880 likes | 1.65k Views
LA SIGNATURE ELECTRONIQUE. Michel LANGLAIS. 26 Mai 2008 Saintes. LA SIGNATURE ELECTRONIQUE. QU’EST CE QUE C’EST ?. La signature : définition juridique. Le rôle de la signature électronique est de garantir
E N D
LA SIGNATURE ELECTRONIQUE Michel LANGLAIS 26 Mai 2008 Saintes
LA SIGNATURE ELECTRONIQUE QU’ESTCE QUE C’EST ?
La signature :définition juridique Le rôle de la signature électronique est de garantir les fonctions d’authentification, d’intégrité et de non-répudiation • Authentification • Le signatairedu document est clairement identifié. • Intégrité • Toute modification du document, volontaire ou accidentelle, sera détectée. • Non-répudiation • L’expéditeur ne peut pas nier avoir signé le document. La valeur probante de la Signature électronique est reconnue par la loi depuis 2001
La signature :définition juridique Les textes juridiques applicables : Loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique. Cette loi introduit ou modifie notamment les articles 1316, 1316-1, 1316-2, 1316-3, 1316-4 et 1326 du code civil Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, notamment son article 33 qui précise le régime de responsabilité des prestataires de services de certification électronique délivrant des certificats électroniques qualifiés Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés Décret n° 2001-272 du 30 mars 2001 pris pour l'application de l'article 1316-4 du code civil et relatif à la signature électronique Décret n° 2002-535 du 18 avril 2002 relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information Arrêté du 26 juillet 2004 relatif à la reconnaissance de la qualification des prestataires de services de certification électronique et à l'accréditation des organismes qui procèdent à leur évaluation La valeur probante de la Signature électronique est reconnue par la loi depuis 2001
Carte d’Identité Civile • Garantit le lien entre l’identité d’une personne et sa signature manuscrite • Délivrée par la Préfecture Le Certificat de Signature Électronique (CSE) Clé publique Clé privée Carte d’Identité Numérique • Garantit le lien entre l’identité d’une personne et sa signatureélectronique • Délivré par une Autorité de Certification (AC) Papier Informatique
Le Certificat de Signature Électronique (CSE) Clé publique Clé privée Carte d’Identité Numérique • Garantit le lien entre l’identité d’une personne et sa signatureélectronique • Délivré par une Autorité de Certification (AC) Informatique
Le Certificat de Signature Électronique (CSE) 1-La clé privée elle est strictement personnelle et confidentielle 2-La clé publique elle peut être divulguée à tous ses correspondants 3-La carte d’identité numérique Permet de connaître l’identité du signataire et de vérifier que cette identité est bien conforme à celle de la personne habilitée à signer les documents
Les différentssupports ou ou Carte à puce nécessite un lecteurde cartes à puces i-key Dispose d’un code secret spécifique modifiable, lecteur de cartes à puces miniaturisé incorporé Disque dur
Chiffrer&Déchiffrer des données Le chiffrement garantit la confidentialité des données durant le transport des données sur les réseaux publics (Internet, réseau interne, ...) et durant l’archivage X • Accéder à des ressources protégéesLe serveur web visité - Place de marchés, Intranet, Extranet, ... - demande le certificat au client et ouvre la porte (ou non) avec les droits correspondant à l'individu se présentant. Les 3 usages majeurs tous liés à la sécurité • Signer des documents numériquesSigner des e-mailsSigner des documents sur le Web, des téléprocédures, des commandes Signer tout type de documents numériques (Word, Excel, PDF, GIF, JPEG, …)
Les classesde Certificat Certificats de classe 1 :ces certificats ne requièrent qu’une adresse e-mail du demandeur (pas de contrôle d’identité) Certificats de classe 2 :le demandeur doit nécessairement fournir à distance une preuve de son identité (exemple : l’envoi d’une photocopie de sa carte d’identité) Certificats de classe 3 :ces certificats ne peuvent être délivrés que dans le cadre d’une présentation physique du demandeur (face à face). Certificats de classe 3+ :Face à face + support physique. Chiffrement Niveau de sécurité Signature & chiffrement
Les Autoritésde Certification Agrééesparle MINEFI • La Poste (certinomis) • Les Chambres de commerce et d’industrie (Chambersign) • Les Banques • Les greffes de tribunal de commerce
Une Chaîne de Confianceau service des collectivités Autorité de certification Autorité d’enregistrement Collectivité adhérente au Syndicat Opérateur de télétransmission
Autorité de certification (prestataire national) Délivrance des clefs d’authentification 3. Outil sécurisé pour la création des certificats sur les clés USB 1. Contrats types Un dossier complet, prouvant : • Qui est la collectivité ? SIREN • Qui est le responsable de la collectivité ? Nommination Maire/Président +Pièce identité • Qui est l’agent autorisé ? Lettre d’autorisation+Formulaire +Pièce identité Autorité Enregistrement 2. Dossier rempli 4. Certificat généré Porteur: Agent ou élu
AE 1- Demande de certificat Autorité de certification Internet 5- Intégration sécurisée dans le support cryptographique 2- Vérification 3- Génération du bi-clé Point de Contact 4- Génération certificat 8 - face à face+remise Le Syndicat Informatique se déplace dans la collectivité 7- Archivage électronique multi-site 6- Code PIN Adhérent : opérateur de télétransmission
Ainsi les téléprocédures utilisent-elles uniquement des certificats délivrés en face à face et dont la qualité technique et le modèle économique ont fait l’objet d’audits. Ce certificat pour être utilisé convenablement devrait toujours être associé à un code personnel, souvent appelé code PIN (Personal identification number). Ceci permet de procéder non seulement à l’ identification, je dis qui je suis, mais aussi à l’ authentification, je suis qui je dis que je suis, car je suis le seul à connaître le code. Le CSE est personnel, tout prêt est interdit… Le certificat associe la signature (couple clefs privée-publique) à une personne identifiée. Il le fait car sa délivrance est subordonnée à un minimum de contrôles d’identité dont le niveau fonde la confiance. IDENTITE
Le CSE est personnel, tout prêt est interdit… On voit par là que la signature, qui est placée sous le contrôle exclusif du titulaire, ne peut être « prêtée » occasionnellement lors de congés ou d’absences à un secrétariat, un collaborateur ou un collègue. La confiance serait profondément trahie et la réputation du titulaire détruite. En outre en cas de problèmes le titulaire serait devant un dilème : S’il reconnaît qu’il y a eu fausse signature, il admet la rupture du contrat et il met la personne à laquelle il a confié le code dans une situation périlleuse, puisque elle a fait un faux. S’il ne veut pas admettre la fausse signature, alors il assume les conséquences de l’opération, puisque il est réputé avoir lui-même réalisé l’opération.
Le CSE est fonctionnel… Dans le CSE est inclus l’organisme pour lequel est émis le certificat… Donc : Une personne qui exercedes fonctions dans des collectivités différentes a une clef par collectivité, N° SIREN INTITULE
Le CSE est fonctionnel… Dans le CSE est inclus l’organisme pour lequel est émis le certificat… Donc : Une personne qui quitte la collectivité doit REVOQUERson certificat de signatureélectronique N° SIREN INTITULE
Le CSE a une validité limitée dans le temps… Dans le CSE est inclus la date d’expiration… EXPIRATION
LA CONFIANCE… N’importe qui, disposant du système informatique adapté peut délivrer des CSE…
LA CONFIANCE… Ce n’est pas l’objet qui donne la confiance, mais le sérieux avec lequel il a été délivré… Les autorités de certifications référencées par les services du Premier Ministre sont sûres
LA CONFIANCE… Comment décider de faire confiance ???
LA CONFIANCE… Comment décider de faire confiance ???
LA SIGNATURE ELECTRONIQUE COMMENT CA MARCHE ?
LA SIGNATURE ELECTRONIQUE COMMENT CA MARCHE ? 1°) SIGNATURE
A un texte donné correspond une empreinte (signature) unique. Message Message A partir du 1er Janvier 2005, toutes les administrations (services de l’état, collectivités territoriales, collectivités locales, …), de la plus petite à la plus grande, devront être en mesure de préparer, lancer et gérer de bout en bout des appels d’offres par voie électronique via Internet. A compter du 1er Janvier 2005, toutes les administrations (services de l’état, collectivités territoriales, collectivités locales, …), de la plus petite à la plus grande, devront être en mesure de préparer, lancer et gérer de bout en bout des appels d’offres par voie électronique via Internet. Fonction mathématique Fonction mathématique 10101001100011101 01110011101100001 Signature électronique Signature électronique
CIN d’Alice Clé publique d’Alice Fichier xxx.p7m Si les empreintes sont identiques, le document est intègre (i.e. : il n’a pas été modifié après qu’il ait été signé) Affichage de la Carte d’Identité Numérique : Authentification du signataire
Applet on line & gratuit Tous documents Signer Les stylos électroniques(logiciels de signature et de chiffrement) Logicielde signature autonome & payant Pack Office ou Acrobat Signer
Applet on line & gratuit Tous documents Vérifier Les stylos électroniques(Vérifier la signature apposée) Logicielde signature autonome & payant Pack Office ou Acrobat Vérifier
Signature attachée Envoi dans un seul fichier du fichier d’origine et de sa signature (extension .p7m) 2 Modes de Signature (fichiers .p7m et .p7s) • Signature séparée • Création d’une empreinte du document (condensé du document) et signature de cette empreinte, séparément du document lui-même (l’empreinte signée porte l’extension .p7s)
LA SIGNATURE ELECTRONIQUE COMMENT CA MARCHE ? 2°) CHIFFREMENT
Déchiffrementdu contenu des enveloppes de réponse Dépôt DCE Rapatriementdes plis CAO Émetteur d’Appels d’Offres Site Web sécurisé (https) Date de Publication Soumissionnaire Publicité légale Date de clôture Date de CAO Consti- tution réponse RetraitDCE Dépôt des plis Chiffrement automatique du contenu des enveloppes de réponse (cf. art.7 et 8 du décret 2002-692) Le chiffrement dans le processus d’Appels d’Offres dématérialisés
Le chiffrement / déchiffrement par clé asymétrique Clé publique (de la PRM, du PCAO …) Clé privée (de la PRM, du PCAO …) • Publique • Disponible pour tous vos interlocuteurs (sur le serveur, de façon « transparente » …) • Utilisée pour chiffrer les documents à l’intention du possesseur de la clé privée • Confidentielle • Protégée par un mot de passe. • Utilisée pour déchiffrer les documents
Le chiffrement des candidatures - la Cle de la Personne Habilité à engager la Collectivité Automatiquement par le serveur Chiffrement électronique Chiffrer
Applet on line & gratuit Tous documents Déchiffrer Le Déchiffrement des candidatures Logicielde signature autonome & payant Pack Office ou Acrobat Déchiffrer
LA SIGNATURE ELECTRONIQUE COMMENT CA MARCHE ? 2°) AUTHENTIFICATION