Accueil Signatures et certificats

Signatures et certificats

Parmi les éléments qui favorisent la confiance dans une économie numérique, la signature électronique occupe très certainement la première place. Et elle est évidemment au coeur des activités des tiers de confiance qui mettent en oeuvre les systèmes reposant sur les fameuses architectures PKI (public key infrastructure). De nombreux termes sont utilisés pour expliquer le fonctionnement de la signature électronique. On peut tout simplement la voir comme un processus de chiffrement qui, lorsqu’il est appliqué à un document, donne un certain résultat. Si quelques mois ou quelques années après on exécute ce même processus, le résultat obtenu sera le même. Ce mécanisme se transforme en signature électronique dès lors que l’on y ajoute un certificat, lui-même dépendant d’un mode d’attribution. Selon les exigences de sécurité, on distingue 4 types de certificats : celui de classe 1 pour lequel seule l’adresse électronique du demandeur est nécessaire, le classe 2 requérant une preuve de l'identité (photocopie de carte d'identité, par exemple), le classe 3 où la présentation physique du demandeur est obligatoire et, enfin, le certificat de classe 3+, identique au classe 3 mais stocké sur un support physique cryptographique (clé USB ou carte à puce). Un certificat électronique coûte en moyenne entre 60 et 100 euros par an. L’authentification fait elle aussi appel à un certificat, mais celui-ci ne permet pas de signer. Ainsi est-il prévu d’embarquer dans la future carte d’identité électronique les deux certificats distincts. Reconnus par la loi comme prestataires de service de certification, les professionnels se départagent eux même en trois familles. Il y a d’abord l’autorité de certification (AC) qui définit une politique de certification, et la fait appliquer. Il y a ensuite l’autorité d'enregistrement (AE) qui garantit la validité des informations contenues dans le certificat, et il y a enfin l’opérateur de certification (OC) qui assure la fourniture et la gestion des certificats électroniques. Intitulé “L’archivage électronique à l’usage du dirigeant”, l’excellent livre blanc de la Fedisa souligne que la réponse à la question de l’externalisation de l’archivage n’est pas absolue mais relative à une situation d’entreprise. Elle n’est pas non plus monolithique : la meilleure solution peut s’avérer un panachage de plusieurs solutions articulées en fonction de la nature des données et des classes de services recherchés.