’envoi de lettres recommandées électroniques, de façon totalement numérique, est parfaitement légal. La sécurisation des identités et des échanges numériques est un des enjeux majeurs d’aujourd’hui. Nous ne sommes qu’à l’aube des utilisations possibles de solutions fondées ou permises par ces technologies. Nul doute que l’innovation associée à toutes ces technologies nous étonnera dans les toutes prochaines années.

[youtube]https://www.youtube.com/watch?v=5HHFu_Y58r4[/youtube]

About The Author

Auteurs de nombreux articles en matière de technologie et anciennement professeur en EPITECH, Eyal Dotan est une personnalité connue dans le milieu des technologies de l'information. Il couvre la région Asie Sud-Est depuis Bangkok.

Related posts

1 Comment

  1. Pingback: Comment avoir confiance dans les documents numériques? | Demat and Sign

Leave a Reply