2. Signature électronique, certificat électronique – Septembre 2007
Préambule
Ce document est réalisé dans le cadre du PRAI (Programme Régional d’Actions
Innovatrices) conduit par la Région Midi-Pyrénées et soutenu et cofinancé par l’Union
Européenne.
Il est accessible dans le Centre de Ressources pour l’Internet Public et Citoyen financé par
le PRAI : www.ardesi.fr
L’objectif de ce programme est de favoriser le développement de contenus et de services
numériques de qualité crées par les collectivités de la Région.
Pour aller plus loin :
- Le Programme Régional d’Actions Innovatrices sur le site Internet de la Région :
www.midipyrenees.fr
- La boîte à outils « Internet public et citoyen » : cet espace a pour objectif de fournir
des indications et des outils à toute collectivité désireuse de réaliser ou développer
son projet Internet local.
www.ardesi.fr/page481.htm
« La présente communication n’engage que son auteur. La Commission européenne n’est pas
responsable de l’usage qui pourrait être fait des informations contenues dans cette communication. »
1
SLM/07/248
3. Signature électronique, certificat électronique – Septembre 2007
Dans le cadre de leurs activités les collectivités publiques peuvent choisir de répondre par
voie électronique à toute demande d’information faite par un usager ou par une autre
administration. Elles peuvent également choisir de mettre en place des téléservices qui
doivent garantir des échanges sécurisés. La signature électronique et le certificat
électronique sont l’une des fonctionnalités nécessaires à cette sécurité.
1 - Signature et certificat : définitions
Les signatures électroniques sont utilisées pour identifier les expéditeurs d’un courriel ou
les auteurs d’un document électronique. Les signatures sont créées et validées par des
certificats numériques. Elles permettent de dématérialiser intégralement un processus et
d’en garantir la validité et la sécurité.
1.1 - La signature
La signature électronique garantit les fonctionnalités suivantes :
- authentification - intégrité du contenu
- confidentialité - non-répudiation
1.2 - Le certificat
Le certificat électronique est un document électronique qui atteste du lien entre les
données de vérification de la signature électronique et un signataire. Les certificats qui
répondent aux exigences de qualité de le l’article 6 du décret du 31 mars 2001 sont dits :
certificats électroniques qualifiés.
Dans les collectivités la signature électronique peut intervenir dans le cadre des achats
dématérialisés, dans la facturation, dans la télétransmission des actes ou des données
comptables…
2 – Chiffrement et système de clés :
Quelques éléments pour en savoir plus sur la cryptographie
La signature électronique permet de garantir l’identité de l’émetteur ainsi que de protéger
l’intégrité des données grâce à un système de cryptographie (dit aussi de chiffrage).
2.1 - La cryptographie ?
La cryptographie est une méthode qui consiste à définir un code qui va permettre de
rendre un message intelligible seulement par les connaisseurs de ce code. On parle alors
de crypter ou de chiffrer le message.
Dans la plupart des cas, la cryptographie fait appel à l’arithmétique pour « transformer les
lettres d’un texte qui composent le message en une succession de chiffres […] puis
d’appliquer à ces chiffres des calculs afin de les rendre incompréhensibles à toutes les
personnes qui ne connaissent pas la méthode utilisée ».
Le message alors codé est appelé le cryptogramme et le chiffrement se fait généralement
à l’aide d’une clé de chiffrement qui selon son niveau de complexité peut être symétrique
ou asymétrique.
2
SLM/07/248
4. Signature électronique, certificat électronique – Septembre 2007
2.2 - Clé symétrique : un code unique
Si Adèle veut envoyer un message à Martin elle peut lui donner sa clé de chiffrement.
Adèle et Martin utilisent la même clé : on parle alors de chiffrement symétrique ou de
chiffrement à clé secrète. Dans ce cas de figure il faut alors utiliser un autre canal de
communication sécurisé pour transmettre la clé (comme le téléphone ou le courrier)
2.3 - Clé publique, clé privé : le chiffrement asymétrique
La signature électronique utilise un système de chiffrement asymétrique. Il existe alors
deux clés de cryptage. Adèle possède deux clés de cryptage :
- la clé publique : qui permet de coder le message et qu’elle donne à Martin.
Cette clé permet à Martin de chiffrer/coder les messages qu’il envoie à Adèle.
De plus, Martin pourra identifier/authentifier Adèle comme étant réellement
l’auteur du message.
- la clé privée : Adèle conserve précieusement sa propre clé qui lui permettra à
elle et elle seule d’ouvrir les messages de Martin.
2.4- L’Analogie du coffre-fort :
a) Le chiffrement :
Adèle a choisi un coffre-fort. Elle l'envoie
Coffre ouvert
ouvert à Martin, et en garde la clé.
Lorsque Martin veut écrire à Adèle, il y
dépose son message, ferme le coffre, et
le renvoie à Adèle. À sa réception, seule
Adèle peut ouvrir le coffre, puisqu'elle Clé
seule en possède la clé, à supposer le
coffre inviolable, et que personne ne
puisse retrouver la clé.
b) L'authentification ou la signature :
Adèle dispose de deux clés. Elle donne la
première à Martin (clé publique), puis elle Coffre + clé
place un message dans le coffre-fort
qu'elle ferme (avec sa clé privé) avant de
l'envoyer à Martin. Si Martin parvient à
l'aide de la clé publique d'Adèle dont il
dispose à ouvrir le coffre-fort c'est que
c'est bien celui d'Adèle et donc que c'est
bien elle qui y a placé le message.
Clé privée Clé Publique
2
SLM/07/248
5. Signature électronique, certificat électronique – Septembre 2007
3 - Ce qu’il faut retenir des textes officiels :
3.1 - L’ordonnance sur les échanges électroniques avec les autorités
administratives
Ordonnance 2005-1516 1 relative aux échanges électroniques entre les usagers et les
autorités administratives et entre autorités administratives.
Article 8
Les actes des autorités administratives peuvent faire l’objet d’une signature électronique.
Celle-ci n’est valablement apposée que par l’usage d’un procédé conforme aux règles du
référentiel général de sécurité mentionné au I de l’article 9, qui permette l’identification du
signataire, garantisse le lien de la signature avec celle de l’acte auquel elle s’attache et
assure l’intégrité de cet acte.
Article 9
Un référentiel de sécurité fixe les règles que doivent respecter les fonctions des systèmes
d’information contribuant à la sécurité des informations échangées par voie électronique
telle que les fonctions d’identification, de signature électronique, de confidentialité et
d’horodatage. […]
3.2 - Décret relatif à la signature et au certificat électronique
a) Décret 2001-272 2 pris pour l’application de l’article 1316-4 du code civil et relatif à la
signature électronique :
Un dispositif de création de signature électronique doit garantir que :
- les données contenues dans le document ne peuvent être établie plus d’une fois
- leur confidentialité est assurée
- la signature est protégée contre la falsification
- les données ne peuvent être retrouvées par déduction
- les données sont protégées de manière satisfaisante
Les prestataires qui fournissent des dispositifs de signatures électroniques sécurisés sont
soumis à certification auprès de l’Etat ou d’un organisme dédié.
1
www.legifrance.gouv - Ordonnance relative aux échanges électroniques entre les usagers et les autorités
administratives et entre les autorités administratives. 2005
http://www.legifrance.gouv.fr/WAspad/Ajour?nor=ECOX0500286R&num=2005-1516&ind=1&laPage=1&demande=ajour
Consulté le 12 décembre 2007
2
www.legifrance.gouv - Décret pris pour l'application de l'article 1316-4 du code civil et relatif à la signature
électronique – 2001
http://www.legifrance.gouv.fr/WAspad/Ajour?nor=JUSC0120141D&num=2001-272&ind=2&laPage=1&demande=ajour
Consulté le 12 décembre 2007
3
SLM/07/248
6. Signature électronique, certificat électronique – Septembre 2007
Il existe également un protocole de vérification des signatures électroniques qui suit les
mêmes règles de sécurité que le dispositif de création afin de ne pas altérer les données.
De plus le vérificateur doit pouvoir connaître l’identité du signataire
b) Décret 2001-272 pris pour l’application de l’article 1316-4 du code civil et relatif à la
signature électronique. Article 6
Le certificat électronique est considéré comme qualifié (et donc correspondre aux critères
de sécurité de la signature électronique sécurisée) lorsqu’il comporte :
- La mention : Certificat électronique qualifié
- L’identité du prestataire de services de certification électronique ainsi que l’Etat dans
lequel il est établi.
- Le nom du signataire (ou un pseudonyme celui-ci devant être identifié comme tel)
- Le cas échéant, l’indication de la qualité du signataire en fonction de l’usage auquel
le certificat électronique est destiné.
- Les données de vérification de signature électronique qui correspondent aux données
de création de signature électronique
- L’indication du début et de la fin de validité du certificat
- Le code d’identité du certificat
- La signature électronique sécurisée du prestataire de service de certification
électronique qui l’a délivré.
4
SLM/07/248
7. Signature électronique, certificat électronique – Septembre 2007
Sources et ressources
Comment ça marche
http://www.commentcamarche.net/crypto/crypto.php3
consulté le 26 septembre 2007
Journal du net
http://www.journaldunet.com/juridique060411.shtml
consulté le 26 septembre 2007
Wikipedia
http://fr.wikipedia.org/wiki/Cryptographie_asym%C3%A9trique
consulté le 26 septembre 2007
Chambersign
http://www.chambersign.tm.fr/
consulté le 26 septembre 2007
Legifrance Ordonnance 2005-1516.
Legifrance Décret 2001-272.
http://www.legifrance.gouv.fr/WAspad/RechercheSimpleTexte.jsp
consulté le 26 septembre 2007
Signatureelectronique.be
http://www.signatureelectronique.be/what.cfm
consulté le 26 septembre 2007
5
SLM/07/248