Elle fonctionne et pourtant, elle ne prend pas.

Légalisée depuis plus de cinq ans, maîtrisée techniquement par de nombreux fournisseurs et par certaines collectivités qui ont fait le choix de l’indépendance, la signature électronique peine pourtant à s’imposer. Le cadre technique est néanmoins stabilisé et les premiers grands déploiements, par exemple au Minefi autour des impôts, pourraient faire enfin décoller les usages.

Reconnue au même titre qu’une signature manuscrite (voir le cadre juridique), la signature électronique crée le cadre de confiance nécessaire au développement de l'administration en ligne et de l'e-citoyenneté. Elle permet en effet de dématérialiser tous les processus nécessitant un acte d’engagement ou d’approbation. « Le certificat électronique associé pourrait même à terme faire office de carte d’identité électronique pour chaque citoyen », explique Antoine Delouvrier, consultant et responsable de projets chez Ilex, éditeur de solutions de gestion de signatures électroniques.

Comment çà marche ? Une signature électronique est un code numérique qui permet d’authentifier les documents et échanges numériques et l’identité de leurs auteurs, et de garantir l’intégrité des informations transmises. Cette signature s’appuie sur la notion de certificat numérique, sorte de carte d’identité du propriétaire, qui intègre les informations permettant son identification unique. Ce certificat se présente sous la forme d’un logiciel à installer sur le poste de travail du signataire, ou encore d’une clé USB ou d’une carte à puce à insérer sur ce même poste au moment de signer. La signature électronique repose en outre sur la technologie « clé publique-clé privée ». Le signataire (personne physique ou organisme) dispose de deux clés : La clé privée, sur laquelle le signataire doit garder un contrôle exclusif (en protégeant des tiers sa clé USB, sa carte à puce ou son logiciel), qui lui permet de signer ; La clé publique transmise au destinataire et utilisée par ce dernier pour vérifier l’identité de l’expéditeur et l’intégrité (non modification du contenu) du document à réception.

Le certificat électronique est délivré par une autorité de certification, via une autorité d’enregistrement. L’autorité d’enregistrement traite la demande de certificat de l’utilisateur, contrôle l’identité et vérifie la qualité du futur propriétaire conformément à la politique de certification imposée par l’autorité de certification qu'elle a choisie, et demande à son tour un certificat à cette dernière. Le certificat est signé électroniquement à l’aide de la clé privée de l’autorité de certification. C’est ce qui l’authentifie. L’autorité d’enregistrement peut être un tiers de confiance (par exemple une société de service en informatique, une banque…) ou directement l’organisme public ou la collectivité utilisatrice des signatures électroniques. Il en est de même pour l’autorité de certification (Certeurope, Certinomis, Chambersign France…), à ceci près qu’il faut alors obtenir une certification de la Cofrac, après audit des moyens mis en œuvre et de la sécurité offerte autour des certificats.

Une infrastructure rigoureuse à moduler avec des tiers

Les certificats de signature sont délivrés sur trois types de support : logiciel, carte à puce ou clef USB. De la procédure d’enregistrement (donc de la politique de certification) dépend la classe (ou niveau de fiabilité) de la clé électronique sécurisée. Si aucun contrôle de l’identité du signataire n’est effectué (cas par exemple de ceux délivrés gratuitement sous forme de logiciel pour la déclaration d’impôt en ligne) le certificat est de classe 1. Si l’autorité d’enregistrement a validé l’identité du demandeur sur consultation de pièces justificatives, le certificat est de classe 2. Enfin, si de plus l’autorité d’enregistrement a contrôlé l’identité du demandeur en "face à face", le certificat est de classe 3. Les certificats, selon la politique définie par l’autorité de certification, ont une durée de vie de un à trois ans et un coût allant de quelques dizaines à une centaine d’euros par an, dégressif en cas de volume.

Gérer des certificats de signatures électroniques nécessite une IGC (Infrastructure de Gestion de Clés) encore appelée PKI (Public Key Infrastructure) ou ICP (Infrastructure à Clés Publiques). Cette infrastructure est composée d’au moins une autorité de certification et une autorité d’enregistrement et d’un ensemble d’outils informatiques pour délivrer aux utilisateurs, les services suivants : en amont , enregistrement des utilisateurs, génération et révocation de certificats, publication des certificats valides et révoqués, identification et authentification des utilisateurs, et enfin, en aval, exploitation des certificats (apposition et horodatage de signatures, cryptage des documents, vérification de la confiance, archivage des certificats). Nul besoin heureusement, d’installer tout cela sous son toit ! Beaucoup de tiers de confiance, des autorités de certification notamment, proposent leurs services sur le marché pour toute la partie amont. Et pour la partie exploitation, on peut s’équiper de logiciels tous simples  (éditeurs Dictao, Lex Persona, Ilex, Adesium…) ou les « louer » auprès d’ASP spécialisés (Application Service Provider ou fournisseur d'applications hébergées) comme Certeurope ou Certinomis (filiale de La Poste). Enfin, pour ceux qui voudraient tout gérer et jouer les autorités de certification, il existe des plates-formes logicielles complètes chez Idealx ou Cryptolog International, par exemple.

Un cadre juridique parfait pour la signature électronique ?

Reconnue dans le droit français, depuis la loi n° 2000-230 du 13 mars 2000 comme un « procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache », la validité de la signature électronique est confirmée avec le décret n° 2001-272 du 30 mars 2001 (Journal Officiel du 19 avril 2001). Ce décret définit essentiellement un cadre commercial de services de certification électronique. Un arrêté paru le 31 mai 2002, désigne le Centre Français d’Accréditation (Cofrac) pour accréditer des autorités de certification (liste disponible sur le site Web du Minefi), en amont de ce cadre. Cet arrêté achève pour la France le dispositif de signature électronique harmonisé au niveau européen.

« Les textes ne manquent pas, mais ils contiennent des recommandations plutôt que de vraies directives sur les normes à utiliser ou les procédures à suivre, » souligne Jean Denuzière, Directeur commercial chez Ilex. « Il en résulte une multiplication des autorités de certification, donc une grande hétérogénéité dans les certificats, des soucis de compatibilité et un aspect sécurité non abouti : il faut donc s’attendre à de nombreuses jurisprudences.» « Mais plus encore que le cadre juridique, c’est la diversité des solutions et des normes proposées qui reste un frein au développement de la dématérialisation, » poursuit François Devoret, président de Lex Persona. « Elle entraîne en effet une complexité de la preuve électronique qui suscite des interrogations, voire des réticences, dans nombre d’entreprises et d’organismes. Il faut donc s’attendre aussi au développement d’une expertise de la preuve électronique, intégrant évidemment une expertise des technologies utilisées. »

La Rédaction